D.lgs n° 65 del 18 maggio 2018, attuazione della Direttiva UE 2016/1168
Nel mese di Maggio l’Italia ha adottato la Direttiva (UE) 2016/1148 (cosiddetta Direttiva NIS – Network and Information Security) recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione che costituisce un importante tassello nella tutela dei dati e delle informazioni. La cybersecurity, infatti, sta diventando progressivamente sempre più importante nella vita delle imprese di tutti i giorni. La digitalizzazione dei processi è in rapido sviluppo migliorando in efficienza il mondo delle istituzioni, dei servizi pubblici e delle imprese, ma portando anche problematiche di sicurezza informatica e possibile vulnerabilità per gli operatori economici.
In questo quadro va visto il ruolo della Direttiva NIS che tenta di affrontare per la prima volta in modo organico e trasversale gli aspetti in materia di cyber security, rafforzando la resilienza e la cooperazione in Europa.
Il decreto intende, da una parte, promuovere una cultura di gestione del rischio e di segnalazione degli incidenti tra i principali attori economici e, dall’altra, rafforzare la cooperazione a livello nazionale e in ambito Ue.
Ecco in sintesi i contenuti della nuova disciplina vista dal punto di vista degli operatori economici.
1. A CHI SI APPLICA
Il decreto si applica agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD).
Gli Operatori di Servizi Essenziali (OSE) sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali.
I Fornitori di Servizi Digitali (FSD) sono le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale. Gli obblighi previsti per gli FSD non si applicano alle imprese che la normativa europea definisce “piccole” e “micro”, quelle cioè che hanno meno di 50 dipendenti e un fatturato o bilancio annuo non superiore ai 10 milioni di Euro.
2. COS’È IL CSIRT
Il decreto prevede, inoltre, l’istituzione presso la Presidenza del Consiglio dei Ministri di un unico Computer Security Incident Response Team, detto CSIRT italiano, che andrà a sostituire, fondendoli, gli attuali CERT Nazionale (operante presso il Ministero dello Sviluppo Economico) e CERT-PA (operante presso l’Agenzia per l’Italia Digitale). Proprio questo processo di fusione potrebbe essere di non facile gestione, il che potrebbe dilatare i tempi di adozione del decreto del Presidente del Consiglio dei Ministri che dovrà essere adottato più avanti per disciplinare nel dettaglio l’organizzazione ed il funzionamento del CSIRT. In ogni caso, lo CSIRT italiano avrà compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con gli altri CSIRT europei.
3. OBBLIGHI IN MATERIA DI SICUREZZA INFORMATICA
La normativa richiede agli operatori di servizi essenziali di adottare misure tecnico-organizzative “adeguate” alla gestione dei rischi e alla prevenzione degli incidenti informatici. Il decreto specifica però che nell’adottare tali misure gli operatori dovranno tenere in debita considerazione le linee guida che verranno predisposte dal Gruppo di Cooperazione. Queste ultime acquisiscono quindi un’importanza fondamentale ai fini di dimostrare l’adeguatezza delle misure adottate. Le autorità competenti NIS potranno inoltre imporre l’adozione di misure di sicurezza specifiche, sentiti gli operatori di servizi essenziali. È quindi probabile che gli operatori avranno a breve a disposizione indicazioni più specifiche riguardo alle misure di sicurezza da adottare, sotto forma di linee guida o di altri provvedimenti amministrativi.
Analoghi obblighi in materia di sicurezza sono previsti a carico dei fornitori di servizi digitali, i quali dovranno adottare misure tecniche-organizzative per la gestione dei rischi e per la riduzione dell’impatto di eventuali incidenti informatici. Gli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi informatici sono meglio specificati nel Regolamento di esecuzione (UE) 2018/151 della Commissione del 30 gennaio 2018.
4. NOTIFICA DEGLI INCIDENTI INFORMATICI
La normativa prevede poi un obbligo di notifica al CSIRT di incidenti informatici con impatto rilevante sui servizi forniti. Il decreto non fissa un limite temporale rigido per le notifiche, ma specifica che le stesse vanno effettuate “senza ingiustificato ritardo”. La scelta di optare per una segnalazione diretta al CSIRT, piuttosto che alle varie autorità competenti NIS, presenta vantaggi di efficienza amministrativa ed è quindi apprezzabile.
Il decreto prevede anche che le autorità competenti NIS possano predisporre linee guida per la notifica degli incidenti, ed è auspicabile che lo facciano data la complessità delle procedure di notifica, soprattutto se queste coinvolgono più Stati membri.
5. REGIME SANZIONATORIO
La Direttiva NIS lascia agli Stati membri un margine di discrezionalità riguardo al tipo e alla natura delle sanzioni applicabili, a condizione che siano effettive, proporzionate e dissuasive. Nell’esercitare tale discrezionalità, il governo ha ritenuto di stabilire che le autorità competenti potranno applicare sanzioni amministrative fino a 150.000 Euro in caso di violazione da parte degli operatori di servizi essenziali (e dei fornitori di servizi digitali) degli obblighi previsti dal decreto.
* * *
Si tratta di una normativa molto particolare che richiederà ulteriori approfondimenti e riflessioni al fine di comprenderne l’effettiva portata. Dopo il decreto di recepimento, in vigore dal 26 giugno, i prossimi passi sono rendere effettivamente operative le disposizioni del decreto e aggiornare il Piano nazionale per la protezione cibernetica e la sicurezza informatica.
Ma sin da ora è possibile una piccola riflessione.
I principali adempimenti richiesti dal decreto NIS quali le misure tecniche e organizzative in base all’analisi del rischi e l’obbligo di Notifica degli incidenti “ricordano” le analoghe misure richieste dal Regolamento Generale sulla Protezione dei Dati 2016/679 (GDPR). Dal punto di vista legislativo la somiglianza non è casuale, ma è dettata dalla linea e dal perseguimento degli obiettivi dell’Unione europea. Dal punto di vista pratico per gli operatori le due normative, a parere di chi scrive, andranno viste e adottate in parallelo per semplificarne l’impatto organizzativo.