Operatore di importanza vitale

Un operatore di importanza vitale (OIV) è, in Francia, identificata dallo Stato come un'organizzazione le cui attività sono essenziali o pericolose per la popolazione. Ce ne sono circa 250 in 12 settori di attività^[1] . Per motivi di sicurezza nazionale, l'elenco degli OIV non è pubblico e le società designate sono invitate a non comunicare il loro coinvolgimento.

Definizione modifica

Un settore di attività di vitale importanza, come definito dall'articolo R. 1332-2 del Codice di difesa, è costituito da attività che lavorano in vista dello stesso obiettivo^[2]

Produzione e distribuzione di beni o servizi essenziali
Presentazione di un grave pericolo per la popolazione

Un operatore vitale, come definito dall'articolo R. 1332-1 del Codice di Difesa, è un'organizzazione che^[3]:

"Svolge attività afferenti ad un settore di attività di vitale importanza";
"Gestisce o utilizza come parte di questa attività uno o più stabilimenti o opere, una o più installazioni il cui danno o indisponibilità o distruzione a seguito di un atto di atti maligni, sabotaggio o terrorismo rischierebbe, direttamente o indirettamente :
- di ostacolare in maniera sostanziale il potenziale belligerante o economico, la sicurezza o la capacità di sopravvivenza della nazione;
- di compromettere seriamente la salute o la vita della popolazione ”.

Designazione modifica

I dodici settori di attività di vitale importanza (SAIV) sono stati definiti in un decreto del 2 giugno 2006 , modificato da un decreto del 3 luglio 2008^[1] :

Settori statali:
- attività civili statali;
- attività militari statali;
- attività giudiziarie;
- spazio e ricerca.
Settori di protezione dei cittadini (prevalentemente umani):
- salute;
- gestione delle risorse idriche;
- alimentazione.
Settori della vita economica e sociale della nazione (dominante economica e tecnologica):
- energia;
- comunicazioni elettroniche, audiovisive e informative;
- trasporto;
- finanza;
- industria.

Gli operatori di vitale importanza sono designati per ciascun settore di attività di vitale importanza con decreto del ministro coordinatore^[4]. Tale decreto è adottato in consultazione con il ministro o i ministri interessati, previa consultazione del comitato interministeriale per la difesa e la sicurezza dei settori di attività vitale . Questa commissione è presieduta dal Segretario Generale della Difesa e della Sicurezza Nazionale (articolo R. 1332-10 del Codice di Difesa) ,^[5].

Ogni ministro coordinatore di un settore vitale di attività notifica agli operatori l'importanza vitale della corrispondente direttiva nazionale sulla sicurezza (DNS)^[6]. Il DNS identifica i rischi e le minacce e definisce i principali obiettivi di sicurezza per ciascun settore o sotto-settore di attività.

Obbligazioni modifica

Gli operatori vitali hanno l'obbligo di^[1]:

"formare i loro responsabili e direttori della sicurezza sia a livello centrale sia locale";
"dopo un'analisi dei rischi, stabilire un piano di sicurezza per l'operatore tenendo conto delle aspettative della direttiva sulla sicurezza nazionale in base alla quale sono stati designati operatori di vitale importanza";
"identificare i loro punti di vitale importanza che saranno oggetto di un piano di protezione specifico (PPS) a loro spese e di un piano di protezione esterno (PPE) a spese del prefetto di dipartimento".

Legge di programmazione militare per il periodo 2014-2019 modifica

La legge di programmazione militare per il periodo 2014-2019 specifica che è responsabilità dello Stato garantire un livello di sicurezza sufficiente dei sistemi critici degli operatori vitali. Attraverso quattro principali misure, mira a stabilire una base minima di sicurezza per le organizzazioni^[7] .

Alla fine del 2013, in base al disegno di legge, lo stato sarebbe stato in grado di^[8],^[7]:

fissare obblighi come ad esempio il divieto di collegare determinati sistemi critici a Internet;
istituire sistemi di rilevamento da parte di fornitori certificati dallo stato;
verificare il livello di sicurezza dei sistemi di informazione critici attraverso un sistema di audit;
in caso di grave crisi, essere in grado di imporre le misure necessarie agli operatori vitali.

