Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

cyber security

Direttiva NIS in Europa, lo stato nei diversi Paesi UE

Ecco il quadro completo di come si stanno muovendo gli altri stati europei con la direttiva Nis, recepita in Italia e ora in via di implementazione

06 Set 2018

Alessandro Fasani

Università Internazionale degli Studi Sociali "Guido Carli"


Dopo il recepimento della direttiva NIS in Italia e in attesa della sua piena attuazione, è interessante vedere come si stanno comportando gli altri paesi europei.

La situazione nella Ue

In Francia lo status di implementazione è ben altra cosa rispetto all’Italia. La strategia nazionale è completata ed è disponibile online, il punto di contatto unico è già stato assegnato all’ANSSI, l’agenzia nazionale per la sicurezza dei sistemi di informazione la quale funge anche da autorità nazionale competente per i fornitori di servizi digitali. L’autorità per gli operatori di servizi essenziali non è ancora stata comunicata mentre lo CSIRT nazionale è il CERT-FR.

In Spagna la situazione è ancora migliore, vi è una strategia nazionale, un punto di contatto unico, addirittura due autorità competenti per i fornitori di servizi digitali, sia per il settore privato – in questo caso il segretario di Stato per la Società dell’Informazione e l’Agenda Digitale – che per il settore pubblico, incarnato dal Ministero della Presidenza e dell’Amministrazione Territoriale il quale opera attraverso il Centro Crittologico Nazionale. Per quanto riguarda l’autorità nazionale competente per gli operatori dei servizi essenziali, il ruolo è affidato al Segretario di Stato per la Sicurezza all’interno del Ministro dell’Interno, il quale opera attraverso il Centro Nazionale per la Protezione delle Infrastrutture e della Cybersecurity (CNPIC). Lo CSIRT nazionale spagnolo è diviso in due, per il pubblico con il CCN-CERT e per il privato con l’INCIBE-CERT.

In Portogallo la situazione è simile a quella francese. Vi è una strategia nazionale, c’è un punto di contatto unico che è il Centro per la Cybersecurity Nazionale Portoghese, il quale funge anche da autorità competente per i fornitori di servizi digitali e anche da autorità nazionale competente per gli operatori dei servizi essenziali. Lo CSIRT nazionale portoghese è il CERT.PT.

Status analogo per il Belgio, il quale possiede una strategia nazionale, e il Centro per la Cybersecurity belga riveste i ruoli di punto di contatto unico, che di autorità nazionale competente sia per i fornitori dei servizi digitali che per gli operatori dei servizi essenziali. Il CERT.be svolge ovviamente il ruolo di CSIRT.

Tra i paesi che hanno adottato un approccio “accentratore” vi è la Germania, la quale ha finito la trasposizione della NIS, ha una strategia nazionale e i ruoli di punto di contatto unico, autorità nazionale competente per i fornitori di servizi digitali, quella per gli operatori dei servizi essenziali, e lo CSIRT nazionale sono tutti svolti dall’Ufficio Federale per la Sicurezza delle Informazioni.

L’Irlanda possiede una strategia nazionale e lo CSIRT-IE riveste i ruoli di punto di contatto unico, da autorità nazionale competente per i fornitori di servizi digitali, da autorità nazionale competente per gli operatori dei servizi essenziali che, ovviamente, da CSIRT nazionale.

Il Regno Unito è l’unico paese che al momento può fregiarsi di avere ultimato la trasposizione della direttiva NIS e, probabilmente, nel modo più completo. C’è una strategia nazionale, il National Cyber Security Centre (NCSC) riveste il ruolo sia di punto di contatto unico che di CSIRT nazionale, l’Information Commissioner’s Office (ICO) funge da autorità nazionale competente per i fornitori di servizi digitali, mentre per quanto riguarda gli operatori dei servizi essenziali abbiamo divere autorità competenti in base al settore. Il Regno Unito ha un’autorità per tutti i servizi essenziali: energia, trasporti (diviso in aerei, terrestri gommati, terrestri ferrati, e marini), infrastruttura bancaria e finanziaria, sanità, fornitura e distribuzione di acqua potabile, e infrastruttura digitale. È interessante notare come oltre a questa suddivisione, le autorità competenti siano divise anche in zone geografiche (Inghilterra, Scozia, Galles e Irlanda del Nord) per la maggior parte dei settori. Una decisione del genere non può che tradursi in una migliore organizzazione ed efficienza per la cybersecurity britannica.

