Sono state elaborate le linee guida per il nostro Paese per gestione dei rischi, prevenzione, mitigazione e notifica dei rischi in tema di cybersecurity, compiendo un ulteriore passo nel percorso di attuazione della Direttiva europea Nis (Network and information security) per sicurezza informatica e protezione dei dati. La direttiva punta a rafforzare le risposte da parte degli Stati membri a un attacco cibernetico, la cui attuazione in Italia pertiene alle Autorità competenti individuate nei Ministeri dello sviluppo economico, delle infrastrutture e dei trasporti, dell’economia e delle finanze, della salute, dell’ambiente e della tutela del territorio e del mare, in collaborazione con Regioni e Province autonome di Trento e Bolzano.
Le linee guida, basate sul framework nazionale per la cybersecurity, saranno condivise nel mese di luglio con i 465 Operatori di servizi essenziali (Ose), individuati a dicembre 2018. Si tratta di organizzazioni pubbliche e private che garantiscono i servizi indispensabili nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile. Le linee guida indicano agli Operatori di servizi essenziali gli strumenti e le procedure necessari per innalzare la sicurezza di reti e sistemi, e garantire, quindi, la resilienza dell’intero Sistema-Paese.
L’approvazione delle linee guida è stata frutto di un ampio lavoro coordinato dal Dipartimento delle informazioni per la sicurezza (Dis) con tutti gli attori Nis italiani. Una volta partita la comunicazione formale, gli Ose avranno quindi tra i quattro e i dodici mesi di tempo per uniformarsi alle linee guida, a seconda delle specificità settoriali. In questa fase, le Autorità competenti saranno a disposizione degli Operatori per facilitare l’applicazione delle misure di gestione, prevenzione e mitigazione del rischio cyber. Un parametro, quello della compliance, che guiderà poi le stesse Autorità Nis nello svolgimento delle attività ispettive loro affidate dal decreto legislativo che ha recepito la Direttiva Nis nell’ordinamento italiano.
Il poter fare affidamento su un’architettura di cybersecurity europea fondata su alcuni principi cardine, approccio coordinato, aumento della consapevolezza e partnership pubblico-private – principi che ispirano la stessa strategia italiana di sicurezza cibernetica – è un tema fondamentale per garantire sicurezza e crescita futura, specialmente in considerazione della quantità e varietà di minacce alla sicurezza informatica previste in crescita di pari passo con innovazione e sviluppo tecnologico.
