NIS – Network and Information Security

L’ordinario svolgimento della vita civile, sociale ed economica delle nazioni è assicurato dalle reti con le quali sono erogati i servizi essenziali e critici a cittadini e imprese: energia, trasporti, acqua, telecomunicazioni, assistenza sanitaria, ecc.

La nuova direttiva europea 2022/2555 NIS 2 (Network and Information Security) si basa e abroga la precedente direttiva 2016/1148 o NIS 1, attuata in Italia con il Decreto Legislativo del 18 maggio 2018 n.  65, condividendone però gli obiettivi delle misure tecniche, operative e organizzative:

  1. prevenire gli incidenti,
  2. minimizzarne gli effetti,
  3. assicurare la continuità dei servizi critici.

La Direttiva disciplina le azioni richieste sia agli Stati membri dell’UE che agli Operatori di Servizi Essenziali (OSE), soggetti che a diverso titolo gestiscono e contribuiscono al funzionamento delle reti, allo scopo di raggiungere un elevato livello di sicurezza di queste infrastrutture strategiche.

Gli OSE, classificati in due categorie, “essenziali” e “importanti” – sulla base a) delle loro dimensioni, del livello di criticità del settore o del tipo di servizio legato alle attività sociali e/o economiche fondamentali, del livello di dipendenza di altri settori o tipi di servizi – possono essere soggetti sia pubblici che privati, sono chiamati, tra l’altro, ad adottare nel tempo una serie di misure di sicurezza in grado di minimizzare il rischio di incidenti alle proprie reti ed ai sistemi informativi con le quali sono gestite, evitando danni che possono produrre effetti negativi rilevanti sulla fornitura dei servizi e quindi sull’intera nazione.

I nostri strumenti di controllo

La nostra piattaforma digitale, sviluppata in collaborazione con MSA di Luigi Zampetti e SIET di Sergio Spera, mette a disposizione un “ecosistema” di audit costituito da quattro percorsi e quarantanove check list di autovalutazione nei quali sono raggruppate:

  1. percorso NIS ICP, composto da 9 check list, per contestualizzare l’incidente con impatto;
  2. percorso NIS MDS, composto da 14 check list, per verificare le misure di sicurezza di elevato livello adottate nel tempo, appartenenti alle 3 diverse categorie individuate negli allegati B e C del DPCM 81/2021;
  3. percorso NIS MAS, composto da 18 check list, per verificare le misure di sicurezza adottate per proteggere gli ambiti di sicurezza individuati all’art. 1 comma 3b del DL 105/2009;
  4. percorso NIS DOC, composto da 8 check list, per facilitare la verifica della redazione dei documenti previsti dalle misure delle categorie A e B, suddivise in base ai cinque obiettivi in cui è articolato il Framework nazionale per la cybersecurity e la data protection.

Le informazioni per la composizione delle domande contenute nelle check list sono presenti nelle seguenti norme in materia:

  • Direttiva NIS 2016/1148 e Dlgs di attuazione 2018/65
  • DL 2019/105 sul perimetro di sicurezza nazionale cibernetica e Legge 2019/133 di conversione e modifica
  • DPCM 131/2020 sul Regolamento in materia di perimetro di sicurezza nazionale cibernetica
  • DPCM 81/2021 sul Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici, e di misure volte a garantire elevati livelli di sicurezza.

Gli ambiti di sicurezza da proteggere

Gli ambiti ai quali sono rivolte le misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici, sono elencati all’articolo 1, comma 3, lettera b) del DL 105/2019 e nell’ Appendice n. 1 (Tabella di corrispondenza) contenuta nell’Allegato B del DPCM 81/2021:

  • 1 – struttura organizzativa preposta alla gestione della sicurezza
  • 1-bis) politiche di sicurezza e gestione del rischio
  • 2 – mitigazione e gestione degli incidenti e loro prevenzione, anche attraverso interventi su apparati o prodotti che risultino gravemente inadeguati sul piano limitatamente al punto della sicurezza
  • 3 – protezione fisica e logica dei dati
  • 4 – integrità delle reti e dei sistemi informativi
  • 5 – gestione operativa, ivi compresa la continuità del servizio
  • 6 – monitoraggio, test e controllo
  • 7 – formazione e consapevolezza
  • 8 – affidamento di forniture di beni, sistemi e servizi di Information and Communication Technologies (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale, di standard e di eventuali limiti.

I settori interessati dalla NIS 2

I settori interessati sono presenti in diverse norme che per questo presentano la stessa attenzione alla criticità dei settori piuttosto che alle merci da essi prodotte e alle tecnologie in esse impiegate:

  • la Direttiva UE 2016/1148 del 6 luglio 2016 o NIS 1 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione
  • la Comunicazione della Commissione al Parlamento Europeo e al Consiglio per “Sfruttare al meglio le reti e i sistemi informativi – verso l’efficace attuazione della direttiva NIS” del 4-ott-2017
  • la Proposta di Direttiva NIS2 del 16-dic-2020
  • il Regolamento UE 2019/452 del 19 marzo 2019 che istituisce un quadro per il controllo degli investimenti esteri diretti nell’Unione
  • il Regolamento (CE) n. 428/2009 del 5 maggio 2009 che istituisce un regime comunitario di controllo delle esportazioni, del trasferimento, dell’intermediazione e del transito di prodotti a duplice uso
  • la Direttiva UE 2022/2555 del 14 dicembre 2022 o NIS 2 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del Regolamento (UE) n. 910/2014 del 23 luglio 2014 o eIDAS (electronic IDentification Authentication and Signature) e della direttiva (UE) 2018/1972 dell’11 dicembre 2018 che istituisce il codice europeo delle comunicazioni elettroniche
  • la Direttiva UE 2022/2557 del 14 dicembre 2022 o CER (Resilience of Critical Entities) relativa alla resilienza dei soggetti critici.

Questo l’elenco:

  1. Energia (elettrica, petrolio, gas)
  2. Trasporti (aereo, ferroviario, per vie d’acqua, su strada)
  3. Bancario
  4. Infrastrutture dei mercati finanziari (economia e finanza)
  5. Sanitario (salute)
  6. Acqua potabile (e acque reflue)
  7. Infrastrutture (e servizi) digitali (compresa archiviazione dei dati)
  8. Interno
  9. Difesa
  10. Spazio e aerospazio
  11. Telecomunicazioni, media, elettorali
  12. Tecnologie critiche (intelligenza artificiale, robotica, semiconduttori, cibersicurezza, quantistica e nucleare, nanotecnologie e biotecnologie, idrogeno)
  13. Prodotti a duplice scopo (civile e militare)
  14. Enti previdenziali/lavoro
  15. Pubblica Amministrazione
  16. Settore postale
  17. Settore alimentare
  18. Industria chimica e nucleare
  19. Settore ambientale
  20. Protezione Civile.