Nei Paesi Bassi la trasposizione della direttiva è in corso: Vi è una strategia nazionale, un punto di contatto unico, e diverse autorità per quanto riguarda gli operatori di servizi essenziali. Non hanno ancora designato un’autorità per il settore dei trasporti e non hanno ancora comunicato uno CSIRT nazionale.

La Danimarca ha parzialmente trasposto la direttiva ma si può ritenere a buon punto, dato che possiede una strategia nazionale, un punto di contatto unico incarnato nel Centro Danese per la Cybersecurity, un’autorità nazionale competente per i fornitori di servizi essenziali, ovvero la Danish Business Authority la quale ricopre anche il ruolo di CSIRT nazionale. Per quanto riguarda l’autorità nazionale competente per gli operatori di servizi essenziali, anche in questo caso i danesi hanno diverse autorità in base ai settori selezionati, ovvero energia, trasporti, infrastruttura bancaria e finanziaria, e sanità, manca quindi l’autorità per l’infrastruttura digitale.

Anche la Svezia non ha ancora terminato la trasposizione della NIS, è però dotata di una strategia nazionale, di un punto di contatto unico – ruolo ricoperto dall’equivalente svedese della Protezione Civile -, di un’autorità nazionale competente per i fornitori dei servizi digitali, ovvero l’Autorità per le Poste e le Telecomunicazioni, e di diverse autorità competenti per gli operatori di servizi essenziali. I settori attualmente coperti dalla Svezia sono: energia, trasporti, infrastruttura bancaria e finanziaria, sanità, e fornitura e distribuzione di acqua potabile. Lo CSIRT nazionale è l’MSB/CERT-SE.

La Finlandia ha ultimato la trasposizione della NIS. Ha una strategia nazionale, mentre il punto di contatto unico, l’autorità nazionale competente per i fornitori di servizi digitali e lo CSIRT nazionale sono tutti all’interno dell’Ente Regolatore per le Comunicazioni Finlandese. Per quanto riguarda le autorità competenti per gli operatori di servizi essenziali, anche la Finlandia ha già provveduto a dividere le autorità per tutti i settori previsti dalla direttiva.

La Slovenia ha trasposto la direttiva, ha una strategia nazionale, un punto di contatto unico all’interno dell’Ufficio Governativo per la Protezione delle Informazioni Riservate, e il CERT.SI riveste i ruoli di entrambe le autorità nazionali competenti che, ovviamente, di CSIRT.

La Lettonia sta ancora trasportando la NIS nella propria legislazione nazionale, ma anch’essa è molto avanti avendo strategia, punto di contatto unico nel Ministero della Difesa, autorità nazionale competente per i fornitori di servizi digitali nel Ministero dei Trasporti, e diverse autorità per quanto riguarda gli operatori dei servizi essenziali. In particolare, per quanto riguarda il settore energetico, la Lettonia ha designato tre diverse autorità competenti per elettricità, petrolio, e gas. Lo CSIRT nazionale è il CERT.LV.

Situazione molto simile per quanto riguarda la Croazia, dove la trasposizione della direttiva è segnalata come ancora in corso. Nonostante ciò, vi è una strategia nazionale, vi è un punto di contatto unico, ovvero l’Ufficio del Consiglio di Sicurezza Nazionale, vi è un’autorità nazionale competente per i fornitori di servizi digitali all’interno del Ministero dell’Economia, e diverse autorità per gli operatori dei servizi essenziali. In questo caso la Croazia ha diversi uffici per quanto riguarda il settore dei trasporti– divisi in aerei, marittimi, gommati, e ferrati –, e ha separato le autorità per l’infrastruttura bancaria e quella finanziaria. Anche lo CSIRT nazionale è sdoppiato, in quanto c’è il CERT nazionale che si occupa del settore bancario, dell’infrastruttura finanziaria, dell’infrastruttura digitale e dei fornitori dei servizi digitali, mentre l’Ufficio Sicurezza è il riferimento per energia, trasporti, sanità e fornitura e distribuzione di acqua potabile.

La Lituania ha parzialmente trasposto la direttiva, ha una bozza di strategia nazionale e il CERT.LT raccoglie tutte le funzioni richieste dalla NIS, quindi punto di contatto unico, la totalità delle autorità nazionali competenti sia per fornitori di servizi digitali che per gli operatori essenziali e, ovviamente, lo CSIRT nazionale.

