Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

sicurezza

Direttiva NIS, così è l’attuazione italiana (dopo il recepimento): i punti principali del decreto

Tutto quello che bisogna sapere sulla normativa Nis per la cybersecurity, la cui attuazione è passata con decreto al consiglio dei ministri il 16 maggio, in gazzetta ufficiale dal 9 giugno ed entrato in vigore dal 26 giugno

24 Giu 2018

Luca Tosoni

avvocato e ricercatore presso l’Università di Oslo


Il 16 maggio è stato approvato in Consiglio dei Ministri il Decreto Legislativo per attuare in Italia la Direttiva NIS. Il 9 giugno è andato in Gazzetta Ufficiale ed è in vigore dal 26 giugno.

LEGGI IL TESTO DEL DECRETO DI RECEPIMENTO NIS

Il governo ha optato per un approccio soft, limitandosi per lo più ad incorporare nel decreto legislativo quanto già stabilito dalla Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi, meglio nota come Direttiva NIS.

Qui di seguito un commento su alcuni dei punti chiave del decreto legislativo.

Settori coperti dal decreto di recepimento Nis

Nonostante la Direttiva NIS consentisse agli Stati membri di estendere l’ambito di applicazione delle proprie disposizioni anche a settori diversi da quelli elencanti nella Direttiva, il governo ha scelto di non avvalersi di questa possibilità. I settori che rientrano nell’ambito di applicazione del decreto attuativo sono infatti solo quelli espressamente previsti dalla Direttiva (ossia energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali; nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico). Sarebbe stato forse opportuno estendere l’ambito di applicazione del decreto almeno a tutta la pubblica amministrazione, vista l’imponente mole di dati (anche sensibili) che essa tratta ed il ruolo chiave che la stessa ricopre per l’economia e per la sicurezza del paese. In ogni caso, le pubbliche amministrazioni che offrono servizi nei settori sopra elencati (ad esempio, trasporti, sanità e distribuzione di acqua potabile) saranno comunque sottoposte alla normativa NIS, se identificate quali operatori di servizi essenziali. Inoltre, le pubbliche amministrazioni rimarranno soggette a quanto disposto dalla Circolare AgID n. 2/2017, recante “Misure minime di sicurezza ICT per le pubbliche amministrazioni”.

 

Strategia nazionale di sicurezza cibernetica

In ossequio a quanto richiesto dall’Articolo 7 della Direttiva, il decreto di recepimento prevede l’adozione di una strategia nazionale di sicurezza cibernetica da parte del Presidente del Consiglio dei Ministri. La strategia dovrà prevedere in particolare le misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, la definizione di un piano di valutazione dei rischi informatici e programmi di formazione e sensibilizzazione in materia di sicurezza informatica. Gran parte di questi elementi sono già affrontati, per grandi linee, nella vigente strategia nazionale di sicurezza cibernetica, delineata nel Quadro strategico nazionale per la sicurezza dello spazio cibernetico del 2013 e ulteriormente sviluppata dal Piano nazionale per la protezione cibernetica e la sicurezza informatica del 2017. Sarà però necessario aggiornare tale strategia per far sì che tutti gli elementi di cui all’Articolo 7 della Direttiva vengano affronti in maniera specifica e dettagliata, in conformità con i dettami comunitari.

Designazione delle autorità nazionali competenti e del punto di contatto unico

Per quanto riguarda la designazione delle autorità competenti all’attuazione della normativa NIS e alla vigilanza sul rispetto della stessa, il modello istituzionale scelto dal governo è di tipo temperatamente decentrato. Difatti, sono designati quali “autorità competenti NIS” ben 5 Ministeri (sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente), ciascuno responsabile per uno o più settori rientrati nelle proprie aree di competenza. Si tratta di un modello a metà tra quello fortemente centralista francese, con un’unica autorità competente, e quello decentrato dei paesi nordici come la Svezia dove i compiti normativi e di vigilanza in materia di cybersecurity sono attribuiti ad una serie di agenzie pubbliche competenti per settori specifici.

