La Direttiva NIS ed il relativo D.Lgs. di recepimento 65/2018 sollecitano gli OSE (Operatori di Servizi Essenziali) e gli FSD (Fornitori di Servizi Digitali) affinché mettano in campo un approccio integrato di gestione dei rischi legati alla sicurezza delle informazioni.

Come per altre norme recenti, ad esempio il GDPR, la direttiva NIS chiede alle aziende di partire dall’analisi delle minacce a cui l’azienda è esposta e dalla valutazione dell’impatto conseguente il verificarsi delle minacce, per riuscire ad implementare azioni di contenimento e di contrasto che mitighino i rischi legati alla sicurezza delle informazioni e agli eventuali effetti sulla continuità di fornitura dei propri servizi.

Questi temi sono stati approfonditi nel webinar che si è svolto oggi, 16 settembre alle ore 11, e organizzato da BV TECH con IBM.        

Ad esporre gli argomenti Vincenzo Impedovo, Security and Compliance Manager, BV TECH, Paolo Piccardo, Responsabile Business Unit SOC, BV TECH, e Alfonso Ponticelli, QRadar Client Technical Professional, IBM.

Durante l’evento, si è discusso su come un approccio coordinato possa aiutare gli operatori di servizi essenziali ad implementare misure di prevenzione, gestione e mitigazione delle minacce cyber, per conseguire quindi un elevato livello di sicurezza delle reti e dei sistemi informativi.

LEGGI ANCHE: Best practices e strategie di difesa: la cybersecurity a sostegno delle aziende

DIRETTIVA NIS

Vincenzo Impedovo ha introdotto la NIS spiegando che si tratta di una Direttiva europea del 2016, recepita in Italia dal D.Lgs. 65/2018, che impone agli Stati Membri dell’Unione l’adozione di una serie di misure comuni per la sicurezza delle reti e dei sistemi informativi.

Nello specifico, la Direttiva NIS, si rivolge a due tipologie di operatori:

  • Operatori di Servizi Essenziali (OSE) pubblici o privati, fornitori di servizi nei settori rilevanti per il sistema Paese. L’elenco nazionale degli OSE è istituito presso il Ministero dello sviluppo economico e viene aggiornato, almeno ogni due anni, a cura delle Autorità competenti NIS.
  • Fornitori di Servizi Digitali (FSD), che forniscono servizi di e-commerce, cloud computing e motori di ricerca con sede sociale sul territorio nazionale. A tale riguardo, non sono soggetti alla Direttiva NIS i Fornitori di Servizi Digitali con meno di cinquanta dipendenti o con fatturato inferiore ai 10 milioni di euro l’anno.

Secondo l’Art. 12 “Obblighi in materia di sicurezza e notifica degli incidenti” del D. Lgs. 65/2018, gli OSE e gli FSD hanno l’obbligo di:

  • Adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi inerenti la sicurezza della rete e dei sistemi informativi. Tali misure devono aiutare a prevenire e minimizzare l’impatto degli eventuali incidenti, al fine di assicurare la continuità di erogazione dei servizi.
  • Notificare al CSIRT e all’Autorità competente NIS gli incidenti con impatto rilevante sulla fornitura dei servizi essenziali.

Come poterlo fare?

Il relatore spiega come il Comitato che riunisce le Autorità NIS ha condiviso l’opportunità di utilizzare il Framework Nazionale di Cyber Security come base di riferimento per l’adeguamento alla Direttiva NIS, individuando 5 aree funzionali:
Identify, Protect, Detect, Respond e Recover.

Continua a leggere su Medium.