La Slovacchia ha ultimato la trasposizione della direttiva, ha comunicato una strategia nazionale, un “cyber security concept of the slovak republic” e anche un “action plan for the implementation of the cyber security concept of the Slovak Republic 2015-2020”. Il punto di contatto unico è l’ente di sicurezza nazionale, che ricopre anche i ruoli di entrambe le autorità nazionali. Lo CSIRT nazionale è l’SK-CERT.

L’Ungheria ha trasposto parzialmente la direttiva, non avendo ancora adottato una strategia nazionale ma avendo un punto di contatto unico nel Centro di Cybersecurity Nazionale, che funge anche da CSIRT. L’autorità nazionale competente sia per i fornitori di servizi digitali che per gli operatori essenziali è la Direzione Generale Nazionale per la Gestione delle Catastrofi.

In Grecia la trasposizione della NIS è ancora in corso. La strategia nazionale è disponibile per consultazione online, il punto di contatto unico è l’Autorità Nazionale per la Cybersicurezza all’interno del Ministero delle Politiche Digitali, Telecomunicazioni e Media, il quale riveste anche i ruoli di entrambe le autorità nazionali. Lo CSIRT nazionale è il CERT greco, ovvero l’Autorità Nazionale per il Contrasto di Attacchi Elettronici.

A Cipro la NIS è stata trasposta completamente, nonostante i dettagli sulla strategia nazionale e sulle autorità nazionali competenti debbano ancora essere comunicati. Il punto di contatto unico è la Digital Security Authority (DSA) e lo CSIRT nazionale è lo CSIRT-CY.

In Polonia, in Bulgaria, in Romania, in Austria e a Malta la trasposizione della direttiva è in corso ma i dettagli devono ancora essere determinati.

L’Estonia e la Repubblica Ceca hanno trasposto la direttiva NIS ma i dettagli devono essere ancora comunicati.

Il Lussemburgo ha nominato unicamente il punto di contatto unico ovvero l’Institut Luxembourgeois de Régulation, il resto rimane da determinare.

Un elemento interessante che emerge da questa analisi, visibile in particolar modo dalla tabella qui riportata, è come vi sia una divisione tra stati accentratori e stati decentratori, ovvero tra quegli stati che hanno indicato un’autorità singola per coprire tutta la cybersecurity nazionale e quelli che invece hanno un’autorità specifica per ogni elemento indicato dalla NIS. Dato che gli stati europei hanno ancora tempo – fino al 9 novembre 2018- per trasportare totalmente la direttiva per quanto riguarda l’identificazione degli operatori dei servizi essenziali è ancora presto per trarre delle conclusioni sull’efficienza di tali misure.

