Il 18 Maggio 2018 l’Italia, con il D.lgs n. 65, ha recepito la direttiva europea n. 1148/2016 (cd. Direttiva NIS – Network and Information Security) recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.
L’Europa affronta per la prima volta il tema della Cybersecurity. La digitalizzazione dei processi nelle imprese, nelle istituzioni e nei servizi pubblici se da una parte ottimizza i costi e velocizza le procedure, rendendole più efficienti, dall’altra genera delle vulnerabilità in materia di sicurezza informatica.
Invero, la finalità della normativa è quella di contribuire ad incrementare la sicurezza nell’Unione europea, mirando a rafforzare la cooperazione tra gli Stati membri e promuovendo la cultura della valutazione e della gestione del rischio, della prevenzione e della minimizzazione degli incidenti e della loro segnalazione tra gli attori economici. Ogni Stato deve, pertanto, adottare una propria strategia nazionale di sicurezza cibernetica. In Italia questo incarico è stato affidato al Presidente del Consiglio dei Ministri.
Analizziamo quindi i punti salienti della Direttiva NIS.
1. I soggetti a cui è destinata
La normativa si applica agli Operatori di Servizi Essenziali (OSE) ed ai Fornitori di Servizi Digitali (FSD)
a – Operatori di Servizi Essenziali (OSE)
Gli OSE sono soggetti pubblici e privati che forniscono servizi ritenuti essenziali per il mantenimento di attività sociali e/o economiche fondamentali. La fornitura di tali servizi dipende dalla rete e dai sistemi informativi ed un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio, come da definizione fornita all’art. 4 del D.Lgs 65/2018.
I settori ritenuti fondamentali sono elencati nell’Allegato II del decreto di recepimento e sono quello dell’energia (energia elettrica, petrolio, gas), dei trasporti (aereo, ferroviario, per via d’acqua, su strada), bancario, delle infrastrutture dei mercati finanziari, sanitario (istituti sanitari compresi ospedali e cliniche private), della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali.
Il Dipartimento delle informazioni per la sicurezza (cd. DIS) della Presidenza del Consiglio, designato quale punto di contatto unico NIS (art 8. comma 3, della direttiva), ha stilato un elenco di soggetti operanti nel territorio italiano, che per motivi di sicurezza ad oggi non è ancora stato reso noto.
Tale ente, tra le varie funzioni, svolge anche quella di collegamento per garantire la cooperazione transfrontaliera delle autorità degli Stati membri con le autorità competenti negli altri Stati membri e con il gruppo di cooperazione e la rete di CSIRT.
b – Fornitori di Servizi Digitali (FSD) (art 3 D.Lgs 65/2018)
Gli FSD sono le imprese che forniscono servizi digitali di mercato online (e-commerce), di motori di ricerca online e servizi di cloud computing, come individuato nell’Allegato III.
Le persone giuridiche che rientrano nell’ambito di applicazione della direttiva devono avere stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale, devo avere almeno 50 dipendenti ed un fatturato/bilancio annuo superiore ai 10 milioni di euro.
2. L’istituzione del CSIRT (Computer Security Incident Response Team)
E’ istituito, presso la Presidenza del Consiglio dei ministri, il Computer Security Incidente Response Team (cd. CSIRT) italiano, che svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale. (art. 8 D.Lgs 65/2018)
Nell’allegato I del decreto di recepimento vengono individuati i compiti del CSIRT:
“a) I compiti del CSIRT comprendono almeno:
- monitoraggio degli incidenti a livello nazionale;
- emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti;
- intervento in caso di incidente;
- analisi dinamica dei rischi e degli incidenti, nonche’ sensibilizzazione situazionale;
- partecipazione alla rete dei CSIRT;
b) il CSIRT stabilisce relazioni di cooperazione con il settore privato;
c) per facilitare la cooperazione, il CSIRT promuove l’adozione e l’uso di prassi comuni o standardizzate nei seguenti settori:
- procedure di trattamento degli incidenti e dei rischi;
- sistemi di classificazione degli incidenti, dei rischi e delle informazioni.”
3. Adozione di misure di sicurezza
Il decreto attuativo riprende l’art 14 della direttiva NIS per quanto riguarda gli obblighi in materia di sicurezza.
Infatti gli OSE devono adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e alla prevenzione di incidenti informatici.
Il decreto precisa altresì che il Gruppo di cooperazione dovrà predisporre delle linee guida sulla materia alle quali gli attori economici dovranno attenersi. Le autorità competenti NIS potranno inoltre imporre l’adozione di specifiche misure di sicurezza.
Obblighi analoghi vengono imposti anche gli FSD. Questi soggetti sono tenuti ad applicare le prescrizioni dettate dal decreto di recepimento valutando la rilevanza degli incidenti sulla base dei parametri e delle soglie indicati nel Regolamento (UE) 2018/151 del 30 gennaio.
