Tutto ciò che aziende e PA devono sapere sui nuovi obblighi della Direttiva NIS

Pochi giorni fa è stata definitivamente adottata dal Consiglio Europeo la cosiddetta Direttiva NIS. Gli Stati Membri avranno 21 mesi per adottare le necessarie misure di implementazione, e questo ci porta all’inizio del 2018. Trattandosi di una direttiva, la sua efficacia reale dipenderà da come sarà implementata dagli Stati Membri, e da quanto questa implementazione sarà in linea con gli obiettivi originali della Direttiva.Si può certamente confidare nel fatto che le leggi dei parlamenti nazionali posso declinare la direttiva con strumenti propri, senza alterarne la natura e gli obiettivi.

Si tratta di una direttiva di cui finora si è parlato poco, ma che può aiutare a gestire diversi problemi attualmente aperti, ad esempio relativamente alla sicurezza dei servizi in cloud offerti nell’Unione. Ma andiamo per ordine. La Direttiva definisce delle misure volte a garantire un livello comune elevato di Sicurezza delle reti e dell’informazione nell’Unione. Si muove quindi secondo due direttrici:

1. aumentare la cooperazione fra Stati Membri per garantire una risposta efficace alle minacce e agli incidenti attraverso:
   1. obblighi per gli Stati membri in materia di prevenzione, trattamento e risposta agli incidenti. In particolare si stabilisce un’obbligo di notifica tempestiva degli incidenti analoga a quella stabilita dal GDPR.
   2. un meccanismo di collaborazione e coordinamento tra gli Stati membri;
2. definire obblighi di sicurezza per gli operatori del mercato e le amministrazioni pubbliche

Assumono un ruolo fondamentale gli CSIRT nazionali, che diventano il cardine delle attività di analisi e contrasto, anche attraverso una rete di cooperazione (Cooperation Network). Su questo aspetto, l’Italia è già ben posizionata, almeno da un punto di vista normativo, grazie all’istituzione del Cert Nazionale e all’adozione del “Quadro Strategico nazionale per la sicurezza dello spazio cibernetico”. Può invece essere migliorabile l’efficacia ed il coordinamento fra i diversi CSIRT italiani, e in questo la Direttiva potrebbe essere d’aiuto.

Probabilmente il processo di valorizzazione del CERT Europeo e dei processi comunitari di incident notification and responding valorizzerà ulteriormente il ruolo chiave del CERT Nazionale italiano, come potenziale centro prioritario di raccoglimento e dispacciamento delle principali informazioni sia di carattere preventivo (Information sharing) che reattivo (Incident notification).

Tale ruolo gioverebbe non poco alla razionalizzazione della rete dei CERT italiani (Nazionale, PA, Difesa, etc.) in termini sia di semplificazione che di velocizzazione dei flussi informativi e decisionali.

Ma la Direttiva ha un impatto su diversi altri soggetti, fra i quali i principali sono gli operatori di servizi essenziali e i fornitori di servizi digitali, che spesso costituiscono infrastrutture critiche per le quali è stato fatto ancora poco dal punto di vista della cybersecurity. Gli Operatori di servizi essenziali sono operatori, pubblici o privati, che soddisfano tre requisiti:

• forniscono servizi essenziali per il mantenimento di attività economiche e sociali critiche
• la fornitura dei servizi dipende da sistemi informativi
• un incidente al sistema informativo di quel servizio avrebbe un impatto significativo sulla capacità di fornirlo.

Oltre a soddisfare questi requisiti, le organizzazioni devono rientrare in categorie definite all’interno dei seguenti settori:

• energetici
• trasporti
• bancari
• infrastrutture dei mercati finanziari
• sanitario
• acqua potabile
• infrastrutture digitali (specificamente gli Internet Exchange point, i fornitori di servizi DNS e i registri TLD)

I fornitori di servizi digitali invece, rientrano in tre categorie:

• online marketplace
• online search engine
• cloud computing service

Tale contesto è di tale complessità e scivolosità che alla sola classificazione di tali servizi essenziali è stato concesso un periodo di 6 mesi.

