Direttiva NIS: rafforzata la cyber sicurezza in Italia

Le reti, i sistemi e i servizi informativi svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per le attività economiche e sociali e ai fini del buon funzionamento del mercato interno.

Per fornire una risposta efficace alle sfide in materia di sicurezza delle reti il Parlamento europeo, con l’approvazione della direttiva (UE) 2016/1148 (la cosiddetta direttiva Nis-Network and Information Security) ​​ ha approvato una serie di misure per aumentare il livello di sicurezza delle reti e dei sistemi informativi dell’Unione.

Gli Stati membri potranno mantenere le proprie leggi in materia di sicurezza fino al 9 maggio 2018, dopo di che dovranno obbligatoriamente “adottare e pubblicare le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi” alla Direttiva stessa.

Lo scorso febbraio, il Consiglio dei ministri italiano ha approvato il decreto che recepisce la direttiva (Ue) 2016/1148 e per la prima volta affronta in modo organico e trasversale gli aspetti in materia di cyber sicurezza, rafforzando così la propria sicurezza cibernetica e aumentando la resilienza e la cooperazione in Europa. Uno degli obbiettivi principali della direttiva è promuovere una cultura della gestione del rischio e di segnalazione degli incidenti tra i principali attori economici; in particolare gli operatori che forniscono servizi essenziali per il mantenimento di attività economiche e sociali dovranno:

  • migliorare le capacità nazionali di cyber security
  • rafforzare la cooperazione a livello nazionale e in ambito Ue

Allo scopo di assicurare la continuità dei servizi essenziali (energia, trasporti, salute, finanza, ecc.) e dei servizi digitali (motori di ricerca, servizi cloud, piattaforme di commercio elettronico), il decreto prevede l’adozione di misure tecnico-organizzative per ridurre il rischio e limitare l’impatto di incidenti informatici e l’obbligo di notifica degli incidenti con impatto rilevante sulla fornitura dei servizi. Parallelamente, il testo individua le Autorità competenti “NIS” e i rispettivi compiti, svolti in cooperazione con le omologhe Autorità degli altri Stati membri, nonché il Computer Security Incident Response Team (CSIRT) nazionale, con compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con gli altri CSIRT europei.

Come ottenere la conformità relativa alla resilienza informatica

La direttiva NIS incoraggia l’uso di norme specifiche europee o accettate a livello internazionale rilevanti per la sicurezza delle reti e dei sistemi di informativi.

E possibili essere conforme alla direttiva NIS grazie all’adozione di un sistema di gestione integrato che incorpori le norme ISO 27001 e ISO 22301. La incorporazione di tali norme aiuterà la vostra azienda a raggiungere la resilienza informatica (ovvero la capacità di affrontare positivamente e proattivamente i cambiamenti) a livello internazionale, basato sulle best practice di gestione del rischio – esattamente come richiede la nuova legislazione – ed eliminare audit di conformità.

La nostra guida tascabile ISO 27001:2013 fornisce un’utile panoramica sugli argomenti appena trattati:

  • La certificazione ISO27001:2013
  • La creazione di un Sistema di Gestione della Sicurezza delle Informazioni(SGSI)
  • Le procedure consigliate (ISO27002:2013) per aumentare i livelli di sicurezza e controlli interni

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

This site uses Akismet to reduce spam. Learn how your comment data is processed.