Manca pochissimo al raggiungimento del termine – Luglio 2020 – per innalzare il livello di sicurezza informatica degli Operatori di Servizi Essenziali (cd. O.S.E.) con la Direttiva Europea 2016/1148, cd. Direttiva N.I.S. (Network and Information Security), recepita nel nostro Ordinamento con il D.Lgs n.65/2018.

I soggetti obbligati all’adeguamento sono aziende ospedaliere e cliniche private, fornitori di energia petrolifera o elettrica o gas, di acqua, di telecomunicazioni, banche, intermediari finanziari, aziende di trasporto aereo, marittimo e ferroviario ed altri.

Si tratta del primo approccio coordinato a livello dell’Unione Europea sulla sicurezza informatica, che si propone di guidare tutti i Paesi membri a raggiungere un livello elevato ed uniforme di sicurezza informatica dei sistemi, delle reti e delle informazioni. Ciò considerato che il rischio cyber è ancora sottovalutato, nonostante secondo le ultime ricerche, gli incidenti informatici siano il principale rischio per le aziende a livello mondiale.

Gli obblighi per gli O.S.E. comporterebbero pertanto l’adozione di “misure tecniche ed organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi” e “misure adeguate a prevenire o minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi”.

Inoltre, è individuato l’obbligo tassativo di segnalazione di eventuale incidente informatico al CSIRT italiano e, per conoscenza, all’Autorità N.I.S. di cui dovranno essere conosciute e seguite le linee guida già predisposte.

L’approccio della direttiva e del D.Lgs, rispecchia tout court la filosofia e l’approccio di Observere rispetto alla sicurezza informatica: security by design e by default non soltanto limitato alle misure tecniche ma volto ad individuare e regolamentare processi organizzativi e comportamenti umani sicuri, per affrontare – con approccio interdisciplinare – i riflessi che tali comportamenti possono avere sul piano giuridico.

Ciò passa imprescindibilmente dalla promozione della cultura del rischio e dunque da una mirata attività di formazione di tutto il personale dipendente, dal livello di base a quello apicale; oltre che dall’adozione di policy di sicurezza attagliate alle reali necessità dell’azienda senza burocratizzare ulteriormente i processi ordinari. A latere di ciò ci sono poi gli altrettanto necessari adeguamenti tecnici.

L’adozione di tali misure non deve però limitarsi ad un obbligo formale disatteso poi nella prassi, anche perché ciò lo renderebbe non solo inefficace ma potrebbe far sorgere delle responsabilità personali in capo ai top managers in caso di incidente informatico. A tal fine, l’effettivo rispetto delle misure di sicurezza può e deve essere monitorato grazie ad audit mirati e reinforcement della formazione, soprattutto nei soggetti che dimostrano di non avere ben compreso i comportamenti sicuri da adottare, il tutto corredato da appositi report.

L’approccio alla sicurezza informatica passa da competenze non solo tecniche ma anche di investigazione, di intelligence e legali.

 
Di Nicola Tigri e Mariachiara Garofalo

CategoryCyberSecurity

© 2018 Observere Srl P.Iva 10220640964

logo-footer