Il Ministero dello Sviluppo Economico del nostro Paese ha reso noto che l’Italia è nel gruppo di testa degli Stati membri UE che hanno concretamente dato seguito agli adempimenti della cosiddetta Direttiva NIS, lo strumento dell’Unione che ha definito le misure necessarie a conseguire un più elevato livello di sicurezza delle reti e dei sistemi informativi in Europa.
Come già stanno facendo anche Germania e Gran Bretagna, le nostre Autorità competenti hanno tempestivamente identificato gli Operatori di servizi essenziali (OSE) per ciascuno dei settori previsti dalla Direttiva, vale a dire: energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile e infrastrutture digitali, per un totale di 465 realtà, tra pubbliche e private.
Parallelamente, ci si è attivati anche sulle misure che gli OSE dovranno adottare per la gestione dei rischi e sulle modalità con cui valutarne la compliance.
Un salto di qualità alla cultura della sicurezza cibernetica
I prossimi step prevedono che entro il 31 gennaio le Autorità competenti comunichino alle organizzazioni identificate di essere state inquadrate quale ‘OSE nazionale’. Il processo di identificazione avrà carattere periodico e sarà ripetuto quando necessario e comunque ogni due anni, in modo da fotografare in maniera autentica l’emergere di eventuali nuove realtà OSE e far sì che tale identificazione individui correttamente i ‘gangli vitali’ del Paese.
Come riferito sul sito del Ministero già citato, quello appena concluso dall’Italia è un passaggio fondamentale per garantire quell’ecosistema cyber previsto dalla Direttiva UE che trova snodi fondamentali anche nello CSIRT (Computer Security Incident Response Team), istituito presso la Presidenza del Consiglio e attualmente operante come coordinamento tra CERT-Nazionale e CERT-PA, e nel Punto di contatto unico, individuato all’interno del Dipartimento delle informazioni per la sicurezza (DIS).
Il primo sarà responsabile per il monitoraggio, la gestione e l’analisi dinamica degli incidenti cibernetici, e per la diffusione di allerta e divulgazione di informazioni, mentre il secondo è chiamato a operare sia a livello nazionale, per coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi, sia a livello UE, per garantire la cooperazione transfrontaliera delle Autorità competenti italiane con quelle degli altri Stati membri e la partecipazione al Gruppo di cooperazione NIS.