Il Dipartimento delle informazioni per la sicurezza (DIS) è invece designato quale punto di contatto unico ai sensi dell’Articolo 8(3) della Direttiva. Al DIS spetterà quindi di svolgere funzioni di collegamento verso l’Unione europea e di coordinamento con le autorità competenti in materia di cybersecurity negli altri Stati membri.

CSIRT italiano

Il decreto prevede, inoltre, l’istituzione presso la Presidenza del Consiglio dei Ministri di un unico Computer Security Incident Response Team, detto CSIRT italiano, che andrà a sostituire, fondendoli, gli attuali CERT Nazionale (operante presso il Ministero dello Sviluppo Economico) e CERT-PA (operante presso l’Agenzia per l’Italia Digitale). Proprio questo processo di fusione potrebbe essere di non facile gestione, il che potrebbe dilatare i tempi di adozione del decreto del Presidente del Consiglio dei Ministri che dovrà essere adottato più avanti per disciplinare nel dettaglio l’organizzazione ed il funzionamento del CSIRT. In ogni caso, lo CSIRT italiano avrà compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con gli altri CSIRT europei.

Identificazione degli operatori di servizi essenziali

Per quanto riguarda l’identificazione degli operatori di servizi essenziali, il decreto di recepimento ripropone i criteri di cui all’Articolo 5(2) della Direttiva: i) fornitura di un servizio essenziale per il mantenimento di attività sociali e/o economiche fondamentali; ii) dipendenza di tale servizio dalla rete e dai sistemi informativi; e iii) effetti negativi rilevanti sulla fornitura di tale servizio in caso di incidente informatico, rilevanza da valutarsi secondo i criteri specificati all’Articolo 6 della Direttiva (e riproposti all’Articolo 5 del decreto). Questi sono i criteri che le autorità competenti NIS (ossia i vari Ministeri) dovranno seguire per identificare gli operatori di servizi essenziali per ciascun settore di cui all’Allegato II, entro il 9 novembre 2018. Il decreto precisa però che, nell’individuazione di tali operatori, le autorità competenti NIS dovranno anche tenere conto delle indicazioni del Gruppo di Cooperazione, istituito dall’Articolo 11 della Direttiva (composto da rappresentati degli Stati membri, della Commissione europea e dell’ENISA, European Union for Network and Information Security Agency). Si tratta di una precisazione importante, volta a garantire un’applicazione armonizzata delle Direttiva ed un trattamento uniforme di quei soggetti che operano in più Stati membri.

Gli attori della NIS (grafico)

Obblighi in materia di sicurezza

Il decreto attuativo ripropone i generici obblighi di sicurezza previsti dalla Direttiva all’Articolo 14. In sostanza, gli operatori di servizi essenziali dovranno adottare misure tecnico-organizzative “adeguate” alla gestione dei rischi e alla prevenzione degli incidenti informatici. Il decreto specifica però che nell’adottare tali misure gli operatori dovranno tenere in debita considerazione le linee guida che verranno predisposte dal Gruppo di Cooperazione. Queste ultime acquisiscono quindi un’importanza fondamentale ai fini di dimostrare l’adeguatezza delle misure adottate. Le autorità competenti NIS potranno inoltre imporre l’adozione di misure di sicurezza specifiche, sentiti gli operatori di servizi essenziali. È quindi probabile che gli operatori avranno a breve a disposizione indicazioni più specifiche riguardo alle misure di sicurezza da adottare, sotto forma di linee guida o di altri provvedimenti amministrativi.

Analoghi obblighi in materia di sicurezza sono previsti a carico dei fornitori di servizi digitali, i quali dovranno adottare misure tecniche-organizzative per la gestione dei rischi e per la riduzione dell’impatto di eventuali incidenti informatici. Gli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi informatici sono meglio specificati nel Regolamento di esecuzione (UE) 2018/151 della Commissione del 30 gennaio 2018.

