Sicurezza delle reti e dei sistemi informativi

SINTESI DI:

Direttiva (UE) 2016/1148 — Sicurezza delle reti e dei sistemi informativi

QUAL È LO SCOPO DELLA DIRETTIVA?

Essa propone un ampio insieme di misure volte ad aumentare il livello di sicurezza delle reti e dei sistemi informativi*per garantire servizi di importanza vitale per l’economia e la società dell’Unione europea. Essa punta ad assicurare che gli Stati membri siano adeguatamente preparati e pronti a gestire e rispondere ad attacchi contro i sistemi di informazione attraverso:

la designazione di autorità competenti,
la creazione di gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), e
l’adozione di strategie nazionali per la sicurezza della rete e dei sistemi informativi.

Essa stabilisce inoltre la collaborazione a livello dell’Unione europea sia a livello strategico che a livello tecnico.

Infine, essa introduce l’obbligo per gli operatori di servizi essenziali e i fornitori di servizi digitali di adottare le misure di sicurezza appropriate e di segnalare all’autorità nazionale competente il verificarsi di incidenti gravi.

PUNTI CHIAVE

Migliorare le capacità nazionali di sicurezza delle reti e dei sistemi informativi

I paesi dell’UE devono:

designare una o più autorità nazionale competente e CSIRT e identificare un punto di contatto unico (se le autorità competenti sono più di una);
identificare gli operatori dei servizi essenziali in settori critici quali quello dell’energia, dei trasporti, della finanza, del settore bancario, del settore sanitario, della fornitura di acqua e delle infrastrutture digitali in cui un attacco alle reti e ai sistemi informativi potrebbe avere un impatto negativo su un servizio essenziale.

Gli Stati membri devono inoltre mettere in atto una strategia nazionale di sicurezza delle reti e dei sistemi informativi*che affronti i seguenti aspetti:

la preparazione e la prontezza a gestire e rispondere ad attacchi alle reti e ai sistemi informativi;
i ruoli, le responsabilità e la cooperazione del governo e degli altri attori pertinenti;
la formazione, la sensibilizzazione e l’istruzione;
piani di ricerca e sviluppo;
pianificazione per la valutazione dei rischi.

Le autorità nazionali competenti devono monitorare l’applicazione della direttiva tramite:

valutazione delle politiche sulla sicurezza delle reti e dei sistemi informativi dei fornitori di servizi essenziali;
supervisione dei fornitori dei servizi digitali;
partecipazione al lavoro del gruppo di cooperazione composto dalle autorità competenti in materia di sicurezza delle reti e dell’informazione (NIS) di ciascuno degli Stati membri, la Commissione europea e l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA);
informazione al pubblico quando necessario per prevenire incidenti o affrontare incidenti in corso, nel rispetto della riservatezza;
Emanare istruzioni vincolanti al fine di porre rimedio alle carenze individuate nella sicurezza delle reti e dei sistemi informativi.

I CSIRT sono responsabili di:

monitoraggio e intervento in caso di incidenti legati alla sicurezza delle reti e dei sistemi informativi;
analisi dinamica dei rischi e degli incidenti, nonché sensibilizzazione situazionale;
partecipazione alla rete dei CSIRT;
cooperazione con il settore privato;
Promozione dell’uso di prassi comuni standardizzate per il trattamento degli incidenti e dei rischi e la classificazione delle informazioni.

Obblighi in materia di sicurezza e notifica

La direttiva punta a promuovere una cultura di gestione del rischio. Le imprese che operano in settori chiave devono valutare i rischi che corrono e adottare misure che garantiscano la sicurezza delle reti e dei sistemi informativi; Tali aziende devono notificare alle autorità competenti o i CSIRT tutti gli incidenti rilevanti, quali la pirateria informatica o il furto di dati, che possano compromettere seriamente la sicurezza delle reti e dei sistemi informativi e avere un impatto negativo significativo sulla continuità di servizi critici e la fornitura di beni.

Per stabilire quali incidenti debbano essere notificati dai fornitori di servizi essenziali*, gli Stati membri devono tenere in conto la durata e la diffusione geografica dell’incidente e altri fattori, ad esempio il numero di utenti che dipendono da quel servizio.

Anche i fornitori di servizi digitali chiave (motori di ricerca, servizi nella nuvola e mercati digitali) dovranno soddisfare gli obblighi di sicurezza e notifica.

Migliorare la cooperazione a livello dell’Unione

La direttiva istituisce il gruppo di cooperazione i cui compiti comprendono:

fornire orientamento alla rete di CSIRT;
scambiare buone pratiche sull’identificazione dei fornitori di servizi essenziali;
assistere gli Stati membri nel creare capacità in materia di sicurezza della rete e dei sistemi informativi;
scambiare informazioni e migliori pratiche in materia di sensibilizzazione e formazione, ricerca e sviluppo;
raccogliere informazioni sulle migliori pratiche in relazione ai rischi e agli incidenti;
discutere modalità per la comunicazione di notifiche di incidenti.

