City Life Magazine 38 - Page 76

76 CITY LIFE MAGAZINE N.38 I nsieme a Energia Media, promotore dal 2013 di ConferenzaCSE - Cyber Security Energia, abbiamo seguito con attenzione il processo di recepimento in Italia della di- rettiva (UE) 2016/1148 del 6 luglio 2016, per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (in gergo NIS, Network Information Security). La direttiva è stata recepita con il decreto legislativo 18 maggio 2018, n. 65, entrato in vigore lo scorso 24 giugno. Il sito www. cybersecurityenergia.it ha costantemente informato negli scorsi mesi sul recepimen- to ed Energia Media ha partecipato ai lavori parlamentari con proprie osservazioni e pro- poste emendative. A chi si applica? La NIS è quindi già legge, anche se manca- no ancora essenziali provvedimenti attuativi. Tra questi, quello di maggiore interesse per il settore energetico (energia elettrica, gas e petrolio) è certamente la scelta delle imprese alle quali si applica la legge, perché “opera- tori di servizi essenziali”, con sede nel terri- torio nazionale. Tale scelta è demandata alle “Autorità competenti NIS”: nel caso dell’e- nergia il Ministero dello Sviluppo Economico che dovrà tenere conto sia dei criteri previsti dalla direttiva sia degli approfondimenti svol- ti dal “Gruppo di cooperazione” europeo. Cosa farà il CSIRT? Altro provvedimento essenziale è l’istituzio- ne del CSIRT (Computer Security Incident Response Team) che assorbirà CERT nazio- nale e CERT PA. L’organizzazione e il funzio- namento del CSIRT avrebbero dovuto esser disciplinati da un DPCM entro il 9 novembre 2018; la stessa scadenza per l’elenco degli operatori, ma come in tutta Europa c’è del ritardo in questi provvedimenti, particolar- mente complessi. Compito del CSIRT è definire le procedure per la prevenzione e la gestione degli inci- denti informatici cui le imprese si dovranno adeguare. Il CSIRT italiano partecipa alla rete dei CSIRT europei. Cosa è il “Gruppo di cooperazione”? Al vertice del “sistema NIS” si colloca il “Gruppo di cooperazione” composto da rappresentanti degli Stati membri, del- la Commissione Europea e dell’Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione (ENISA). Compito del gruppo è lo scambio, la diffusione e la con- divisione delle informazioni sugli incidenti e delle migliori pratiche per prevenirli e gestirli. Al Gruppo partecipa per l’Italia il DIS (Dipar- timento Informazioni Sicurezza) identificato dalla NIS come “punto di contatto unico”, che terrà i rapporti con il CSIRT e le “Autorità competenti NIS”. Tutti subito? Con la definizione dei soggetti cui si appli- ca la NIS e l’istituzione del CSIRT, il Decreto legislativo 65/2018 diverrebbe rapidamente operativo. Quando questo accadrà saran- no fornite indicazioni e proposti interventi tali da garantire il “livello comune elevato di sicurezza” richiesto. Anche se ogni settore coinvolto dalla NIS ha le proprie specificità (trasporti, sanità, banche, mercati organiz- zati, servizi informatici) quello energetico si presenta particolarmente complesso. In teoria la NIS potrebbe riguardare da su- bito gli operatori dell’energia già dotati di uno SCADA (Supervisory Control and Data