Operatori di servizi essenziali (OSE): chi sono e quali obblighi di sicurezza hanno - Cyber Security 360

DIRETTIVA NIS

Operatori di servizi essenziali (OSE): chi sono e quali obblighi di sicurezza hanno

Nell’ambito di applicabilità della Direttiva NIS, gli operatori di servizi essenziali sono chiamati a contribuire al raggiungimento di una corretta postura di sicurezza del nostro Paese. Ecco chi sono gli OSE e i loro obblighi in materia di cyber security

29 Gen 2021
N
Serena Nanni

Privacy Support

La Direttiva NIS (Direttiva UE 2016/1148), recepita in Italia con D.lgs. 18 maggio 2018 n. 65 con l’intento di conseguire un elevato livello di sicurezza delle reti e dei sistemi informativa e incrementare il livello comune di sicurezza dell’Unione europea, ha stabilito anche i requisiti minimi di sicurezza informatica per gli operatori di servizi essenziali (OSE).

Chi sono gli operatori di servizi essenziali (OSE)

Si definiscono operatori di servizi essenziali (OSE) i soggetti pubblici o privati che soddisfano i seguenti criteri:

  1. un soggetto fornisce un servizio che è essenziale per il mantenimento di un’attività sociali e/o economiche fondamentali;
  2. la fornitura di tale servizio dipendente dalla rete e dai sistemi informativi;
  3. un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio.

Come da Allegato II del D.lgs. n. 65.del 2018, sono classificati come operatori di servizi essenziali (OSE) i seguenti settori:

Energia

  • Energia elettrica:
  1. impresa elettrica;
  2. gestori del sistema di distribuzione;
  3. gestori del sistema di trasmissione;
  • Petrolio:
  1. gestori di oleodotti;
  2. gestori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio;
  • Gas:
  1. imprese fornitrici;
  2. gestori del sistema di distribuzione;
  3. gestori del sistema di trasmissione;
  4. gestori dell’impianto di stoccaggio;
  5. gestori del sistema GNL;
  6. imprese di gas naturale;
  7. gestori di impianti di raffinazione e trattamento di gas naturale.

Trasporti

  • Trasporto aereo:
  1. vettori aerei;
  2. gestori aeroportuali;
  3. operatori attivi nel controllo della gestione del traffico che forniscono servizi di controllo del traffico aereo;
  • Trasporto ferroviario:
  1. gestori dell’infrastruttura;
  2. imprese ferroviarie;
  • Trasporto per vie d’acqua:
  1. compagnie di navigazione per il trasporto per vie d’acqua interne, marittimo e costiero di passeggeri e merci;
  2. organi di gestione dei porti, compresi i relativi impianti portuali, e soggetti che gestiscono opere e attrezzature all’interno di porti;
  3. gestori di servizi di assistenza al traffico marittimo;
  • Trasporto su strada:
  1. autorità stradali;
  2. gestori di sistemi di trasporto intelligenti.

Settore bancario

Enti creditizi

Infrastrutture dei mercati finanziari

  • Gestori delle sedi di negoziazione
  • Controparte centrale

Settore Sanitario

  • Istituti sanitari (compresi ospedali e cliniche private)
  • Prestatori di assistenza sanitaria

Fornitura e distribuzione di acqua potabile

Fornitori e distributori di acque destinate al consumo umano, ma esclusi i distributori per i quali la distribuzione di acque destinate al consumo umano è solo una parte della loro attività generale di distribuzione di altri prodotti e beni che non sono considerati servizi essenziali

L’elenco del MISE con gli operatori di servizi essenziali

È istituito presso il Ministero dello sviluppo economico un elenco nazionale degli operatori di servizi essenziali (art.4, c.5, D.lgs. n. 65/2018).

L’elenco è riesaminato e, se del caso, aggiornato su base regolare, ed almeno ogni due anni dopo il 9 maggio 2018, a cura delle autorità competenti NIS ed è comunicato al Ministero dello sviluppo economico.

Gli operatori che prestano attività di assistenza sanitaria sono individuati con decreto del Ministro della salute, di intesa con la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano.

Come riportato in una nota del MISE del 28 dicembre 2018, ad oggi si annoverano 465 operatori, tra pubblici e privati che saranno soggetti alla disciplina europea in materia di sicurezza delle reti. Le liste degli OSE sono classificate come documenti riservati essendo critici per la sicurezza e come tali sono state secretate.

