sabato 16 giugno 2018

Direttiva NIS in vigore (veramente)

Sabrina Prola mi ha segnalato la pubblicazione del D. Lgs. 65 del 18 maggio 2018, di recepimento della Direttiva NIS. Si trova sulla G.U. Serie Generale n. 132:
- www.gazzettaufficiale.it/eli/id/2018/06/09/18G00092/sg.

Questo fa seguito al mio post dal titolo "Direttiva NIS in vigore (ma non troppo)":
http://blog.cesaregallotti.it/2018/05/direttiva-nis-in-vigore-ma-non-troppo.html.

Qui elenco le mie prime riflessioni. Come già successo con il GDPR immagino che avrò l'opportunità di approfondire molti punti (e su alcuni di cambiare idea), grazie ad articoli, interventi e scambi di opinione con chi vuole contattarmi.

La NIS ha l'obiettivo di migliorare la sicurezza informatica nella UE.

Per quanto riguarda i privati, è indirizzata agli "operatori di servizi essenziali e dei fornitori di servizi digitali", con l'eccezione degli operatori di telecomunicazione (in quanto già normati dal Codice delle comunicazioni) e dei fornitori di servizi fiduciari (già normati da eIDAS e CAD). Gli operatori saranno identificati entro il 9 novembre 2018 dalle "autorità competenti NIS" (ossia i Ministeri dello sviluppo economico, delle infrastrutture e trasporti, dell'economica e finanze, della salute e dell'ambiente). L'elenco sarà mantenuto dal Ministero dello sviluppo economico, che quindi sarà da tenere monitorato.

Per quanto riguarda i fornitori di servizi digitali, sono 3 quelli ritenuti critici: Mercato online, Motore di ricerca online e Servizi di cloud computing (ad esclusione delle micro e piccole imprese; ossia imprese che occupano meno di 50 persone e realizzano un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di EUR). Trovo interessante siano inclusi anche i primi due, in quanto li ho mai visti come "critici". Dovranno (articolo 14) assicurare la continuità dei servizi, oltre alla sicurezza.

Gli operatori dovranno comunicare alle autorità NIS le proprie misure di sicurezza. Spero non vedremo il proliferare di modelli inventati di sana pianta come sta facendo AgID con i servizi fiduciari (spero che le esperienze di questi anni abbiano insegnato).

Sono stato colpito dalla seguente: "la prova dell'effettiva attuazione delle politiche di sicurezza, come i risultati di un audit sulla sicurezza svolto dall'autorità competente NIS o da un revisore abilitato e, in quest'ultimo caso, metterne a disposizione dell'autorità competente NIS i risultati, inclusi gli elementi di prova". Infatti qui si parla di "revisori abilitati" di cui sapremo in futuro come saranno abilitati e si usa il termine "elemento di prova", invece dello scorretto (frutto di traduzione pigra) "evidenze".

Sui "revisori abilitati" (ma anche sui rappresentanti degli operatori), segnalo solo che al momento in Italia c'è carenza di persone competenti e con esperienza, come abbiamo visto anche nella "corsa al DPO". Speriamo non siano fatti troppi errori nelle prime fasi di attuazione, ossia che non vengano pubblicate check list troppo dettagliate per essere utili, gli auditor non si impuntino sui formalismi o su processi inutili e i rappresentanti degli operatori sappiano far valere le proprie ragioni (purché non cerchino di farsi validare pratiche scorrette).

Viene istituito il CSIRT italiano, unendo (se ho capito correttamente) il CERT nazionale (https://www.certnazionale.it/) e il CERT-PA. Sarà quindi importante seguirne le attività di informazione.

Le misure di sicurezza da adottare sono oggetto dell'articolo 12. "Nell'adozione delle misure, gli operatori di servizi essenziali tengono conto delle linee guida predisposte dal gruppo di cooperazione, nonché delle linee guida delle "autorità competenti NIS"". Dovremo quindi tenere monitorati i lavori di ENISA, che ultimamente hanno messo a disposizione documenti molto interessanti (altri meno).

All'articolo 17: "promuovono l'adozione di norme e specifiche europee o accettate a livello internazionale relative alla sicurezza della rete e dei sistemi informativi". Speriamo quindi vengano promosse le norme della serie ISO/IEC 27000 e aumenti al partecipazione qualificata alla loro redazione.

Mi permetto di essere preoccupato per il requisito "Le autorità competenti NIS possono predisporre linee guida per la notifica degli incidenti", visto che AgID ha recentemente richiesto agli operatori di servizi fiduciari di comunicarle ogni incidente, secondo uno schema oggettivamente inapplicabile.

Ho qualche perplessità sullo spazio dedicato alla reazione agli incidenti, visto che poco è detto in merito alla prevenzione, rimandando tutto ad altre norme. Questo è un approccio, ovviamente sbagliato, che sta sempre più diffondendosi: molta attenzione alla reazione, minore alla prevenzione.

Infine: le sanzioni arrivano ad un massimo di 150.000 Euro.

Nessun commento:

Posta un commento