Altro tema cruciale della Direttiva è quello dell’Information sharing, punto chiave nell’integrazione delle politiche di gestione degli incidenti con una strategia preventiva. Nonostante una parte importante dei membri dei gruppi di lavoro della piattaforma NIS, che ha lavorato a supporto della redazione della Direttiva, abbia evidenziato la necessità di inserire qualche spunto di obbligatorietà nei processi di Information sharing, il testo finale risente molto della trattativa politica allargata, soprattutto in direzione di un approccio volontaristico. Tale approccio si adatta meglio a particolari regioni europee (centro-nord) e industry mature (FSI), ma rischia di diventare velleitario altrove.

Le attività di scambio di informazioni per il raggiungimento degli obiettivi della Direttiva sono svolte sotto il coordinamento di un Gruppo di Coordinamento a livello europeo, al quale partecipano rappresentanti degli Stati Membri, della Commissione e di ENISA. Il coordinamento è necessario per gestire diversi aspetti della Direttiva, e ne è in effetti uno degli obiettivi principali.

Le autorità competenti a livello Nazionale possono essere più d’una. Nel caso di settori regolamentati già soggetti ad esempio a vigilanza da parte di autorità specifiche, la supervisione di quel settore può essere affidata a quelle autorità, semplificando il coordinamento con le norme preesistenti.

In riferimento agli Operatori di servizi essenziali, gli obblighi sono riconducibili a due ambiti specifici: obblighi di sicurezza e obblighi di notifica. Le indicazioni, per quanto ancora generali, sono in linea con l’impostazione attuale della gestione della sicurezza come strumento di mitigazione del rischio.

La Direttiva prescrive che gli operatori notifichino senza ingiustificato ritardo alle autorità competenti o allo CSIRT ogni incidente di sicurezza avente un impatto significativo sulla continuità dei servizi essenziali offerti. Queste notifiche sono poi utilizzate dalle autorità competenti e/o dagli CSIRT, anche nell’ambito di un quadro nazionale ed europeo, nella prevenzione di incidenti analoghi e, dove opportuno e sentiti gli operatori coinvolti, per informare eventualmente il pubblico dell’incidente in corso.

Nel complesso, si punta a far crescere più una cultura della condivisione delle informazioni che un vero e proprio quadro regolatorio di natura mandatoria.

Per quanto riguarda i fornitori di servizi digitali, con l’esclusione delle piccole e micro-imprese, i requisiti sono simili, ma sono messi in evidenza alcuni temi che devono essere specificamente presidiati:

• sicurezza dei sistemi e delle strutture
• gestione degli incidenti
• gestione della continuità operativa
• monitoraggio, audit, testing
• conformità a standard internazionali

Alla Commissione viene data la possibilità di dettagliare maggiormente i requisiti, aprendo la strada ad un governo della sicurezza di questi soggetti più efficace e continuo di quello ottenibile attraverso l’aggiornamento di direttive e regolamenti. Questa possibilità deve però tenere conto della possibilità, data dall’utilizzo dello strumento della direttiva, di implementazioni diverse, seppure coerenti nei principi, fra gli Stati Membri. Vi sono infine alcuni ulteriori punti che meritano di essere menzionati:

• gli Stati Membri dovranno incoraggiare l’adozione di standard di sicurezza europei ed internazionali riconosciuti;
• gli Stati Membri dovranno definire delle penali (penalties) “efficaci, proporzionate e dissuasive” applicabili alle violazioni di quanto richiesto dalle norme di implementazione della Direttiva;

Nel complesso, la Direttiva ha molte potenzialità di migliorare il coordinamento a livello europeo e di elevare il livello medio di sicurezza, in particolare per gli operatori di servizi essenziali. Ma, essendo una direttiva, molto dipenderà da come verrà recepita e rispettata