Cybersecurity e direttiva NIS: dal 9 novembre gli obblighi per gli operatori di servizi essenziali (OSE).

IMG_0728

Il 26 giugno 2018 è entrato in vigore il Decreto Legislativo n. 65 del 18 maggio 2018, che ha  dato attuazione in Italia alla Direttiva UE  2016/1148, del 6 luglio 2016, sulla sicurezza delle reti e dei sistemi informativi,  altrimenti nota come Direttiva NIS (Network and Information Security).

Le disposizioni obbligatorie della Direttiva in materia di sicurezza e di notifica che rientrano nell’ambito di applicazione del Decreto  si riferiscono ai fornitori di servizi digitali (FSD) od operatori di servizi essenziali (OSE).

Gli OSE devono essere identificati entro il 9 novembre 2018 dalle Autorità competenti NIS ( queste ultime sono i Ministeri dello sviluppo economico – per i settori energia, infrastrutture digitali e per i fornitori di servizi digitali; infrastrutture e trasporti per il settore trasporti; economia e finanze – per i settori bancario ed infrastrutture dei mercati finanziari, in collaborazione con la Banca d’Italia e la Consob; salute ed ambiente) sulla base dell’importanza del servizio fornito, della dipendenza da reti e sistemi informativi e della rilevanza sul servizio degli effetti di un incidente.

In particolare il decreto di recepimento fa propri i criteri di cui all’Articolo 5 ( 2) della Direttiva: i) fornitura di un servizio essenziale per il mantenimento di attività sociali e/o economiche fondamentali; ii) dipendenza di tale servizio dalla rete e dai sistemi informativi; e iii) effetti negativi rilevanti sulla fornitura di tale servizio in caso di incidente informatico, rilevanza da valutarsi secondo i criteri specificati all’Articolo 6 della Direttiva (e reiterati all’Articolo 5 del decreto).

I settori interessati sono quelli dell’energia, dei trasporti, del settore bancario, dei mercati finanziari, della sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali, nonché dei servizi di commercio elettronico, dei motori di ricerca e di cloud computing.

Si ricorda inoltre che il decreto di recepimento prevede l’adozione di una strategia nazionale di sicurezza cibernetica da parte del Presidente del Consiglio dei Ministri sulla base di quanto previsto dall’Articolo 7 della Direttiva.

Piano che l’Italia ha parzialmente posto in essere negli anni passati ma che  dovrà necessariamente essere  aggiornato.

@fulviosarzana