In particolare l’art 4 di tale regolamento dispone che un incidente a carico di un FSD è rilevante quando ricorre una delle seguenti condizioni:
- Indisponibilità del servizio erogato per oltre 5 milioni di ore utente;
- Perdita di integrità, autenticità o riservatezza dei dati per oltre 100 mila utenti dell’UE;
- Rischio per la sicurezza e/o incolumità pubblica, o in termini di vite umane;
- Danni materiali superiori a 1 milione di euro per almeno un utente nell’UE.
4. Notifica degli incidenti
La notifica degli incidenti dovrà essere effettuata dagli OSE e FSD, senza ingiustificato ritardo, al CSIRT, informandone anche l’Autorità nazionale competente NIS. L’obbligo della segnalazione è condizionato dall’impatto dell’incidente sui servizi erogati.
L’art. 5 del decreto italiano fornisce un elenco di effettivi negativi che determinano la rilevanza dell’incidente e precisa che, ove opportuna, possono essere individuati altri fattori settoriali.
E’ di tutta evidenza che i soggetti giuridici che non rientrano nella categoria degli OSE né in quella degli FSD possono inoltrare al CSIRT notifiche volontarie degli incidenti, qualora abbiamo un impatto rilevante sulla continuità dei servizi da loro offerti.
Da ciò emerge la finalità della Direttiva NIS e del relativo decreto di recepimento. Difatti si intende promuovere la più ampia diffusione di una consapevole cultura nel campo della cybersecurity, con livelli di sicurezza più incisivi, anche mediante un maggiore scambio di informazioni.
5. Attuazione e controllo
Ai fini della attuazione della normativa e vigilanza sulla sua corretta applicazione ogni Stato deve designare una autorità competente NIS. In Italia il governo ha designato per ricoprire tale ruoli cinque ministeri ciascuno responsabile per la propria area di competenza (sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente).
Tali autorità possiedono potestà ispettive e sanzionatorie, fatte salve le attribuzioni e le competenze degli organi preposti alla tutela dell’ordine e della sicurezza pubblica. Possono inoltre predisporre linee guida per la notifica degli incidenti e dettare specifiche misure di sicurezza.
Allo scopo di coadiuvare le Autorità competenti NIS deve istituirsi, attraverso un apposito DPCM, un Comitato tecnico di raccordo. Il Comitato opererà presso la Presidenza del Consiglio dei ministri, riunendo i delegati dei Ministeri-Autorità competenti NIS e i rappresentanti delle Regioni e Province autonome in numero non superiore a due, designati in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano.
6. Regime sanzionatorio
La direttiva NIS ha lasciato margine di discrezionalità a ciascun Stato membro in materia di sanzioni. Il governo italiano all’art. 21 del D.Lgs 65/2018 ha stabilito che, salvo che il fatto costituisca reato:
- la violazione degli obblighi previsti dal decreto legislativo da parte di OSE e FSD comporta l’irrogazione di sanzioni amministrative pecuniarie fino ad un massimo di 150.000 euro e la reiterazione ne determina l’aumento fino al triplo della sanzione prevista;
- la mancata adozione delle misure tecniche e organizzative adeguate e proporzionate per la gestione del rischio per la sicurezza della rete e dei sistemi informativi comporta l’irrogazione di una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro se commessa da un OSE. La sanzione e’ ridotta di un terzo se lo stesso fatto e’ commesso da un fornitore di servizio digitale;
- la mancata adozione delle misure per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali comporta l’irrogazione di una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro è se commessa da un OSE. La sanzione e’ ridotta di un terzo se lo stesso fatto è commesso da un fornitore di servizio digitale;
- l’omessa notifica al CSIRT italiano degli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti, comporta l’irrogazione di una sanzione amministrativa pecuniaria da 25.000 euro a 125.000 euro. Il FSD è soggetto invece ad una sanzione amministrativa pecuniaria da 25.000 euro a 125.000 euro.
- la mancata ottemperanza agli obblighi di cui all’art 13, comma 2, dello stesso decreto, da parte dell’OSE comporta una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro.
- la mancata osservanza delle istruzioni di cui all’articolo 13, comma 4, da parte dell’OSE comporta una sanzione amministrativa pecuniaria da 15.000 euro a 150.000 euro;
- l’omessa notifica da parte dell’operatore di servizi essenziali dipendente da terze parti che fornisce servizi digitali per la fornitura di un servizio che e’ indispensabile per il mantenimento di attività economiche e sociali fondamentali, comporta una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro;
- la mancata ottemperanza agli obblighi di cui all’art 15, comma 2, dello stesso decreto, da parte dell’operatore di servizio essenziale comporta una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro;
- la reiterazione delle violazioni nei casi regolati dall’articolo 8-bis della legge 24 novembre del 1981, n. 689 recante modifiche al sistema penale italiano determina l’aumento fino al triplo della sanzione prevista.
VP