Notifica degli incidenti informatici

Per quanto concerne gli obblighi di notifica, il decreto di recepimento specifica che gli operatori di servizi essenziali dovranno inoltrare al CSIRT (e per conoscenza all’ autorità competente NIS del proprio settore) le notifiche di incidenti informatici con impatto rilevante sui servizi forniti. Un obbligo analogo è previso anche a carico dei fornitori di servizi digitali di cui all’Allegato III della Direttiva (motori di ricerca, servizi cloud e piattaforme di commercio elettronico). Il decreto non fissa un limite temporale rigido per le notifiche, ma specifica che le stesse vanno effettuate “senza ingiustificato ritardo”. La scelta di optare per una segnalazione diretta al CSIRT, piuttosto che alle varie autorità competenti NIS, presenta vantaggi di efficienza amministrativa ed è quindi apprezzabile.

Il decreto prevede anche che le autorità competenti NIS possano predisporre linee guida per la notifica degli incidenti, ed è auspicabile che lo facciano data la complessità delle procedure di notifica, soprattutto se queste coinvolgono più Stati membri. A questo proposito, si potrebbe pensare all’introduzione di procedure di notifica simili alla Business Application, utilizzata oggi per facilitare le notifiche transnazionali di prodotti pericolosi. Sarebbe anche opportuno che le linee guida chiarissero come coordinare procedure di notifica che afferiscono a normative differenti. Infatti, alcuni incidenti informatici potrebbero, ad esempio, for scattare contemporaneamente un obbligo di notifica ai sensi dell’Articolo 14 della Direttiva NIS e ai sensi dell’Articolo 33 del GDPR.

È bene inoltre ricordare che, per quanto riguarda gli incidenti che i fornitori di servizi digitali sono tenuti a notificare, il Regolamento di esecuzione (UE) 2018/151 della Commissione del 30 gennaio 2018 specifica in maniera dettagliata quali siano i parametri da prendere in considerazione al fine di determinare se l’impatto di un incidente è rilevante, e quindi atto a far scattare l’obbligo di notifica.

Trattamento dei dati personali

Lo decreto attuativo precisa che il trattamento dei dati personali in applicazione del decreto sia effettuato ai sensi del D.Lgs. 196/2003 (Codice della Privacy). Tale riferimento è diventato (almeno in parte) obsoleto con l’entrata in vigore definitiva del Regolamento Generale sulla Protezione dei Dati (GDPR) il 25 maggio 2018, è a quest’ultimo quindi che si dovrà fare riferimento. Ora, infatti, il GDPR costituisce il principale quadro normativo per quanto riguarda il trattamento dei dati personali, e ha sostituito (in larga parte) il previgente Codice della Privacy. Sarebbe stato quindi opportuno provvedere ad un aggiornamento della norma (riferendosi anche al GDPR) prima dell’adozione definitiva del decreto.

Regime sanzionatorio

Come già ricordato, la Direttiva NIS lascia agli Stati membri un margine di discrezionalità riguardo al tipo e alla natura delle sanzioni applicabili, a condizione che siano effettive, proporzionate e dissuasive. Nell’esercitare tale discrezionalità, il governo ha ritenuto di stabilire che le autorità competenti potranno applicare sanzioni amministrative fino a 150.000 Euro in caso di violazione da parte degli operatori di servizi essenziali (e dei fornitori di servizi digitali) degli obblighi previsti dal decreto. Si tratta di un approccio in linea con quello seguito da altri Stati membri. Infatti, la Germania ha previsto sanzioni fino a 100.000 Euro per le violazioni della propria normativa di recepimento della Direttiva NIS, mentre in Repubblica Ceca le sanzioni salgono fino a circa 200.000 Euro (5 milioni di corone ceche).

I prossimi passi dopo il recepimento della Nis

Dopo il decreto di recepimento, in vigore dal 26 giugno, i prossimi passi sono rendere effettivamente operative le disposizioni del decreto e aggiornare il Piano nazionale per la protezione cibernetica e la sicurezza informatica.

Decreto Nis, ecco i prossimi passi dopo l’approvazione

Articolo 1 di 3