Previous Page  97 / 100 Next Page
Information
Show Menu
Previous Page 97 / 100 Next Page
Page Background

esecutività (self executing), la Direttiva

NIS necessita, per spiegare i suoi effet-

ti, a livello nazionale di corrispondenti

atti di recepimento dei suoi contenuti

da parte degli Stati membri dell’Unio-

ne, ivi compreso il nostro Paese che

dovrà adottare e pubblicare entro il

9 maggio 2018 le disposizioni legisla-

tive, regolamentari ed amministrative

necessarie.

Entro lo stesso termine gli Stati do-

vranno individuare, ai sensi dell’art. 5

della Direttiva, relativamente ai settori

indicati nell’allegato II (vale a dire: ener-

gia, traspor ti, banche, infrastrutture

dei mercati finanziari, sanitá, fornitura

e distribuzione di acqua potabile e

infrastrutture digitali) quali siano gli

operatori di servizi essenziali con una

sede nel loro territorio.

Accanto ai settori generali appena ri-

cordati, la Direttiva contempla anche

degli ambiti più piccoli di dettaglio che

comprendono, a titolo esemplificativo:

gli istituti sanitari (compresi ospedali

e cliniche private), i fornitori di servizi

DNS e gli enti creditizi quali definiti

all’articolo 4, punto 1, del regolamen-

to (UE) n. 575/2013 del Parlamento

europeo e del Consiglio. Per comple-

tezza, vale la pena sottolineare che

specifiche misure di sicurezza sono

poste dalla Direttiva anche a carico

dei fornitori di servizi digitali, vale a

dire: mercato on line, motori di ricerca

e cloud computing.

Il dovere alla sicurezza di operatori

e fornitori

Sugli operatori di servizi essenziali e

digitali, in par ticolare, si concentra-

no le misure specifiche in termini di

innalzamento del livello di sicurezza

delle informazioni che gli Stati, trami-

te il recepimento dei contenuti della

Direttiva stessa, dovranno prevedere.

In particolare, gli art. 14 e 16 della Di-

rettiva prevedono, che gli operatori dei

servizi essenziali e digitali da una parte

(a), tenuto conto delle conoscenze più

aggiornate in materia, adottino misure

tecniche e organizzative adeguate e

pro-porzionate alla gestione e miti-

gazione dei rischi posti alla sicurezza

delle reti e dei sistemi informativi che

usano. Dall’altra (b), adottino misure

adeguate per prevenire e minimizza-

re l’impatto di incidenti a carico della

sicurezza della rete e dei sistemi infor-

mativi utilizzati, al fine di assicurare la

continuità di tali servizi. Infine, ma non

per ultimo (c), che notifichino senza

indebito ritardo all’autorità compe-

tente o al Csirt (Computer security

incident response team) gli incidenti

aventi un impatto rilevante sulla con-

tinuità dei servizi prestati.

La rete di gruppi di intervento per

la sicurezza informatica

Una tra le previsioni maggiormente si-

gnificative per gli effetti anche indiretti

che potrà portare l’attuazione della Di-

rettiva, in termini di innalzamento del

livello di consapevolezza dell’esistenza

di rischi e di contromisure adatte, è

quella di cui all’art. 9 che impone, agli

Stati membri di designare uno o più

Csirt (veri e propri gruppi di interven-

to per la sicurezza informatica) che si

occupino anche, se necessario, con il

supporto di Enisa (l’Agenzia dell’Unio-

ne europea per la sicurezza delle reti

e dell’informazione), dei settori e dei

servizi specificati, ed abbiano il com-

pito di trattare gli incidenti e i rischi

secondo una procedura ben definita.

Nello specifico, competono ai Csirt:

il monitoraggio degli incidenti a livel-

lo nazionale; l’emissione di preallarmi,

allerte, annunci e divulgazione di infor-

mazioni alle parti interessate in merito

a rischi e incidenti; l’intervento in caso

di incidente e, infine, l’analisi dinamica

dei rischi e degli incidenti.

A livello sovranazionale, nell’ottica con-

tribuire allo sviluppo della fiducia fra

gli Stati membri e di promuovere una

cooperazione operativa rapida ed ef-

ficace, l’art. 12 della Direttiva istituisce

una rete di Csirt, composta da rappre-

sentanti dei Csirt degli Stati membri e

del Cert-UE.Tra i compiti della rete di

Csirt si segnalano in particolare quelli

di discutere, esaminare e individuare

ulteriori forme di cooperazione ope-

rativa, anche in relazione a categorie

di rischi e di incidenti, preallarmi, as-

sistenza reciproca, principi e modali-

tà di coordinamento, quando gli Stati

membri intervengono a proposito di

rischi e incidenti transfrontalieri.

95

gennaio-febbraio 2017

IL PARERE DEL LEGALE

NEL PROSSIMO NUMERO

Nel prossimo numero,muovendo

dai contenuti del Parere 8/2014

adottato il 16 settembre 2014

dal Gruppo Europeo dei Garanti

per la Protezione dei Dati Per-

sonali, istituito dall’art. 29 della

direttiva 95/46, ci occuperemo

dei principali profili giuridici re-

lativi ai recenti sviluppi nel cam-

po dell’Internet delle cose (IoT

- Internet Of Things).

© tashatuvango - fotolia.com

La Direttiva impone agli Stati

membri di designare uno o più

Computer security incidente

response team (Csirt) con

il compito di trattare gli incidenti

e i rischi legati alla Cyber Security

secondo una procedura

ben definita

1 89 90 91 92 93 94 95 96 97 98 99 100  FlippingBook