Telecomunicazioni, acqua, luce, gas, ma anche trasporti: le infrastrutture critiche sono quelle la cui distruzione o interruzione anche parziale possono compromettere il funzionamento normale di un Paese.
La globalizzazione e la liberalizzazione – con i loro aspetti economici, sociali, tecnologici e politici – comportano infrastrutture critiche sempre più interoperabili e integrate.
Questi fenomeni presentano nuove e difficili sfide nella gestione e nella protezione di questi sistemi e, in particolare, impongono lo sviluppo di strategie innovative per garantire la continuità del servizio.
Tra queste la sfida cyber.
Nel 2018 nell’Unione Europea entrerà in vigore la Security of Network and Information Systems Directive (direttiva Nis) che stabilisce requisiti minimi di sicurezza per operatori di infrastrutture critiche e fornitori di servizi essenziali.
Tramite la direttiva Nis la Ue ha fortemente richiamato l’attenzione degli stati membri sulla necessità di intervenire in maniera coordinata, uniforme ed incisiva per contrastare la minaccia cyber ed innalzare il livello di difesa dello spazio cibernetico nazionale e comunitario.
Dal punto di vista delle infrastrutture critiche, la direttiva rappresenta un passo in avanti sia sul fronte della riduzione dei cyber-rischi sia come leva per la digitalizzazione – di cui le reti sono il perno – dato che aumenta il livello di fiducia dei cittadini nell’utilizzo del digitale.
La direttiva definisce principi di assoluta rilevanza, a cominciare dall’ obbligo a livello nazionale di censire e pubblicare l’elenco degli operatori di servizi essenziali.
La norma punta a garantire trasparenza ed accountability diretta da parte di coloro che gestiscono le infrastrutture critiche del sistema Paese e che, per questo, saranno obbligati ad attuare un insieme di misure di sicurezza appropriate.
Sul fronte misure di sicurezza (di carattere tecnico o organizzativo), la Ue stabilisce che queste dovranno essere adeguate e proporzionali alla gestione dei rischi.
Un obbligo scontato?
Niente affatto: per la prima volta il legislatore attribuisce un peso specifico al “ processo di valutazione del rischio ” come elemento chiave per stabilire l’adeguatezza di una misura di sicurezza e come parametro per stabilire che tipo di impatto potrebbe avere sulle reti la sua mancata adozione.
Un approccio che si rafforza con quanto previsto dall’articolo 15 della Nis: le autorità competenti dovranno avere poteri e mezzi necessari per valutare l’effettiva conformità degli operatori agli obblighi di attuazione delle misure di sicurezza nonché giudicare la correttezza del processo di valutazione del rischio che portano alla definizione delle misure di sicurezza.
