A partire dal 18 maggio 2018, attraverso il decreto legislativo n.65, l’Italia ha recepito la Direttiva NIS (Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi), entrata in vigore il successivo giugno 2018.
Questa Direttiva rappresenta un ulteriore strumento per la gestione della cyber security a livello nazionale. Vi sono infatti contenute le linee guida per la gestione dei rischi e la prevenzione, mitigazione e notifica degli incidenti informatici.
I settori che rientrano nell’ambito di applicazione del decreto NIS coincidono con quelli previsti dalla Direttiva: energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile ed infrastrutture digitali, motori di ricerca, servizi cloud e piattaforme di commercio elettronico. Si classifica operatore di servizi essenziali (cosiddetto OSE):
- un soggetto che fornisce un servizio essenziale per il mantenimento delle attività economiche/sociali;
- la fornitura del servizio in questione dipende dalla rete e dai sistemi informativi;
- un incidente informatico implicherebbe un impatto negativo sulla fornitura del servizio.
La normativa richiede a tali operatori di adottare misure tecniche ed organizzative che siano adeguate:
- alla gestione dei rischi legati alla sicurezza della rete e dei sistemi informativi utilizzati;
- alla prevenzione e al contenimento dell’impatto di incidenti che pregiudicano la sicurezza della rete e dei sistemi informativi.
Coerentemente con quanto previsto dalla Direttiva, è stata inoltre prevista l’adozione di una strategia nazionale di sicurezza cibernetica. Tale strategia deve fissare le misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, la definizione di un piano di valutazione dei rischi informatici e programmi di formazione e sensibilizzazione in materia di sicurezza informatica, nonché un piano di valutazione dei rischi e di ricerca e sviluppo in materia di cybersecurity.
Relativamente alle autorità predisposte all’attuazione e alla vigilanza della normativa NIS, sono stati designati come autorità competenti cinque diversi ministeri: sviluppo economico, economia e finanze, salute, ambiente, infrastrutture e trasporti.
Invece il DIS (Dipartimento delle informazioni per la sicurezza), istituito nell’agosto 2007 per il coordinamento della programmazione e delle attività operative di AISE (Agenzia informazioni e sicurezza esterna) e AISI (Agenzia informazioni e sicurezza interna), svolge la funzione di unico punto di collegamento e coordinamento con l’UE e le autorità competenti relativamente alle attività di cybersecurity negli altri Stati membri.