DIRETTIVA 20161148 6 LUGLIO 2016 LA DIRETTIVA Mira

  • Slides: 16
Download presentation
DIRETTIVA 2016/1148 6 LUGLIO 2016

DIRETTIVA 2016/1148 6 LUGLIO 2016

LA DIRETTIVA Mira a rafforzare la cybersecurity e la resilienza (resistenza) Informatica dell’unione europea.

LA DIRETTIVA Mira a rafforzare la cybersecurity e la resilienza (resistenza) Informatica dell’unione europea. È essenziale che essi siano affidabili e sicuri per le attività economiche e sociali.

Per realizzare una risposta efficace si è reputato necessario un approccio globale a livello

Per realizzare una risposta efficace si è reputato necessario un approccio globale a livello di tutti I stati membri UE. La direttiva è entrata in vigore nell’agosto del 2016 e gli stati membri da allora hanno tempo sino al 9 maggio 2018 per trasporla attraverso la normativa nazionale nei rispettivi ordinamenti e altri 6 mesi per identificare gli “operatori dei servizi essenziali ”.

CHI SONO GLI OPERATORI ESSENZIALI? La direttiva non identifica gli operatori, ma detta alcuni

CHI SONO GLI OPERATORI ESSENZIALI? La direttiva non identifica gli operatori, ma detta alcuni criteri per identificali. • soggetti pubblici o provati • energia • trasporti • settore bancario • settore sanitario • fornitura e distribuzione di acqua potabile • infrastrutture digitali • infrastrutture dei • mercati finanziari

DEVO ESSRE RISPETTATI ALCUNI CRITERI 1. 2. 3. Un soggetto fornisce un servizio che

DEVO ESSRE RISPETTATI ALCUNI CRITERI 1. 2. 3. Un soggetto fornisce un servizio che è essenziale per il mantenimento di attività. Sociali e/o economiche fondamentali. La fornitura di tale servizio dipende dalla rete e dai sistemi informativi e un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio.

LA DIRETTIVA NIS NON SI APPLICA SOLO AI FORNITORI DI SERVIZI ESSENZIALI, MA SI

LA DIRETTIVA NIS NON SI APPLICA SOLO AI FORNITORI DI SERVIZI ESSENZIALI, MA SI APPLICA ANCHE AI “FORNITORI DI SERVIZI DIGITALI” Anche i servizi digitali non vengono identificati, ma attraverso un duplice richiamo: IL PRIMO ALLA DIRETTIVA (UE) 2015/1535 del Parlamento europeo e del Consiglio che prevede una procedura d’informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione, IL SECONDO all’elenco contenuto nell’allegato III della direttiva stessa che riporta : • Mercato online (online marketplace) • Motore di ricerca online • Cloud computing.

CHE COSA PREVEDE LA DIRETTIVA? • È volta ad assicurare un elevato livello comune

CHE COSA PREVEDE LA DIRETTIVA? • È volta ad assicurare un elevato livello comune di sicurezza delle reti e dei sistemi informativi in tutta l’UE. • Mira a incrementare il livello complessivo di sicurezza informatica assicurando: 1. Che gli stati membri cooperino tra loro, istituendo un gruppo di cooperazione 2. Che si sviluppi la cultura della sicurezza nei settori che sono vitali per l’economia e la società, e che si basano profondamente sulle tecnologie dell’informazione e della comunicazione (trasporti, l’energia, le banche, le infrastrutture dei mercati finanziari, la salute e le infrastrutture digitali. Soggetti pubblici e privati che operino in questi settori e che saranno individuati dagli stati membri come operatori di servizi essenziali). 3. Che gli Stati Membri si muniscano di strumenti appropriati,

OBBLIGHI IN MATERIA DI SICUREZZA E NOTIFICA DEGLI INCIDENTI La direttiva NIS definisce incidente

OBBLIGHI IN MATERIA DI SICUREZZA E NOTIFICA DEGLI INCIDENTI La direttiva NIS definisce incidente “Ogni evento con un effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi”. Gli operatori di servizi essenziali e i fornitori di servizi digitali devono notificare al CSIRT ogni incidente che abbia: 1. un impatto rilevante sulla continuità dei servizi essenziali prestati; 2. un impatto sostanziale sulla fornitura di un servizio digitale.

La direttiva distingue gli impatti riferiti ai servizi essenziali, da quelli sostanziali. In particolare

La direttiva distingue gli impatti riferiti ai servizi essenziali, da quelli sostanziali. In particolare per stabilire se un incidente sia rilevante occorrerà tenere conto dei seguenti criteri: il numero di utenti interessati dalla perturbazione del servizio essenziale; la durata dell’incidente; la diffusione geografica relativamente all’area interessata dall’incidente.

Per determinare se un incidente sia sostanziale occorrerà tenere conto: • Del numero di

Per determinare se un incidente sia sostanziale occorrerà tenere conto: • Del numero di utenti interessati dall’incidente; • Della durata dell’incidente; • Della diffusione geografica relativamente all’area interessata dall’incidente; • Della portata della perturbazione del funzionamento del servizio; • Della portata dell’impatto sulle attività economiche e sociali.

Le autorità o i CSIRT dovranno valutare i danni commerciali che la diffusione della

Le autorità o i CSIRT dovranno valutare i danni commerciali che la diffusione della comunicazione è potenzialmente in grado di arrecare non solo al fornitore ma anche a eventuali soggetti che si basano sul servizio compromesso per fornire i loro servizi.

E’ prevista una modalità di notifica volontaria che possono effettuare i soggetti che non

E’ prevista una modalità di notifica volontaria che possono effettuare i soggetti che non sono stati identificati come operatori di servizi essenziali e non sono fornitori di servizi digitali. Le notifiche volontarie sono trattate soltanto qualora tale trattamento non costituisca un onere sproporzionato o eccessivo per gli Stati membri interessati.

INTEGRAZIONE CON LA NORMATIVA SULLA PROTEZIONE DEI DATI PERSONALI La legislazione degli Stati membri

INTEGRAZIONE CON LA NORMATIVA SULLA PROTEZIONE DEI DATI PERSONALI La legislazione degli Stati membri individua le Autorità competenti, ma la direttiva NIS, dato che in molti casi gli incidenti compromettono dati personali, dispone anche l’autorità competente debba operare in stretta cooperazione con le autorità che vigilano sulla protezione dei dati. E’ importante segnalare come la normativa sulla protezione dei dati personali menzionata nella direttiva NIS.

Il regolamento prevede un’autonoma disciplina sulla violazione dei dati personali, che si compone di

Il regolamento prevede un’autonoma disciplina sulla violazione dei dati personali, che si compone di peculiari procedure ed è diretta a differenti autorità. Un’ultima annotazione: la direttiva NIS non esaurisce gli obblighi di sicurezza informatica, anche i soggetti che non sono obbligati agli adempimenti imposti dalla direttiva, infatti, possono essere destinatari di altre norme che impongono obblighi paralleli; in particolare, in ordine al trattamento dei dati personali, ho già parlato degli obblighi attinenti alla sicurezza informatica ai quali saranno tenuti tutti i titolari in attuazione dei principi di integrità e riservatezza.

Articoli Della Direttiva CAPO I: DISPOSIZIONI GENERALI Dall’articolo 1 al 6 Oggetto e ambito

Articoli Della Direttiva CAPO I: DISPOSIZIONI GENERALI Dall’articolo 1 al 6 Oggetto e ambito di applicazione, Trattamento di dati personali, Armonizzazione minima, Definizioni, Identificazione degli operatori di servizi essenziali, Effetti negativi rilevanti CAPO II: QUADRI NAZIONALI PER LA SICUREZZA DELLA RETE E DEI SISTEMI INFORMATIVI Dall’ articolo 7 al 10 Strategia nazionale in materia di sicurezza della rete e dei sistemi informativi, Autorità nazionali competenti e punto di contatto unico, Gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), Cooperazione a livello nazionale CAPO III: COOPERAZIONE Art. 11, 12 & 13 Gruppo di cooperazione, Rete di CSIRT, Cooperazione internazionale CAPO IV: SICUREZZA DELLA RETE E DEI SISTEMI INFORMATIVI DEGLI OPERATORI DI SERVIZI ESSENZIALI Art. 14 & 15 Obblighi in materia di sicurezza e notifica degli incidenti, Attuazione e controllo CAPO V: SICUREZZA DELLA RETE E DEI SISTEMI INFORMATIVI DEI FORNITORI DI SERVIZI DIGITALI Art. 16, 17 & 18 Obblighi in materia di sicurezza e notifica degli incidenti, Attuazione e controllo, Giurisdizione e territorialità CAPO VI: NORMAZIONE E NOTIFICA VOLONTARIA Art 19, 20 Normazione, Notifica volontaria CAPO VII: DISPOSIZIONI FINALI Dall’ articolo 21 al 27 Sanzioni, Procedura di comitato, Riesame, Misure transitorie, Recepimento, Entrata in vigore, Destinatari

Mira Co to jest mira Mira fatamorgana zjawiskoMira Co to jest mira Mira fatamorgana zjawisko
Direttiva 79409CEE Uccelli Conservazione degli uccelli selvatici DirettivaDirettiva 79409CEE Uccelli Conservazione degli uccelli selvatici Direttiva
DIRETTIVA 200747CE CORRETTIVA DELLA DIRETTIVA 9342CE NUOVA DISCIPLINADIRETTIVA 200747CE CORRETTIVA DELLA DIRETTIVA 9342CE NUOVA DISCIPLINA
Direttiva Bolkestein Data 0 La Direttiva Bolkestein FrancescoDirettiva Bolkestein Data 0 La Direttiva Bolkestein Francesco
Direttiva 200928CE Secondo la Direttiva 200928CE del ParlamentoDirettiva 200928CE Secondo la Direttiva 200928CE del Parlamento
DIRETTIVA MIFID II NOVEMBRE 2017 LA DIRETTIVA MIFIDDIRETTIVA MIFID II NOVEMBRE 2017 LA DIRETTIVA MIFID
Mira Nair and Salaam Bombay Introduction to MiraMira Nair and Salaam Bombay Introduction to Mira
Solo Mira Mira el mundo en tan soloSolo Mira Mira el mundo en tan solo
MENTORING RELATIONSHIPS SKILLS Mira Dineen mira dineenqueensu caMENTORING RELATIONSHIPS SKILLS Mira Dineen mira dineenqueensu ca
Mira Nair Introduction to Mira Nair Born inMira Nair Introduction to Mira Nair Born in
MENTORING RELATIONSHIPS SKILLS Mira Dineen mira dineenqueensu caMENTORING RELATIONSHIPS SKILLS Mira Dineen mira dineenqueensu ca
NEW ECONOMY Luglio 2004 luglio 2004 UNA PROPOSTANEW ECONOMY Luglio 2004 luglio 2004 UNA PROPOSTA
Cesaris goes to Leeds 12 luglio 25 luglioCesaris goes to Leeds 12 luglio 25 luglio
CDS LUGLIO 2014 comunicazioni direttivo luglio notizie localiCDS LUGLIO 2014 comunicazioni direttivo luglio notizie locali
PIANO DELLAGENZIA 2016 Roma 11 luglio 2016 IlPIANO DELLAGENZIA 2016 Roma 11 luglio 2016 Il