Essa istituisce inoltre la rete di CSIRT composta da rappresentanti dei CSIRT degli Stati membri e della squadra di pronto intervento informatico (CERT-UE). I compiti principali dell’ufficio di presidenza sono:

scambiare informazioni sui servizi dei CSIRT;
condividere informazioni su incidenti legati alla sicurezza delle reti e sei sistemi informativi;
fornire sostegno agli Stati membri nel far fronte a incidenti transfrontalieri;
discutere e individuare un intervento coordinato per un incidente rilevato da uno Stato membro;
discutere, esaminare e individuare ulteriori forme di cooperazione operativa, riguardanti:
- categorie di rischi e di incidenti;
- preallarmi;
- assistenza reciproca;
- coordinamento, tra Stati membri che intervengono a proposito di rischi e incidenti transfrontalieri;
informare il gruppo di cooperazione in merito alle proprie attività e chiedere orientamenti;
discutere gli insegnamenti appresi dalle esercitazioni in materia di sicurezza delle reti e dei sistemi informativi;
discutere le capacità un determinato CSIRT, dietro sua richiesta;
formulare orientamenti volti ad agevolare la cooperazione operativa.

Sanzioni

Gli Stati membri applicano sanzioni effettive, proporzionate e dissuasive volte a garantire l’applicazione dei termini della direttiva.

A PARTIRE DA QUANDO SI APPLICA LA DIRETTIVA?

Essa si applica dall’8 agosto 2016. Gli Stati membri hanno l’obbligo di incorporarla nella legislazione nazionale entro il 9 maggio 2018, e di identificare gli operatori dei servizi essenziali entro il 9 novembre 2018.

CONTESTO

Sicurezza delle reti e dei sistemi informativi (Commissione europea)
Sicurezza delle reti e dei sistemi informativi: La Commissione potenzia la propria risposta agli attacchi contro i sistemi di informazione — comunicato stampa (Commissione europea)
Direttiva sulla sicurezza delle reti e dei sistemi informativi — comunicato stampa (Commissione europea)
Resilienza, deterrenza e difesa: Verso una sicurezza forte per le reti e i sistemi informativi — scheda informativa (Commissione europea).

TERMINI CHIAVE

Sicurezza della rete e dei sistemi informativi: la capacità di una rete e dei sistemi informativi di resistere a ogni azione che comprometta la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati o dei servizi offerti da tali sistemi;

Rete e sistemi informativi: una rete di comunicazione elettronica, o qualsiasi dispositivo o gruppo di dispositivi interconnessi che eseguono un trattamento di dati digitali e i dati digitali conservati, trattati, estratti o trasmessi;

Servizio essenziale: soggetto pubblico o privato con un ruolo importante per la società e l’economia, come ad esempio la fornitura di acqua, di energia elettrica ecc.

DOCUMENTO PRINCIPALE

Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (GU L 194 del 19.7.2016, pagg. 1-30).

DOCUMENTI CORRELATI

Regolamento di esecuzione (UE) 2018/151, del 30 gennaio 2018, recante modalità di applicazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio per quanto riguarda l’ulteriore specificazione degli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi e dei parametri per determinare l’eventuale impatto rilevante di un incidente (GU L 26 del 31.1.2018, pagg. 48-51).

Decisione di esecuzione (UE) 2017/179 del 1^o febbraio 2017 che stabilisce le modalità procedurali necessarie per il funzionamento del gruppo di cooperazione, a norma dell’articolo 11, paragrafo 5, della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (GU L 28 del 2.2.2017, pagg. 73-77).

Comunicazione della Commissione al Parlamento europeo e al Consiglio: Sfruttare al meglio le reti e i sistemi informativi — verso l’efficace attuazione della direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, COM(2017) 476 final 2 del 4.10.2017.

Raccomandazione (UE) 2017/1584 del 13 settembre 2017 relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala (GU L 239, del 19.9.2017, pagg. 36-58).

Comunicazione congiunta al Parlamento europeo e al Consiglio - Resilienza, deterrenza e difesa: verso una cibersicurezza forte per l’UE, [JOIN(2017) 450 final del 13.9.2017].

Documento di lavoro dei servizi della Commissione — Valutazione della strategia dell’unione del 2013 per la sicurezza delle reti e dei sistemi informativi, SWD(2017) 295 final del 13.9.2017.

Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.8.2014, pagg. 73-114).

Le successive modifiche e le correzioni al regolamento (UE) n. 910/2014 sono state incorporate nel documento originale. La presente versione consolidata ha esclusivamente valore documentale.

Decisione 2013/488/UE del Consiglio, del 23 settembre 2013, sulle norme di sicurezza per proteggere le informazioni classificate UE (GU L 274 del 15.10.2013, pagg. 1-50).

Si veda la versione consolidata.

Direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (GU L 218 del 14.8.2013, pagg. 8-14).

Regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio, del 21 maggio 2013, relativo all’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) e che abroga il regolamento (CE) n. 460/2004 (GU L 165, del 18.6.2013, pagg. 41-58).

Comunicazione congiunta al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni — Strategia dell’Unione europea per la cibersicurezza: un ciberspazio aperto e sicuro, JOIN(2013) 1 final del 7.2.2013.

Ultimo aggiornamento: 01.03.2018