keyboard_arrow_right
keyboard_arrow_left
Status trasposizioneStrategia NazionalePunto di contatto unicoAutorità nazionale competente per i fornitori di servizi digitaliAutorità nazionale competente per gli operatori di servizi essenzialiCSIRT
EnergiaTrasportiInfrastruttura bancaria e finanziariaSanitàFornitura e distribuzione acqua potabileInfrastruttura digitale
AustriaIn corsoDa determinareDa determinareDa determinareDa determinareDa determinare
BelgioIn corsoCentro per la Cybersecurity in BelgioCentro per la Cybersecurity in BelgioCentro per la Cybersecurity in BelgioCERT.be
BulgariaIn corsoDa determinareDa determinareDa determinareDa determinareDa determinare
CroaziaIn corsol’Ufficio del Consiglio di Sicurezza NazionaleMinistero dell’EconomiaMinistero dell’ambiente e dell’energiaMinistero del Mare, dei Trasporti e delle InfrastruttureBanca Nazionale Croata (settore bancario) / Agenzia di Supervisione per i Servizi Finanziari Croati (settore finanziario)Ministero della SaluteMinistero dell’Ambiente e dell’EnergiaUfficio Centrale di Stato per lo Sviluppo della Società DigitaleCERT nazionale (per settore bancario, infrastruttura finanziaria, infrastruttura digitale e FSD); Ufficio sicurezza (per energia, trasporti, sanità e acqua potabile)
CiproCompletaDa comunicareDigital Security Authority (DSA)Da comunicareDa comunicareCSIRT-CY
DanimarcaParzialeDanish Centre for Cybersecurity (Centro Danese per la Cybersecurity)Erhvervsstyrelsen (Ente Danese per l’Impresa e il Commercio)Energistyrelsen (Ente Danese per l’Energia)Trafik-, Bygge- og Boligstyrelsen (Ente Danese per i Trasporti, l’Impresa e l’Edilizia)Finanstilsynet (Ente Danese per la Supervisione Finanziaria)Sundhedsdatastyrelsen (Ente Danese per la Protezione dei Dati Relativi alla Sanità)//Danish Centre for Cybersecurity
EstoniaCompletaDa comunicareDa comunicareDa comunicareDa comunicareDa comunicare
FinlandiaCompletaViestintävirasto – Finnish Communications Regulatory Authority (FICORA)Viestintävirasto -Finnish Communications Regulatory Authority (FICORA)Energiavirasto (Ente Finlandese per l’Energia)Liikenteen turvallisuusvirasto (Ente Finlandese per la Sicurezza dei Trasporti)Finanssivalvonta (Ente Finlandese per la Supervisione Finanziaria)Valvira (Ente Finlandese per la Supervisione della Sanità e del Welfare)Elinkeino-, Liikenne ja Ympäristökeskus (Centro Finlandese per lo Sviluppo Economico, Trasporti e Ambiente)Viestintävirasto – Finnish Communications Regulatory Authority (FICORA)Viestintävirasto – Finnish Communications Regulatory Authority (FICORA) / National Cyber Security Centre Finland (NCSC-FI)
FranciaParzialeAgence nationale de la sécurité des systèmes d’information (ANSSI)Agence nationale de la sécurité des systèmes d’information (ANSSI)Da comunicareCERT-FR
GermaniaCompletaUfficio Federale per la Sicurezza delle Informazioni / Bundesamt für Sicherheit in der InformationstechnikUfficio Federale per la Sicurezza delle Informazioni / Bundesamt für Sicherheit in der InformationstechnikUfficio Federale per la Sicurezza delle Informazioni / Bundesamt für Sicherheit in der InformationstechnikUfficio Federale per la Sicurezza delle Informazioni / Bundesamt für Sicherheit in der Informationstechnik
GreciaIn corsoNational Cyber Security Authority (General Secretariat of Digital Policy – Ministry of Digital Policy, Telecommunications and Media)National Cyber Security Authority (General Secretariat of Digital Policy – Ministry of Digital Policy, Telecommunications and Media)National Cyber Security Authority (General Secretariat of Digital Policy – Ministry of Digital Policy, Telecommunications and Media)National Authority Against Electronic Attacks – National Cert
IrlandaIn corsoCSIRT-IECSIRT-IECSIRT-IECSIRT-IE
ItaliaCompletaDa determinare (in fase di aggiornamento)Dipartimento delle Informazioni per la Sicurezza (DIS)Ministero dello Sviluppo EconomicoMinistero dello Sviluppo EconomicoMinistero delle Infrastrutture e dei TrasportiMinistero dell’Economia e delle Finanze (Con Banca d’Italia e Consob)Ministero della Salute + Regioni e Province Autonome di Trento e BolzanoMinistero dell’Ambiente e della Tutela del Territorio e del Mare + Regioni e Province Autonome di Trento e BolzanoMinistero dello Sviluppo EconomicoCSIRT ITA (CERT-N + CERT-PA)
LettoniaIn corsoMinistero della DifesaMinistero dei TrasportiMinistero dell’Economia (diversi uffici per elettricità, petrolio, e gas)Ministero dei TrasportiCommissione per i mercati finanziari e dei capitali (Finanšu un kapitāla tirgus komisija)Ministero della SaluteMinistero della Salute + Ministero dell’AgricolturaMinistero dei TrasportiCERT.LV
LituaniaParzialeBozzaCERT-LTCERT-LTCERT-LTCERT-LT
LussemburgoIn corsoDa determinareInstitut Luxembourgeois de RégulationDa determinareDa determinareDa determinare
MaltaIn corsoDa determinareDa determinareDa determinareDa determinareDa determinare
Paesi BassiIn corsoNational Cyber Security Centre (NCSC)Ministry of Economic Affairs and Climate Policy + Agentschap TelecomAgentschap Telecom/De Nederlandsche Bank (DNB)Inspectorate Healthcare and YouthMinistry of Infrastructure and Water Management, Directorate-General Water and SoilAgentschap TelecomDa comunicare
PoloniaIn corsoDa determinareDa determinareDa determinareDa determinareDa determinare
PortogalloIn corsoCentro Nacional de Ciberseguaranca (Centro Nazionale di Cybersicurezza)Centro Nacional de CiberseguarancaCentro Nacional de CiberseguarancaCERT.PT
Regno UnitoCompletaNational Cyber Security Centre (NCSC)Information Commissioner’s Office (ICO)Department for Business, Energy & Industrial Strategy, and the Office of Gas and Electricity Markets (England, Scotland, Wales), Department of Finance (Northern Ireland)Trasporti Aerei: Civil Aviation Authority (CAA), and Department for Transport

