Direttiva NIS – punti chiave

Il 9 giugno 2018 è stato pubblicato nella Gazzetta Ufficiale il decreto legislativo con il quale l’Italia ha recepito la Direttiva UE 2016/1148, conosciuta anche come Direttiva NIS, che “stabilisce misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza dell’Unione Europea”.

Quali sono i punti chiave?

I settori che rientrano nell’ambito di applicazione della direttiva sono:

  • Energia
  • Trasporti
  • Banche
  • Mercati finanziari
  • Sanità
  • Fornitura e distribuzione di acqua potabile
  • Infrastrutture digitali
  • Motori di ricerca
  • Servizi cloud
  • Piattaforme e-commerce

Secondo il decreto legislativo, si classifica operatore di servizi essenziali:

  • Un soggetto che fornisce un servizio essenziale per il mantenimento delle attività economiche e/o sociali;
  • La fornitura di tale servizio dipende dalla rete e dai sistemi informativi;
  • Un incidente avrebbe impatto negativo sulla fornitura di tale servizio.

Le autorità nazionali competenti per l’attuazione della normativa NIS sono:

  • Ministero dello Sviluppo Economico
  • Ministero delle Infrastrutture e dei trasporti
  • Ministero dell’Economia e delle finanze
  • Ministero della Salute
  • Ministero dell’Ambiente e della tutela del territorio e del mare

Punto di contatto unico è il Dipartimento delle Informazioni per la sicurezza (DIS), che svolgerà funzioni di collegamento e coordinamento con l’Unione Europea e le altre autorità competenti nazionali.

Inoltre, il decreto prevede la creazione di un unico Computer Security Incident Response Team (CSIRT), nato dall’unione del CERT Nazionale e del CERT-PA, il cui compito sarà quello di prevenire e rispondere agli incidenti informatici.

Cosa viene richiesto agli operatori di servizi essenziali?

Gli operatori di servizi essenziali devono adottare misure tecniche ed organizzative adeguate:

  • alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano;
  • alla prevenzione e al contenimento dell’impatto di incidenti che pregiudicano la sicurezza della rete e dei sistemi informativi.

La direttiva invita gli operatori di servizi essenziali ad adottare “norme e specifiche europee o accettate a livello internazionale relative alla sicurezza della rete e dei sistemi informativi” (Art.17).

Adotta lo standard ISO 27001

L’adozione di un sistema di gestione integrato che integra ISO 27001, lo standard internazionale di sicurezza informatica, e ISO 22301, ti permette di raggiungere la conformità alla Direttiva NIS. Per saperne di più sulla norma ISO 27001 e come questa possa incrementare i livelli di sicurezza nella tua azienda, leggi la nostra Guida Tascabile ISO 27001/ISO 27002, che offre una panoramica dello Standard insieme a consigli pratici per l’attuazione di un SGSI.

Scopri lo standard ISO 27001 >>

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

This site uses Akismet to reduce spam. Learn how your comment data is processed.