76
CITY LIFE MAGAZINE N.38
I
nsieme a Energia Media, promotore dal
2013 di ConferenzaCSE - Cyber Security
Energia, abbiamo seguito con attenzione
il processo di recepimento in Italia della di-
rettiva (UE) 2016/1148 del 6 luglio 2016, per
un livello comune elevato di sicurezza delle
reti e dei sistemi informativi nell’Unione (in
gergo NIS, Network Information Security).
La direttiva è stata recepita con il decreto
legislativo 18 maggio 2018, n. 65, entrato
in vigore lo scorso 24 giugno. Il sito www.
cybersecurityenergia.it ha costantemente
informato negli scorsi mesi sul recepimen-
to ed Energia Media ha partecipato ai lavori
parlamentari con proprie osservazioni e pro-
poste emendative.
A chi si applica?
La NIS è quindi già legge, anche se manca-
no ancora essenziali provvedimenti attuativi.
Tra questi, quello di maggiore interesse per
il settore energetico (energia elettrica, gas e
petrolio) è certamente la scelta delle imprese
alle quali si applica la legge, perché “opera-
tori di servizi essenziali”, con sede nel terri-
torio nazionale. Tale scelta è demandata alle
“Autorità competenti NIS”: nel caso dell’e-
nergia il Ministero dello Sviluppo Economico
che dovrà tenere conto sia dei criteri previsti
dalla direttiva sia degli approfondimenti svol-
ti dal “Gruppo di cooperazione” europeo.
Cosa farà il CSIRT?
Altro provvedimento essenziale è l’istituzio-
ne del CSIRT (Computer Security Incident
Response Team) che assorbirà CERT nazio-
nale e CERT PA. L’organizzazione e il funzio-
namento del CSIRT avrebbero dovuto esser
disciplinati da un DPCM entro il 9 novembre
2018; la stessa scadenza per l’elenco degli
operatori, ma come in tutta Europa c’è del
ritardo in questi provvedimenti, particolar-
mente complessi.
Compito del CSIRT è definire le procedure
per la prevenzione e la gestione degli inci-
denti informatici cui le imprese si dovranno
adeguare. Il CSIRT italiano partecipa alla
rete dei CSIRT europei.
Cosa è il “Gruppo di cooperazione”?
Al vertice del “sistema NIS” si colloca il
“Gruppo di cooperazione” composto da
rappresentanti degli Stati membri, del-
la Commissione Europea e dell’Agenzia
dell’Unione Europea per la sicurezza delle
reti e dell’informazione (ENISA). Compito del
gruppo è lo scambio, la diffusione e la con-
divisione delle informazioni sugli incidenti e
delle migliori pratiche per prevenirli e gestirli.
Al Gruppo partecipa per l’Italia il DIS (Dipar-
timento Informazioni Sicurezza) identificato
dalla NIS come “punto di contatto unico”,
che terrà i rapporti con il CSIRT e le “Autorità
competenti NIS”.
Tutti subito?
Con la definizione dei soggetti cui si appli-
ca la NIS e l’istituzione del CSIRT, il Decreto
legislativo 65/2018 diverrebbe rapidamente
operativo. Quando questo accadrà saran-
no fornite indicazioni e proposti interventi
tali da garantire il “livello comune elevato di
sicurezza” richiesto. Anche se ogni settore
coinvolto dalla NIS ha le proprie specificità
(trasporti, sanità, banche, mercati organiz-
zati, servizi informatici) quello energetico si
presenta particolarmente complesso.
In teoria la NIS potrebbe riguardare da su-
bito gli operatori dell’energia già dotati di
uno SCADA (Supervisory Control and Data