Ordini settoriali di applicazione modifica

Per ogni settore o sotto-settore identificato, il Primo Ministro ha emesso un decreto di applicazione redatto dai servizi ANSSI che definisce gli obblighi degli operatori in termini di sicurezza informatica.

Gli ordini sono stati pubblicati sulla rivista ufficiale^[9]:

23 giugno 2016: settori sanitario, idrico e alimentare; applicabile dall'11 luglio 2016.
25 agosto 2016: settori dei trasporti (a terra, marittimi e fluviali, aerei), energia (energia elettrica, gas naturale, idrocarburi petroliferi); applicabile dall'11 ottobre 2016.
4 dicembre 2016: settore finanziario, industriale e delle comunicazioni elettroniche, audiovisive e dell'informazione; applicabile dall'11 gennaio 2017 .
10 marzo 2017: sotto-settore nucleare applicabile dall'11 aprile 2017
i decreti relativi all'ambito regale dominante sono in attesa.

Tali ordini prevedono un periodo che varia da 3 mesi a 2 anni per l'attuazione delle misure elencate nell'allegato 1, numero 20, tra cui:

Attuazione di una politica di sicurezza dei sistemi di informazione
Conduzione di una certificazione di sicurezza
Comunicazione di elementi sul sistema informativo vitale istituito dall'operatore all'ANSSI
Osservazione e risposta agli avvisi di sicurezza
Limite d'accesso
Partizionamento delle reti

Gli allegati II (scadenze), III (tipo di sistema di informazione) e IV (tipo di incidenti) non sono pubblici e sono comunicati dall'ANSSI alle persone "interessate".

Note modifica

^ ^a ^b ^c Organisation des secteurs d’activités d’importance vitale - Secrétariat général de la défense et de la sécurité nationale (SGDSN).
^ Code de la Défense - Article R. 1332-2 - Légifrance.
^ Code de la Défense - Article R. 1332-1 - Légifrance.
^ Code de la Défense - Article R. 1332-3 - Désignation des opérateurs d'importance vitale, des délégués pour la défense et la sécurité et des points d'importance vitale - Légifrance.
^ Code de la Défense. - Article R. 1332-10 - Légifrance.
^ Réponse du Premier ministre à une question d'un parlementaire - 28 mai 2013 - Assemblée nationale.
^ ^a ^b La loi de programmation militaire et la protection des opérateurs d'importance vitale (OIV) - Cyberstratégie.org.
^ Marc Watin-Augouard, La loi de programmation militaire et la cybermenace, in Les Échos, 27 novembre 2013..
^ https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006071307&idArticle=LEGIARTI000028342852&dateTexte=&categorieLien=cid

Voci correlate modifica

Infrastruttura critica

Portale Informatica: accedi alle voci di Wikipedia che trattano di informatica

[sgdsnoiv1-1] Organisation des secteurs d’activités d’importance vitale - Secrétariat général de la défense et de la sécurité nationale (SGDSN).

[legifranceR1332-2-2] Code de la Défense - Article R. 1332-2 - Légifrance.

[legifranceR1332-1-3] Code de la Défense - Article R. 1332-1 - Légifrance.

[legifranceR1332-3-4] Code de la Défense - Article R. 1332-3 - Désignation des opérateurs d'importance vitale, des délégués pour la défense et la sécurité et des points d'importance vitale - Légifrance.

[5] Code de la Défense. - Article R. 1332-10 - Légifrance.

[6] Réponse du Premier ministre à une question d'un parlementaire - 28 mai 2013 - Assemblée nationale.

[cyberstrategie-7] La loi de programmation militaire et la protection des opérateurs d'importance vitale (OIV) - Cyberstratégie.org.

[8] Marc Watin-Augouard, La loi de programmation militaire et la cybermenace, in Les Échos, 27 novembre 2013..

[9] ttps://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006071307&idArticle=LEGIARTI000028342852&dateTexte=&categorieLien=cid

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]