Governo Italiano
L’AUTORITÀ NIS
Ai sensi del decreto legislativo 18 maggio 2018, n. 65, il Ministero dell’Ambiente e della Tutela del Territorio e del Mare è Autorità compente NIS (network and information security) per il settore fornitura e distribuzione di acqua potabile destinata al consumo umano. Per il medesimo settore sono Autorità competenti NIS anche le Regioni e le Province autonome di Trento e Bolzano.
Le Autorità competenti NIS sono responsabili dell’attuazione del citato decreto legislativo con riguardo al settore e ai servizi di competenza, vigilano sull’applicazione del medesimo a livello nazionale, esercitando altresì le relative potestà ispettive e sanzionatorie.
SETTORE E SERVIZI ESSENZIALI
Al settore fornitura e distribuzione di acqua potabile afferiscono i servizi essenziali di:
- fornitura all’ingrosso;
- captazione;
- potabilizzazione;
- adduzione;
- distribuzione.
OPERATORI DI SERVIZI ESSENZIALI (OSE)
Tra i numerosi operatori del settore presenti su tutto il territorio nazionale, il MiTE ha individuato gli OSE, ossia quei soggetti che forniscono uno o più servizi essenziali dipendenti dalla rete e dai sistemi informativi, per i quali un incidente avrebbe effetti negativi rilevanti sulla fornitura di tali servizi.
L’identificazione degli OSE è avvenuta d’intesa con la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e Bolzano.
OBBLIGHI IN MATERIA DI SICUREZZA E NOTIFICA DEGLI INCIDENTI
Gli OSE adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni, anche per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi.
Gli OSE hanno l’obbligo di notificare al CSIRT italiano e, per conoscenza, all’Autorità competente NIS, senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti.
LINEE GUIDA PER GLI OSE
Per agevolare e supportare l’OSE nell’adempimento dei propri obblighi, l’Autorità NIS del MiTE ha predisposto apposite linee guida, frutto di un ampio lavoro coordinato dalla Presidenza del Consiglio dei Ministri – Dipartimento delle informazioni per la sicurezza (DIS) – in cooperazione con le Autorità NIS di tutti i Ministeri coinvolti.
Le Linee Guida per gli OSE costituiscono uno strumento operativo di supporto al processo di gestione e trattamento del rischio cyber, per affrontare in modo organico e qualificato la gestione della sicurezza delle reti e dei sistemi informativi. A tale scopo sono basate sul Framework Nazionale per la Cyber Security e la Data Protection, all’interno del quale è possibile inquadrare le misure di sicurezza, gli standard e le norme di settore, secondo un principio di neutralità tecnologica, che non va ad imporre agli operatori l’impiego di una specifica dotazione strumentale, bensì suggerisce un approccio razionale e dinamico strettamente legato all’analisi del rischio.
Allo stesso tempo le linee guida disciplinano le procedure di notifica obbligatoria degli incidenti rilevanti sulla continuità dei servizi essenziali forniti nonché mirano a promuovere azioni concrete di prevenzione attraverso meccanismi di early warning che fanno uso del sistema delle notifiche volontarie per la condivisione delle informazioni sugli incidenti con la comunità di sicurezza nazionale posta a protezione dello spazio cibernetico.
NORMATIVA DI RIFERIMENTO
- Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione
(https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016L1148) - Decreto legislativo 18 maggio 2018, n. 65, recante “Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione”
(https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2018-05-18;65!vig=)
RIFERIMENTI INFORMATIVI E TECNICI
- ENISA, EU Agency for Cybersecurity
(https://www.enisa.europa.eu) - Sistema di informazione per la sicurezza della Repubblica
(https://www.sicurezzanazionale.gov.it) - CSIRT italiano
(https://www.csirt-ita.it) - CIS Sapienza / CINI
(https://www.cybersecurityframework.it) - AGID, Agenzia per l’Italia digitale
(https://www.agid.gov.it)
COMUNICATI STAMPA
- Cybersecurity: ecco i passi avanti dell’Italia (21 dicembre 2018)
- Nis: al via le linee guida su gestione rischio e notifica incidenti (3 luglio 2019)
- Cybersecurity: Costa, pronte le linee guida per gli operatori del settore acqua potabile (3 luglio 2019)
CONTATTI
Ministero della Transizione Ecologica
Organo centrale di sicurezza
Autorità competente NIS
Via Cristoforo Colombo n. 44, 00147 – Roma
Tel. 06/5722.3502
Email: nis@mite.gov.it
PEC: autorita.nis@pec.minambiente.it
Chiave crittografica pubblica (OpenPGP)
