Con il Decreto Legislativo sulla cybersecurity del 18 maggio 2018, n.65, pubblicato sulla Gazzetta Ufficiale n. 132 del 9 giugno 2018, l'Italia ha attuato la Direttiva (UE) 2016/1148, detta anche Direttiva NIS, intesa a definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi.

Condividi:

Il decreto si applica agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD).  Gli OSE sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l'economia nei settori sanitario, dell'energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. Gli FSD, invece, sono le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale. Sia gli "OSE" che gli "FSD":

• sono chiamati ad adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e a prevenire e minimizzare l’impatto degli incidenti a carico della sicurezza delle reti e dei sistemi informativi, al fine di assicurare la continuità del servizio.
• hanno l’obbligo di notificare, senza ingiustificato ritardo, gli incidenti che hanno un impatto rilevante (secondo le singole definizioni proprie del settore di riferimento), rispettivamente sulla continuità e sulla fornitura del servizio, al Computer Security Incident Response Team (CSIRT) italiano, informandone anche l’Autorità competente NIS di riferimento.

DNV può supportare entrambi i soggetti nel perseguire la conformità ai requisiti previsti dalla Direttiva NIS, che sono obbligatori e anche sanzionabili. L’addendum al decreto legge attuativo della NIS, infatti, il dl del 21 settembre 2019, n. 105 che tratta le "Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica", istituisce le sanzioni riguardanti i mancati adempimenti normativi che risultano essere particolarmente ingenti: ad es. il mancato adempimento degli obblighi di predisposizione e  di aggiornamento dell'elenco delle reti, dei sistemi informativi  e  dei servizi informatici di cui al comma 2, lettera b), è punito  con  la sanzione amministrativa pecuniaria da euro 200.000 a euro 1.200.000.

Quali sono i vantaggi di una verifica da parte di DNV?

Una verifica da parte di DNV è utile ad identificare i limiti dei programmi di sicurezza (cyber security) di un'organizzazione, supportarla nella prioritizzazione degli obiettivi e nel percorso intrapreso per ottenere una completa conformità alla normativa cogente, attraverso l'individuazione del livello di confomità corrente rispetto ai requisiti in atto e alle migliori best practices di settore. I principali benefici derivanti da valutazioni terze ed indipendenti aiutano le aziende a rispondere a questioni cruciali, riguardanti:

• quali perdite possono essere catastrofiche per l'organizzazione; 
• quanto tempo l’organizzazione può resistere;
• quali informazioni non possono finire in mani sbagliate;
• qual è il ruolo dell’organizzazione nel sistema socio-economico;
• quali danni causerebbe un grave disservizio da parte dell’organizzazione. 

La realizzazione di un processo di Cyber Risk Management è cruciale per le organizzazioni perchè, ad oggi, può fare la differenza tra il successo e il fallimento per un'impresa all'avanguardia.

A quali tipologie di aziende si applica?

Gli ambiti di competenza sono: 

• Settore dell’energia – Sottosettori energia elettrica, gas e petrolio
• Settore delle infrastrutture digitali
• Servizi digitali
• Settore dei trasporti – Sottosettori trasporto aereo, trasporto ferroviario, trasporto per vie d’acqua e trasporto su strada
• Settore bancario
• Settore delle infrastrutture dei mercati finanziari
• Settore sanitario
• Settore della fornitura e distribuzione di acqua potabile

La metodologia di DNV

DNV mette a disposizione delle aziende la propria esperienza nel campo dell’analisi dei processi e del risk assessment per la garanzia del raggiungimento degli obiettivi di compliance attraverso un approccio metodologico che segue

• Verifica e analisi dei principali asset e processi critici, sottostanti i servizi essenziali
• Verifica delle analisi del rischio (di processo, di outsourcing, IT, OT) per ogni processo/asset identificat
• Verifica della classificazione e mappatura dei rischi rilevati per valutarne il grado di coerenza rispetto all'esposizion
• Valutazione della Business Impact Analysis (focalizzata sulle conseguenze dei rischi a maggior valore
• Valutazione del piano degli interventi (action plan) di mitigazione dei risc
• Valutazione dei contenuti in ordine alle tabelle del Framework Nazionale previste per le specifiche Linee Guida degli OSE / FSD

DNV ha già maturato esperienza nell'ambito della direttiva NIS, attraverso l'applicazione della propria metodologia riguardo la contestualizzazione del Framework Nazionale così come richiesto dalle Linee Guida distribuite agli OSE nel mese di Luglio 2019.