L’apparato normativo in materia di perimetro nazionale di sicurezza cibernetica può essere considerato come un’evoluzione nell’ordinamento interno di un provvedimento di stampo comunitario: la direttiva NIS.
Tramite la Direttiva 2016/1148/UE, più comunemente Direttiva NIS, vengono indicate le linee guida sulla gestione dei rischi, sulla prevenzione e sulla notifica degli incidenti cyber, intese come ulteriore elemento a presidio della continuità del funzionamento e dell’erogazione dei servizi essenziali tutelati dalla Direttiva stessa.
Nel dicembre del 2018 sono stati individuati 465 operatori di servizi essenziali (OSE) in Italia, con cui nel mese di luglio del 2019 sono state condivise le linee guida, basate sul framework nazionale per la cybersecurity. Si tratta di organizzazioni pubbliche e private, che garantiscono i servizi indispensabili nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile.
Due concetti su cui vale la pena soffermarsi, sono quelli di “incidente” e di “rischio”: il primo viene definito come “ogni evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi”, mentre il secondo viene descritto come “ogni circostanza o evento ragionevolmente individuabile con potenziali effetti pregiudizievoli per la sicurezza della rete e dei sistemi informativi”.
Nella direttiva in esame, e per la prima volta in una normativa dell'UE, questi due concetti sono collegati direttamente al danneggiamento o alla compromissione delle reti e dei sistemi informativi di una nazione, e, potenzialmente, alla sua sicurezza.
La Direttiva NIS costituisce “l’elemento strutturale” dell’architettura normativa messa in atto dall’Unione Europea.
Nel 2019 è entrata in vigore una ugualmente importante norma europea, il Cybersecurity Act, che ha reso permanente il mandato dell’ENISA e ha introdotto un meccanismo comune per la certificazione della sicurezza dei prodotti connessi alla rete, come le componenti delle architetture che dovranno descrivere i soggetti inclusi nel Perimetro Nazionale di Sicurezza Cibernetica.
Quando tale sistema di certificazione sarà a regime, cosa che dovrebbe avvenire entro i prossimi mesi, i consumatori, aziende o privati, che avranno la necessità di acquistare prodotti elettronici o informatici potranno scegliere sia prodotti non certificati, qualora una certificazione non sia stata richiesta, sia prodotti certificati: questa sorta di “marchio” europeo consentirà così di scegliere il prodotto che, in base ai parametri individuati dalla norma, offre maggiori garanzie di sicurezza e privacy, in quanto ha superato una serie di rigorosi test svolti da enti accreditati e vigilati dai governi.
Entro il 2023 tale certificazione, inizialmente facoltativa, potrà essere resa obbligatoria tramite un parere della Commissione europea, innalzando così la protezione globale dell’Unione nei confronti della potenziale invasione, peraltro già iniziata, di forniture consumer tanto economiche quanto di dubbia sicurezza.
Il Perimetro Nazionale di Sicurezza Cibernetica riprende entrambe le norme, individuando soggetti che svolgono funzioni essenziali per la sicurezza del Paese, e prevedendo particolari requisiti per le architetture informatiche di cui si avvalgono.
Per continuare la lettura del secondo volume de “I Quaderni di ReD Open”, scaricalo subito. Basta un click e non serve registrarsi!
Photo by Simone Dalmeri on Unsplash