Direttiva NIS: un po’ di chiarezza

Quando la sicurezza internazionale passa anche dalla Cybersecurity. OSE (Operatori di Servizi Essenziali) e FSD (Fornitori di Servizi Digitali) sono i soggetti direttamente coinvolti dalla Direttiva NIS (Network Information Security) e dalle normative nazionali di recepimento. Ma cosa cambia per gli IT Manager?

OSE e FSD: chi sono?

Energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali. Questi i settori strategici individuati dall’Italia e nei quali sono stati identificati dai rispettivi Ministeri i 465 Operatori di Servizi Essenziali.
Quanto agli FSD non esiste un elenco esplicitato da qualche autorità. La normativa li identifica in persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, stabiliti o rappresentati nell’UE, con più di 50 dipendenti ovvero con un bilancio annuo superiore a 10 milioni di Euro.

Un modello normativo già noto?

Sia la Direttiva che il decreto di recepimento italiano contengono un concetto già noto nel contesto giuridico degli ultimi anni: adeguatezza delle misure tecniche e organizzative rispetto ai rischi. Concetto che richiama l’accountability del GDPR, ma che allo stesso tempo impone ai soggetti interessati un’autovalutazione dei profili di rischio e delle relative misure da adottare per contenerli.
Il bilanciamento delle risorse da dedicare alla Cybersecurity non è più individuato dagli stati, ma è lasciato volutamente alla responsabilità degli operatori, con l’eventuale supporto delle strutture di coordinamento preposte come CSIRT e l’ENISA. Tra l’altro, proprio quest’ultima agenzia risulta al centro del Cybersecurity Act Europeo.

La notifica degli incidenti: solo un obbligo o anche un’opportunità?

Sicuramente essere vittima di un incidente informatico è un problema che coinvolge diverse normative tra loro concorrenti. Si pensi al Data Breach del GDPR che impone un obbligo di autodenuncia in caso di violazione dei dati personali.
L’attuazione della Direttiva NIS richiede ai soggetti individuati di notificare gli incidenti che hanno un impatto rilevante, rispettivamente alla continuità e alla fornitura del servizio, al CSIRT, informando anche la relativa Autorità competente NIS.
Le normativa NIS richiede ai soggetti coinvolti di non nascondere sotto il tappeto eventuali incidenti e di notificare l’accaduto alle Autorità che potranno anche collaborare alla gestione dell’incidente stesso. Inoltre, in linea con lo scopo della normativa, la condivisione delle informazioni relative agli incidenti permette un accrescimento collettivo dei livelli di consapevolezza e conseguentemente di sicurezza, motivo per cui, anche i soggetti non direttamente individuati dalla normativa possono effettuare notifiche volontarie.

NIS e IT Manager: matrimonio o guerra?

Già messi a dura prova dal GDPR (è opportuno tener presente che ogni sviluppo software e hardware deve passare apposite verifiche e test lato privacy), gli IT Manager si trovano di fronte a una serie di obblighi e necessità che non di rado sovrastano le loro competenze, a partire da quelle in campo giuridico, che con la sua complessità e il suo lessico, è ostico per qualsiasi non addetto ai lavori. Le energie (e l’ansia) assorbite dai nuovi obblighi rischiano di togliere lucidità nella quotidiana lotta contro minacce sempre più penetranti; per questo motivo è necessario che ogni azienda si doti di un consulente in grado di parlare la lingua degli IT Manager, comprendere il loro punto di vista e proporre soluzioni pratico-organizzative in grado di sollevare dai pensieri e gettare le condizioni affinché fra responsabili tecnoinformatici e NIS si celebri un matrimonio d’amore che duri nel tempo.

Direttiva NIS: come organizzare l’azienda in modo “compliance”?

Ecco 3 semplici consigli:

  • Consapevolezza
    formazione specifica per le figure di responsabilità ma anche per tutti i dipendenti e collaboratori, affinché vengano messe in pratica le best practices e si possa dimostrare l’assoluta attenzione dell’azienda verso i temi della tutela e sicurezza dei dati
  • Tecnologia
    software, hardware e sistemi integrati al top della tecnologia, perché ogni giorno le minacce si evolvono e non è possibile fronteggiarle se anche le infrastrutture e i sistemi di gestione non sono aggiornate
  • Procedure
    sapere cosa fare in caso di problema è necessario per tutti e lo è ancor di più quando l’azienda dovesse essere chiamata a rendere conto di una violazione; procedure chiare, ben strutturate e organizzate, sono un’arma importantissima contro la cascata di problemi che può derivare da un incidente di sicurezza.

Vuoi conoscere i tools più adatti per la tua azienda, i testi di legge, le metodologie di autovalutazione del rischio e le best pratices?

Partecipa a Cloudia IT Academy Roadshow 2019, primo appuntamento giovedì 11 aprile a Firenze presso il Grand Hotel Baglioni

Partecipazione gratuita, posti limitati. Iscriviti subito su: cloudia.pcsystem.it