Cyber security: novità e obblighi della direttiva Nis

L’Italia, recentemente, ha adottato la “Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio del 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione” più comunemente nota come NIS (Network and Information Security), che rappresenta il primo insieme di regole sulla sicurezza informatica univoco a livello Europeo.

L’obiettivo della Direttiva è raggiungere un livello elevato di sicurezza dei sistemi, delle reti e delle informazioni comune a tutti i Paesi membri dell’UE.

I tre punti chiave della Direttiva NIS sono:

Migliorare le capacità di cyber security dei singoli Stati dell’Unione;

Aumentare il livello di cooperazione tra gli Stati dell’Unione;

Introdurre l’obbligo di gestione dei rischi e di contenimento degli incidenti di una certa entità da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali.

La Direttiva punta ad armonizzare la difesa cibernetica, esortando i soggetti “competenti” (i c.d. “operatori di servizi essenziali e dei fornitori di servizi digitali”) a dare attuazione agli obblighi previsti dalla nuova disciplina del cyberspazio. Relativamente al miglioramento delle capacità dei singoli Stati dell’Unione, la Direttiva NIS sottolinea alcuni aspetti utili per rispettare i criteri adottati.

Ogni Stato, infatti, dovrà dotarsi, qualora già non ne disponesse, di una strategia nazionale di cyber security che definisca gli obiettivi strategici da perseguire, le politiche adeguate per realizzarli e le misure di regolamentazione necessarie per garantirne l’efficacia nel lungo periodo. Tra gli aspetti che una strategia nazionale dovrebbe includere, rientrano inoltre: la definizione di una governance chiara, l’individuazione di misure proattive, di risposta e di recovery; la capacità di sensibilizzare, formare ed istruire; l’incentivazione della cooperazione tra settore pubblico e settore privato; la definizione e il costante aggiornamento della lista degli attori coinvolti nella sua attuazione.

Ogni Stato dovrà infine designare uno o più CSIRT (Computer Security Incident Response Team) responsabili del monitoraggio degli incidenti a livello nazionale, fornendo allarmi tempestivi, avvisi ed annunci con lo scopo di diffondere informazioni su rischi ed incidenti.

Ulteriore aspetto fondamentale della Direttiva NIS è la cooperazione tra i vari enti dei singoli Stati membri. Proprio per questo è stato creato un gruppo operativo composto dai rispettivi rappresentati degli Stati membri, dalla Commissione e dall’ENISA (European Union for Network and Information Security Agency). Le attività del gruppo di cooperazione sono suddivise in quattro aree di competenza, nello specifico: pianificazione, guida, segnalazione e condivisione.

Gli operatori di servizi essenziali sono aziende pubbliche o private che hanno un ruolo importante per la società e l’economia, quelli che comunemente vengono chiamate “infrastrutture critiche”. La direttiva NIS obbligherà queste infrastrutture a dotarsi di misure di sicurezza appropriate e di comunicare all’autorità nazionale competente gravi incidenti di sicurezza secondo parametri di numero di utenti coinvolti, durata dell’incidente e posizione geografica.

Il fine ultimo è quello della prevenzione dei rischi, garantendo la sicurezza dei sistemi, delle reti e delle informazioni e la capacità di gestione di eventuali incidenti.

Le Autorità competenti NIS, precisamente, corrisponderanno ai seguenti ministeri: Sviluppo economico, per i settori energia, infrastrutture digitali e per gli FSD; Infrastrutture e trasporti, per il settore trasporti; Economia e finanze, per i settori bancario e infrastrutture dei mercati finanziari, in collaborazione con Banca d’Italia e Consob; Salute e, infine, Ambiente. Per alcuni ambiti, invece, come la salute e la fornitura e distribuzione di acqua potabile, sono autorità competenti le Regioni e Province autonome di Trento e Bolzano.

Anche i fornitori di servizi digitali saranno tenuti, secondo la direttiva NIS, ad attuare misure di sicurezza appropriate e a notificare incidenti rilevanti. Dopo il decreto di recepimento, in vigore da pochi giorni (24 giugno) i prossimi passi dovranno rendere effettivamente operative le disposizioni del decreto. In particolare, a novembre 2018 ogni Stato membro dovrà identificare gli operatori di servizi essenziali.

Nel 2019 la commissione europea valuterà la coerenza di tale misura di identificazione, da parte degli Stati membri e nel 2021 esaminerà il funzionamento della direttiva con particolare attenzione alla cooperazione strategica e operativa degli Stati e l’applicazione da parte dei gestori di servizi essenziali e dei fornitori di servizi digitali.

Unico neo: nel testo del decreto di recepimento si legge il riferimento al D. Lgs. n. 196/2003 per ciò che concerne il trattamento dei dati personali – seppur vero che il GDPR non aveva, ancora, efficacia, altrettanto vero è che in vigore ormai da due anni. La direttiva NIS, quindi, rappresenta un fondamentale passo verso un mercato unico digitale, un’opportunità di crescita economica oltre che una difesa da minacce sempre più presenti nella vita quotidiana dei cittadini e delle imprese europee.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Cyber security: novità e obblighi della direttiva Nis

Privacy Symposium 2025

Festival dell’Economia di Trento – Rischi e scelte fatali. L’Europa al bivio

Mediterraneo & percorsi di ricerca scientifica

Convegno Nazionale SIT 2025

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Di

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA