Il 9 novembre è passato ma l’elenco degli operatori dei servizi essenziali previsti dalla Nis, la Direttiva europea sulla sicurezza delle reti, non è ancora stato pubblicato. Eppure la loro individuazione è una disposizione obbligatoria di questa direttiva del 2016 recepita in Italia il 26 giugno 2018. A causa del ritardo nel recepimento all’epoca scrivemmo che «si erano dimenticati della Nis».

Facciamo un passo indietro per capirci. La Nis, la Network and Information Security Directive, nelle intenzioni dei legislatori è un insieme di dispositivi normativi che dovrebbero assicurare la continuità operativa nella fornitura di servizi essenziali nel campo dell’energia, dei trasporti, in quello bancario e finanziario, ma anche nella fornitura e distribuzione di acqua potabile e delle infrastrutture digitali, dell’e-commerce, dei motori di ricerca e del cloud computing: cioè la continuità dei servizi necessari a un normale funzionamento delle società moderne. Di quei servizi si parla anche nei termini di «infrastrutture critiche», proprio perché un loro malfunzionamento potrebbe causare danni molto seri al commercio, all’industria, alla sanità, alla democrazia.
Pensate infatti cosa accadrebbe se un attacco informatico bloccasse a terra tutti gli aeroplani di Fiumicino, oppure interrompesse l’erogazione di energia elettrica in una città come Milano o bloccasse i cellulari a Napoli.

Ecco, gli operatori di questi servizi essenziali secondo la NIS sono quelli che devono attuare misure tecnico-organizzative «adeguate» alla gestione di questo tipo di rischi e alla prevenzione degli incidenti informatici.
Che di questo ci sia un gran bisogno è sotto gli occhi di tutti visto che ogni giorno si moltiplicano gli allarmi dei danni derivanti dal cybercrime, dallo spionaggio cibernetico e dalla compromissione della supply chain di industrie grandi e piccole.

E allora torniamo a noi. L’elenco riguarda gli Operatori dei Servizi Essenziali e i Fornitori di Servizi Digitali, ma le «autorità competenti Nis» sono cinque Ministeri: Sviluppo economico, Infrastrutture e trasporti, Economia, Salute e ambiente. Il Ministero dello sviluppo economico deve occuparsi dei settori energia, infrastrutture digitali e dei fornitori di servizi digitali; quello delle Infrastrutture e trasporti, deve occuparsi appunto dei trasporti; Economia e finanze si occupa dei settori bancario e finanziario; Salute e Ambiente indovinate un po’ di che si occupano? L’elenco deve essere fatto sulla base dell’importanza del servizio fornito alle attività socio-economiche, della dipendenza da reti e sistemi informativi e per la rilevanza sul servizio degli effetti di un eventuale incidente.

Sui siti dei Ministeri però non ce n’è traccia. Eppure anche ieri al convegno Cybersecurity 360 Summit a Roma se ne è parlato parecchio. E si presume che se ne parlerà domani a un altro convegno sulla cybersecurity al Senato della Repubblica alla presenza del sottosegretario allo Sviluppo economico, Andrea Cioffi, e di quello alla Difesa, Angelo Tofalo.
Dal canto nostro facciamo due ipotesi: la prima è che gli elenchi non ci siano per un ritardo burocratico o per eventuali indicazioni del Gruppo di Cooperazione (Stati membri, Commissione Ue ed Enisa), istituito dalla Nis.

Ma potrebbe essere anche che i nomi degli operatori siano stati secretati per questioni di sicurezza nazionale. Non ce ne stupiremmo.
Tuttavia sarebbe bene saperlo. Proprio per una questione di responsabilità e trasparenza dei servizi a cui affidiamo letteralmente la vita ogni giorno, senza rendercene conto.