Il recepimento della Direttiva NIS

Il 18 Maggio 2018 l’Italia, con il D.lgs n. 65, ha recepito la direttiva europea n. 1148/2016 (cd. Direttiva NIS – Network and Information Security) recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. L’Europa affronta per la prima volta il tema della Cybersecurity. La digitalizzazione dei processi nelle imprese, nelle istituzioni e nei servizi pubblici se da una parte ottimizza i costi e velocizza le procedure, rendendole più efficienti, dall’altra genera delle vulnerabilità in materia di sicurezza informatica. Invero, la finalità della normativa è quella di contribuire ad incrementare la sicurezza nell’Unione europea, mirando a rafforzare la cooperazione tra gli Stati membri e promuovendo la cultura della valutazione e della gestione del rischio, della prevenzione e della minimizzazione degli incidenti e della loro segnalazione tra gli attori economici. Ogni Stato deve, pertanto, adottare una propria strategia nazionale di sicurezza cibernetica. In Italia questo incarico è stato affidato al Presidente del Consiglio dei Ministri. Analizziamo quindi i punti salienti della Direttiva NIS. 1. I soggetti a cui è destinata La normativa si applica agli Operatori di Servizi Essenziali (OSE) ed ai Fornitori di Servizi Digitali (FSD) a – Operatori di Servizi Essenziali (OSE) Gli OSE sono soggetti pubblici e privati che forniscono servizi ritenuti essenziali per il mantenimento di attività sociali e/o economiche fondamentali. La fornitura di tali servizi dipende dalla rete e dai sistemi informativi ed un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio, come da definizione fornita all’art. 4 del D.Lgs 65/2018. I settori ritenuti fondamentali sono elencati nell’Allegato II del decreto di recepimento e sono quello dell’energia (energia elettrica, petrolio, gas), dei trasporti (aereo, ferroviario, per via d’acqua, su strada), bancario, delle infrastrutture dei mercati finanziari, sanitario (istituti sanitari compresi ospedali e cliniche private), della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. Il Dipartimento delle informazioni per la sicurezza (cd. DIS) della Presidenza del Consiglio, designato quale punto di contatto unico NIS (art 8. comma 3, della direttiva),  ha stilato un elenco di soggetti operanti nel territorio italiano, che per motivi di sicurezza ad oggi non è ancora stato reso noto. Tale ente, tra le varie funzioni, svolge anche quella di collegamento per garantire la cooperazione transfrontaliera delle autorità degli Stati membri con le autorità competenti negli altri Stati membri e con il gruppo di cooperazione e la rete di CSIRT. b – Fornitori di Servizi Digitali (FSD) (art 3 D.Lgs 65/2018) Gli FSD sono le imprese che forniscono servizi digitali di mercato online (e-commerce), di motori di ricerca online e servizi di cloud computing, come individuato nell’Allegato III. Le persone giuridiche che rientrano nell’ambito di applicazione della direttiva devono avere stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale, devo avere almeno 50 dipendenti ed un fatturato/bilancio annuo superiore ai 10 milioni di euro. 2. L’istituzione del CSIRT (Computer Security Incident Response Team) E’ istituito, presso la Presidenza del Consiglio dei ministri, il Computer Security Incidente Response Team (cd. CSIRT) italiano, che svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale. (art. 8 D.Lgs 65/2018) Nell’allegato I del decreto di recepimento vengono individuati i compiti del CSIRT: “a) I compiti del CSIRT comprendono almeno: monitoraggio degli incidenti a livello nazionale; emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti; intervento in caso di incidente; analisi dinamica dei rischi e degli incidenti, nonche’ sensibilizzazione situazionale; partecipazione alla rete dei CSIRT; b) il CSIRT stabilisce relazioni di cooperazione con il settore privato; c) per facilitare la cooperazione, il CSIRT promuove l’adozione e l’uso di prassi comuni o standardizzate nei seguenti settori: procedure di trattamento degli incidenti e dei rischi; sistemi di classificazione degli incidenti, dei rischi e delle informazioni.” 3. Adozione di misure di sicurezza Il decreto attuativo riprende l’art 14 della direttiva NIS per quanto riguarda gli obblighi in materia di sicurezza. Infatti gli OSE devono adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e alla prevenzione di incidenti informatici. Il decreto precisa altresì che il Gruppo di cooperazione dovrà predisporre delle linee guida sulla materia alle quali gli attori economici dovranno attenersi. Le autorità competenti NIS potranno inoltre imporre l’adozione di specifiche misure di sicurezza. Obblighi analoghi vengono imposti anche gli FSD. Questi soggetti sono tenuti ad applicare le prescrizioni dettate dal decreto di recepimento valutando la rilevanza degli incidenti sulla base dei parametri e delle soglie indicati nel Regolamento (UE) 2018/151 del 30 gennaio. In particolare l’art 4 di tale regolamento dispone che un incidente a carico di un FSD è rilevante quando ricorre una delle seguenti condizioni: Indisponibilità del servizio erogato per oltre 5 milioni di ore utente; Perdita di integrità, autenticità o riservatezza dei dati per oltre 100 mila utenti dell’UE; Rischio per la sicurezza e/o incolumità pubblica, o in termini di vite umane; Danni materiali superiori a 1 milione di euro per almeno un utente nell’UE.  4. Notifica degli incidenti La notifica degli incidenti dovrà essere effettuata dagli OSE e FSD, senza ingiustificato ritardo, al CSIRT, informandone anche l’Autorità nazionale competente NIS. L’obbligo della segnalazione è condizionato dall’impatto dell’incidente sui servizi erogati. L’art. 5 del decreto italiano fornisce un elenco di effettivi negativi che determinano la rilevanza dell’incidente e precisa che, ove opportuna, possono essere individuati altri fattori settoriali. E’ di tutta evidenza che i soggetti giuridici che non rientrano nella categoria degli OSE né in quella degli FSD possono inoltrare al CSIRT notifiche volontarie degli incidenti, qualora abbiamo un impatto rilevante sulla continuità dei servizi da loro offerti. Da ciò emerge la finalità della Direttiva NIS e del relativo decreto di recepimento. Difatti si intende promuovere la più ampia diffusione di una consapevole cultura nel campo della cybersecurity, con livelli di sicurezza più incisivi, anche mediante un maggiore scambio di informazioni. 5. Attuazione e controllo Ai fini della attuazione della normativa e vigilanza sulla sua corretta applicazione ogni Stato deve designare una autorità competente NIS. In Italia il governo ha