Da ieri domenica 24 giugno è entrato in vigore il decreto che attua la normativa europea “Network and information security” (Nis) che per la prima volta a livello comunitario affronta in modo organico e trasversale il tema della cyber security, contribuendo ad incrementare il livello comune di sicurezza nei 28 Paesi membri.
Il decreto punta ad armonizzare la difesa cibernetica dei singoli Stati europei, individuando i soggetti competenti a dare attuazione agli obblighi previsti dalla nuova disciplina del cyberspazio.
Gli obiettivi prevedono, in particolare, la promozione della cultura della prevenzione del rischio e le misure tecnico-organizzative per limitare l’impatto di incidenti informatici; il potenziamento delle capacità nazionali di cyber security; il rafforzamento della cooperazione sia in ambito nazionale sia europeo; la salvaguardia della business continuity per gli operatori di servizi essenziali e i fornitori di servizi digitali.
Caratteristica peculiare del nuovo provvedimento sono gli obblighi in materia di sicurezza e di notifica per i cosiddetti Operatori di Servizi Essenziali (Ose), ovvero organizzazioni pubbliche o private operanti nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, infrastrutture digitali, sanitario e fornitura e distribuzione di acqua potabile e per i Fornitori di Servizi Digitali (Fsd): e-commerce, motori di ricerca, e cloud computing.
Spetta a loro l’obbligo di adottare misure tecniche e organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici. La notifica di incidenti con impatto rilevante sui servizi forniti andrà fatta al Computer Security Incident Response Team (Csirt) e alle autorità competenti Nis, ossia i vari ministeri. A questi ultimi è assegnato il compito di vigilare sull’applicazione della direttiva a livello nazionale e irrogare sanzioni amministrative nel caso di mancato adempimento degli obblighi previsti.