Obblighi degli operatori di servizi essenziali

Come previsto dal Cavo IV, rubricato “Sicurezza della rete d dei sistemi informativi degli operatori di servizi essenziali” del D.lgs. n. 65/2018 e nello specifico all’art.12 del decreto, rubricato “obblighi in materia di sicurezza e notifica degli incidenti”, gli operatori di servizi essenziali (OSE) sono tenuti ad adottare:

  1. misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi che usano nelle loro operazioni;
  2. misure adeguate a prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura di tali servizi essenziali, al fine di assicurarne la continuità.

Nonché, gli OSE sono tenuti a notificare al CSIRT italiano (gruppo di intervento per la sicurezza informatica in caso di incidente) e, per conoscenza, all’Autorità competente NIS, senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti.

Al fine di determinare la rilevanza dell’impatto di un incidente, si tiene conto dei seguenti parametri (art.12, c. 8 D.lgs. n 65/2018):

  1. il numero di utenti interessati dalla perturbazione del servizio essenziale;
  2. la durata dell’incidente;
  3. la diffusione geografica relativamente all’area interessata dall’incidente

Sulla base delle informazioni raccolte, il CSIRT informa gli eventuali Stati Membri interessati se l’incidente ha un impatto rilevante sulla continuità dei servizi essenziali in quello Stato membro. Inoltre, può informare il pubblico in merito ai singoli incidenti, dopo aver consultato l’operatore notificante dei servizi essenziali.

Le linee guida per gli OSE

Per agevolare e supportare l’OSE nell’adempimento dei propri obblighi, l’Autorità NIS del Ministero della Salute, in accordo con i rappresentanti regionali, ha predisposto apposite linee guida, frutto di un ampio lavoro coordinato dalla Presidenza del Consiglio dei ministri – Dipartimento delle informazioni per la sicurezza (DIS) – in cooperazione con le Autorità NIS di tutti i ministeri coinvolti.

Le Linee guida per gli operatori di servizi essenziali costituiscono uno strumento operativo di supporto al processo di gestione e trattamento del rischio cyber, per affrontare in modo organico e qualificato la gestione della sicurezza delle reti e dei sistemi informativi.

A tale scopo sono basate sul Framework Nazionale per la Cyber Security e la Data Protection, nel cui ambito è possibile inquadrare le misure di sicurezza, gli standard e le norme di settore, secondo un principio di neutralità tecnologica, che non va ad imporre agli operatori l’impiego di una specifica dotazione strumentale, bensì suggerisce un approccio razionale e dinamico strettamente legato all’analisi del rischio.

Allo stesso tempo, le linee guida disciplinano le procedure di notifica obbligatoria degli incidenti rilevanti sulla continuità dei servizi essenziali forniti nonché mirano a promuovere azioni concrete di prevenzione attraverso meccanismi di early warning che fanno uso del sistema delle notifiche volontarie per la condivisione delle informazioni sugli incidenti con la comunità di sicurezza nazionale posta a protezione dello spazio cibernetico.

Conclusioni

Sull’onda dell’iniziativa europea, l’Italia ha creato la sua architettura interna cyber, che trova i suoi fondamentali nel CSIRT (Computer Security Incident Response Team), istituito presso la Presidenza del Consiglio ed attualmente operante come coordinamento tra CERT-Nazionale e CERT-PA, e nel Punto di contatto unico, individuato all’interno del Dipartimento delle informazioni per la sicurezza (DIS).

Più specificatamente, il primo sarà responsabile per il monitoraggio, la gestione e l’analisi dinamica degli incidenti cibernetici, e per la diffusione di allerta e divulgazione di informazioni.

Il secondo, invece, è chiamato ad operare su due fronti: a livello nazionale, per coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi, e a livello UE per garantire la cooperazione transfrontaliera delle Autorità competenti italiane con quelle degli altri Stati membri e la partecipazione al Gruppo di cooperazione NIS.

Da ultimo, con il Decreto-legge 21 settembre 2019, n. 105 (Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica), che ha lo scopo di rafforzare il quadro di protezione delle reti e dei sistemi informativi di interesse nazionale già previsto dalla Direttiva (UE) 2016/1148 (“cd. Direttiva NIS”).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5