NIS – Network and Information Security

Riferimenti normativi

L’ordinario svolgimento della vita civile, sociale ed economica delle nazioni è assicurato dalle reti con le quali sono erogati i servizi essenziali e critici a cittadini e imprese: energia, trasporti, acqua, telecomunicazioni, assistenza sanitaria, alimentare, bancario, ecc.

La nuova direttiva europea 2022/2555 NIS 2 (Network and Information Security) si basa e abroga la precedente direttiva 2016/1148 o NIS 1, attuata in Italia con il Decreto Legislativo del 18 maggio 2018 n.  65, condividendone però gli obiettivi delle misure tecniche, operative e organizzative:

  • prevenire gli incidenti,
  • minimizzarne gli effetti,
  • assicurare la continuità dei servizi critici.

La Direttiva disciplina le azioni richieste sia agli Stati membri dell’UE che agli Operatori di Servizi Essenziali (OSE), soggetti che a diverso titolo gestiscono e contribuiscono al funzionamento delle reti, allo scopo di raggiungere un elevato livello di sicurezza di queste infrastrutture strategiche.

Gli OSE sono classificati in due categorie, “essenziali” e “importanti” sulla base: a) delle loro dimensioni, b) del livello di criticità del settore o del tipo di servizio legato alle attività sociali e/o economiche fondamentali, c) del livello di dipendenza di altri settori o tipi di servizi.

Gli Operatori possono essere soggetti sia pubblici che privati, e sono chiamati, tra l’altro, ad adottare nel tempo una serie di misure di sicurezza in grado di minimizzare il rischio di incidenti alle proprie reti ed ai sistemi informativi con le quali sono gestite, evitando così danni che possono produrre effetti negativi rilevanti sulla fornitura dei servizi e quindi sull’intera nazione.

Fonti

Le informazioni per la composizione delle domande contenute nelle check list sono presenti nelle seguenti norme in materia:

  • Direttiva NIS 2016/1148 e Dlgs di attuazione 2018/65
  • DL 2019/105 sul perimetro di sicurezza nazionale cibernetica e Legge 2019/133 di conversione e modifica
  • DPCM 131/2020 sul Regolamento in materia di perimetro di sicurezza nazionale cibernetica
  • DPCM 81/2021 sul Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici, e di misure volte a garantire elevati livelli di sicurezza.

I nostri strumenti di controllo

Il sistema digitale ASG© (Analisi dei Sistemi di Gestione) di somministrazione delle check list di autovalutazione, accessibile a questo link, mette a disposizione un ecosistema di audit costituito da quattro percorsi e quarantanove check list di autovalutazione.

  • percorso NIS ICP, composto da 9 check list, per contestualizzare l’incidente con impatto;
  • percorso NIS MDS, composto da 14 check list, per verificare le misure di sicurezza di elevato livello adottate nel tempo, appartenenti alle 3 diverse categorie individuate negli allegati B e C del DPCM 81/2021;
  • percorso NIS MAS, composto da 18 check list, per verificare le misure di sicurezza adottate per proteggere gli ambiti di sicurezza individuati all’art. 1 comma 3b del DL 105/2009;
  • percorso NIS DOC, composto da 8 check list, per facilitare la verifica della redazione dei documenti previsti dalle misure delle categorie A e B, suddivise in base ai cinque obiettivi in cui è articolato il Framework nazionale per la cybersecurity e la data protection.

Gli ambiti di sicurezza da proteggere

Gli ambiti ai quali sono rivolte le misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici, sono elencati all’articolo 1, comma 3, lettera b) del DL 105/2019 e nell’ Appendice n. 1 (Tabella di corrispondenza) contenuta nell’Allegato B del DPCM 81/2021:

  • 1 – struttura organizzativa preposta alla gestione della sicurezza
  • 1-bis) politiche di sicurezza e gestione del rischio
  • 2 – mitigazione e gestione degli incidenti e loro prevenzione, anche attraverso interventi su apparati o prodotti che risultino gravemente inadeguati sul piano limitatamente al punto della sicurezza
  • 3 – protezione fisica e logica dei dati
  • 4 – integrità delle reti e dei sistemi informativi
  • 5 – gestione operativa, ivi compresa la continuità del servizio
  • 6 – monitoraggio, test e controllo
  • 7 – formazione e consapevolezza
  • 8 – affidamento di forniture di beni, sistemi e servizi di Information and Communication Technologies (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale, di standard e di eventuali limiti.

I settori interessati dalla NIS 2

I settori che rientrano nel perimetro di applicazione della NIS 2 sono presenti anche in altre norme, a dimostrazione dell’importanza della loro criticità piuttosto che dei prodotti realizzati o dei servizi erogati e delle tecnologie in essi impiegate:

  • la Direttiva UE 2016/1148 del 6 luglio 2016 o NIS 1 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione
  • la Comunicazione della Commissione al Parlamento Europeo e al Consiglio per “Sfruttare al meglio le reti e i sistemi informativi – verso l’efficace attuazione della direttiva NIS” del 4-ott-2017
  • la Proposta di Direttiva NIS2 del 16-dic-2020
  • il Regolamento UE 2019/452 del 19 marzo 2019 che istituisce un quadro per il controllo degli investimenti esteri diretti nell’Unione
  • il Regolamento (CE) n. 428/2009 del 5 maggio 2009 che istituisce un regime comunitario di controllo delle esportazioni, del trasferimento, dell’intermediazione e del transito di prodotti a duplice uso
  • la Direttiva UE 2022/2555 del 14 dicembre 2022 o NIS 2 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del Regolamento (UE) n. 910/2014 del 23 luglio 2014 o eIDAS (electronic IDentification Authentication and Signature) e della direttiva (UE) 2018/1972 dell’11 dicembre 2018 che istituisce il codice europeo delle comunicazioni elettroniche
  • la Direttiva UE 2022/2557 del 14 dicembre 2022 o CER (Resilience of Critical Entities) relativa alla resilienza dei soggetti critici.

Questo l’elenco:

  • Energia (elettrica, petrolio, gas)
  • Trasporti (aereo, ferroviario, per vie d’acqua, su strada)
  • Bancario
  • Infrastrutture dei mercati finanziari (economia e finanza)
  • Sanitario (salute)
  • Acqua potabile (e acque reflue)
  • Infrastrutture (e servizi) digitali (compresa archiviazione dei dati)
  • Interno
  • Difesa
  • Spazio e aerospazio
  • Telecomunicazioni, media, elettorali
  • Tecnologie critiche (intelligenza artificiale, robotica, semiconduttori, cibersicurezza, quantistica e nucleare, nanotecnologie e biotecnologie, idrogeno)
  • Prodotti a duplice scopo (civile e militare)
  • Enti previdenziali/lavoro
  • Pubblica Amministrazione
  • Settore postale
  • Settore alimentare
  • Industria chimica e nucleare
  • Settore ambientale
  • Protezione Civile.