Le Autorità competenti NIS (Network and Information Security) sono istituite in attuazione della Direttiva NIS (Direttiva sulla sicurezza delle reti e dei sistemi informativi dell’Unione (NISUE 2016/1148)) che stabilisce le misure per il conseguimento di un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale.

L’obbiettivo è quello di definire un’unica linea strategica tra i vari Stati dell’Unione europea contro il rischio di incidenti ai danni delle reti informatiche e dei sistemi informativi. La linea strategica prevede, la gestione dei rischi, la protezione contro i cyber attacchi, l’individuazione di incidenti e la riduzione dell’impatto di tali incidenti.

La linea comune di sicurezza è dunque quella di gestire, proteggere, individuare, ridurre.

Nel recepirla, in ambito nazionale, sono stati individuati cinque Ministeri (sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente) presso i quali sono designate le “Autorità competenti NIS”.

Ciascuna Autorità NIS è responsabile del settore e dei servizi di competenza, con l’obbligo di vigilare sull’applicazione della Direttiva NIS ed esercitare altresì le relative potestà ispettive e sanzionatorie.

Settore e servizi

L’ambito di competenza dell’Istituto Superiore delle Comunicazioni del MiSE è il settore dell’energia e delle infrastrutture digitali nonché i servizi offerti da fornitori di servizi digitali.

 Al settore energia afferiscono i servizi di:

  • Distribuzione di energia elettrica
  • Distribuzione di gas
  • Generazione di energia elettrica
  • Gestione oleodotti
  • Rigassificazione
  • Stoccaggio di gas
  • Trasmissione di energia elettrica
  • Trasporto di gas

al settore infrastrutture digitali afferiscono i servizi di:

  • DNS (Domain Name System)
  • IXP (Internet Exchange Point)
  • TLD (Top-Level Domain)

Operatori di servizi essenziali (OSE)

L’Autorità NIS del MiSE ha individuato gli OSE, che forniscono uno o più servizi essenziali, per i quali un incidente avrebbe effetti negativi rilevanti, nei settori dell’energia e nelle infrastrutture digitali.

Obblighi in materia di sicurezza e notifica degli incidenti

Gli OSE adottano le “misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi” (art. 12 D.Lgs. 65/2018) e hanno altresì l’obbligo di notificare al CSIRT (Computer Security Incident Response Team) italiano e tempestivamente anche, all’Autorità competente NIS, gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti.

Linee guida per gli OSE

In coordinamento con la Presidenza del Consiglio dei Ministri – Dipartimento delle informazioni per la sicurezza (DIS) – e in cooperazione con le Autorità NIS di tutti i Ministeri coinvolti, l’Autorità NIS del MiSE ha predisposto apposite linee guida.

Queste sono uno strumento operativo di supporto al processo di gestione e trattamento del rischio cyber per la gestione della sicurezza delle reti e dei sistemi informativi. Sono basate sul Framework Nazionale per la Cyber Security e la Data Protection, all’interno del quale è possibile inquadrare le misure di sicurezza, gli standard e le norme di settore, secondo un principio di neutralità tecnologica.

Le linee guida disciplinano anche le procedure di notifica obbligatoria degli incidenti rilevanti sulla continuità dei servizi essenziali forniti, e promuovono un meccanismo di notifiche volontarie per la condivisione delle informazioni sugli incidenti.

 

CONTATTI

e-mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
PEC: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Viale America, 201 - 00144 Roma -

Torna su