L’Italia – insieme a Germania e Gran Bretagna – è nel gruppo di testa degli Stati membri UE che hanno concretamente dato seguito agli adempimenti della cosiddetta Direttiva NIS, lo strumento dell’Unione che ha definito le misure necessarie a conseguire un più elevato livello di sicurezza delle reti e dei sistemi informativi in Europa.

Gli Operatori di servizi essenziali (OSE)

Come richiesto dal provvedimento, le Autorità competenti italiane (Ministero dello sviluppo economico, Ministero delle infrastrutture e dei trasporti, Ministero dell’economia e delle finanze, nonché il Ministero della Salute e il Ministero dell’ambiente e della tutela del territorio e del mare in collaborazione con le Regioni e Province autonome di Trento e di Bolzano) hanno tempestivamente identificato gli Operatori di servizi essenziali (OSE) per ciascuno dei settori previsti dalla Direttiva (energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile e infrastrutture digitali): si tratta di un totale di 465 realtà, tra pubbliche e private. Parallelamente, ci si è attivati anche sulle misure che gli OSE dovranno adottare per la gestione dei rischi e sulle modalità con cui valutarne la compliance: un aspetto, quello di adeguamento alle norme, che fa davvero fare un salto di qualità alla cultura della sicurezza cibernetica.

Il processo di identificazione

I prossimi step prevedono che entro il 31 gennaio le Autorità competenti comunichino alle organizzazioni identificate di essere state inquadrate quale ‘OSE nazionale’. Il processo di identificazione avrà carattere periodico e sarà ripetuto quando necessario e comunque ogni due anni, in modo da fotografare in maniera autentica l’emergere di eventuali nuove realtà OSE e far sì che tale identificazione individui correttamente i ‘gangli vitali’ del Paese.

Quello appena concluso dall’Italia è un passaggio fondamentale per garantire quell’ecosistema cyber previsto dalla Direttiva UE che trova snodi fondamentali anche nello CSIRT (Computer Security Incident Response Team), istituito presso la Presidenza del Consiglio ed attualmente operante come coordinamento tra CERT-Nazionale e CERT-PA, e nel Punto di contatto unico, individuato all’interno del Dipartimento delle informazioni per la sicurezza (DIS). Più specificatamente il primo sarà responsabile per il monitoraggio, la gestione e l’analisi dinamica degli incidenti cibernetici, e per la diffusione di allerta e divulgazione di informazioni; mentre il secondo è chiamato ad operare su due fronti: a livello nazionale, per coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi, e a livello UE per garantire la cooperazione transfrontaliera delle Autorità competenti italiane con quelle degli altri Stati membri e la partecipazione al Gruppo di cooperazione NIS.

L’architettura europea di cybersecurity

Sull’onda dell’iniziativa europea il Sistema Paese si sta dunque strutturando per essere più resiliente rispetto a minacce che già oggi insidiano la sicurezza nazionale e la crescita dell’Italia. Non va dimenticato infatti che gli sviluppi tecnologici attesi nel prossimo futuro sono per certi versi destinati a moltiplicare pericolosità ed impatto. Il grande merito della Direttiva NIS, ed il parametro su cui andrà misurata l’efficacia degli interventi previsti, è del resto quello di aver innescato, in tutti i Paesi membri, uno sviluppo che, prima che tecnico ed ordinamentale, è soprattutto di natura culturale, dando vita ad un’architettura europea di cybersecurity che rende concreti alcuni dei principi cardine attorno a cui ruota la Strategia Nazionale in materia: approccio coordinato, aumento della consapevolezza, partnership pubblico-privato.