La strada della cybersecurity è stata tracciata a livello europeo (non potrebbe essere altrimenti) e l’Italia si era presto inserita nel gruppo di nazioni che voleva tirare la volata verso un sistema maggiormente integrato per la sicurezza del sistema paese. Dopo un lungo lavoro di studio e pianificazione, ora si entra in una fase nuova e maggiormente operativa, nella quale Stato e mondo dell’impresa faranno fronte comune. Al centro di tutto v’è la Direttiva NIS, insieme di linee guida che l’Italia (assieme a Germania e Regno Unito) ha voluto perseguire fin dal principio per portare avanti l’ambizioso piano che oggi sta per andare in porto.
L’ultima scadenza è stata quella di fine 2018, quando l’Italia ha comunicato di aver identificato 465 “Operatori di Servizi Essenziali” (OSE) nei settori indicati come strategici dall’UE: energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile e infrastrutture digitali. “Parallelamente“, spiega il MISE, “ci si è attivati anche sulle misure che gli OSE dovranno adottare per la gestione dei rischi e sulle modalità con cui valutarne la compliance: un aspetto, quello di adeguamento alle norme, che fa davvero fare un salto di qualità alla cultura della sicurezza cibernetica“. Caratteristica peculiare dell’iniziativa è proprio l’integrazione nelle azioni di monitoraggio, prevenzione e azione che il sistema pubblico e quello privato debbono porre in essere per garantire su ambo le parti la maggior tutela possibile da possibili cyberattacchi. Non è noto, al momento, un elenco completo delle entità identificate per il progetto.
La prossima scadenza è quella del 31 gennaio, quando ognuna delle entità identificate come “OSE nazionale” riceverà debita comunicazione per avviare il dialogo e la collaborazione. Da quel momento in poi il piano entrerà ufficialmente nella sua fase operativa e l’Italia sarà meritevolmente in prima linea di questa struttura di avanguardia europea.
Il processo di identificazione avrà carattere periodico e sarà ripetuto quando necessario e comunque ogni due anni, in modo da fotografare in maniera autentica l’emergere di eventuali nuove realtà OSE e far sì che tale identificazione individui correttamente i “gangli vitali” del Paese.
Obiettivo: resilienza. Più che dar vita a strumenti in grado di difendere oggi il sistema paese, occorre porre in essere veri e propri protocolli d’azione che nel tempo consentano all’intero continente europeo di coordinarsi e rispondere ad eventuali minacce. Lo scambio di informazioni è pertanto fondamentale, così come la partnership tra pubblico e privato.
Il grande merito della Direttiva NIS, ed il parametro su cui andrà misurata l’efficacia degli interventi previsti, è del resto quello di aver innescato, in tutti i Paesi membri, uno sviluppo che, prima che tecnico ed ordinamentale, è soprattutto di natura culturale, dando vita ad un’architettura europea di cybersecurity.
Il Ministero dello Sviluppo Economico sembra voler rendere merito a quanto posto in essere a livello europeo, insomma. Il che è di per sé una notizia non da poco, dato il difficile dialogo che Italia e UE stanno attraversando su altri lidi.