Ferrovie: Department for Transport (England, Wales, Scotland), The Department of Finance (Northern Ireland)

Trasporti Marittimi: Department for Transport

Trasporti Gommati:
Department for Transport (England, Wales), Scottish Ministers (Scotland), The Department of Finance (Northern Ireland)

Bank of England Sector Resilience TeamDepartment of Health (England), The Welsh Ministers (Wales), The Scottish Ministers (Scotland), Department of Finance (Northern Ireland)Department for Environment, Food & Rural Affairs (England), The Welsh Ministers (Wales), The Drinking Water Quality Regulator for Scotland (Scotland), The Department of Finance (Northern Ireland)Office of Communications (OFCOM)National Cyber Security Centre (NCSC)
Repubblica CecaCompletaDa determinareDa determinareDa determinareDa determinareDa determinare
RomaniaIn corsoDa determinareDa determinareDa determinareDa determinareDa determinare
SlovacchiaCompletaNárodný Bezpečnostný Úrad (Autorità di Sicurezza Centrale)Národný Bezpečnostný Úrad (Autorità di Sicurezza Centrale)Národný Bezpečnostný Úrad (Autorità di Sicurezza Centrale)SK-CERT
SloveniaCompletaUrada Vlade RS za varovanje tajnih podatkov (Ufficio Governativo per la Protezione delle Informazioni Classificate)SI-CERTSI-CERTSI-CERT
SpagnaIn corsoConsejo de Seguridad Nacional – Departamento de Seguridad Nacional (Consiglio di Sicurezza Nazionale – Dipartimento di Sicurezza Nazionale)Secretaría de Estado para la Sociedad de la Información y la Agenda Digital (per il PRIVATO) Ministerio de la Presidencia y para las Administraciones Territoriales (per il PUBBLICO)Secretaría de Estado de Seguridad – Centro Nacional de Protección de Infraestructuras Críticas (CNPIC)INCIBE-CERT (per il privato) / CCN-CERT (per il pubblico)
SveziaIn corsoMyndigheten för samhällsskydd och beredskap – MSB (Protezione Civile)Post- och telestyrelsen (Poste e Telecomunicazioni)Energimyndigheten (Agenzia per l’Energia)Transportstyrelsen (Agenzia per i Trasporti)Finansinspektionen (Autorità di Supervisione Finanziaria)Inspektionen för vård och omsorg (Ispettorato per la Sanità e l’Assistenza Sociale)Livsmedelsverket (Istituto per la Sicurezza Alimentare)/CERT-SE
UngheriaParzialeNon ancora adottataNational Cyber Security CentreNational Directorate General for Disaster ManagementNational Directorate General for Disaster ManagementNational Cyber Security Centre

Un giudizio sull’Italia

Per quanto riguarda l’Italia, nonostante i ritardi nel recepimento, è opportuno considerare il lato positivo, ovvero che nonostante la situazione politica non favorevole, la NIS sia stata valutata come una priorità dal governo e nonostante la direttiva sia stata trasposta nell’ordinamento nazionale con qualche giorno di ritardo, i lavori per essere in pari con la direttiva stanno procedendo ottimamente.

Il Dipartimento Informazioni per la Sicurezza (DIS) è stato designato come punto di contatto unico, mentre il Ministero per lo Sviluppo Economico è l’autorità competente per i fornitori di servizi digitali. Per quanto riguarda le autorità competenti per gli operatori dei servizi essenziali l’Italia ha scelto un approccio decentralizzato, ovvero ha un’autorità per ogni settore coperto dal decreto di recepimento della NIS ovvero energia, trasporti, infrastruttura bancaria e finanziaria, sanità, fornitura e distribuzione di acqua potabile e infrastruttura digitale. Lo CSIRT nazionale nascerà dalla fusione del CERT-N e dal CERT-PA. L’unica cosa che manca al nostro Paese è in realtà una strategia nazionale conforme ai dettami comunitari in modo da affrontare efficacemente tutti i punti dell’art.7 della direttiva NIS. L’Italia però non è totalmente priva di una strategia nazionale, in quanto dispone del Quadro strategico nazionale per la sicurezza dello spazio cibernetico, il quale però è del 2013 e dovrà essere quindi aggiornato per rispettare la NIS.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3