Tutto quello che bisogna sapere sulla normativa Nis per la cybersecurity, dopo l’esame preliminare del consiglio dei ministri e lo schema di decreto pubblicato il 22 febbraio 2018.
Ieri è stato finalmente approvato (e pubblicato) lo schema di Decreto Legislativo che dovrebbe attuare in Italia la Direttiva NIS.
LEGGI IL TESTO DELLO SCHEMA DI DECRETO DI RECEPIMENTO NIS
Il governo ha optato per un approccio soft, limitandosi per lo più ad incorporare nello schema di D.Lgs. quanto già stabilito dalla Direttiva. La palla passa ora alle Commissioni parlamentari competenti che dovranno esprimere un parere sullo schema. Ecco alcuni commenti sul testo uscito da Palazzo Chigi.
L’8 febbraio scorso, il Consiglio dei Ministri ha approvato, in via preliminare, lo schema di Decreto Legislativo che dovrebbe attuare in Italia la Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi, meglio nota come Direttiva NIS. Il testo approvato è stato però reso pubblico solo il 22 febbraio con la trasmissione alle Commissioni parlamentari competenti. Qui di seguito un commento su alcuni dei punti chiave dello schema di D.Lgs.
Settori coperti dallo schema di recepimento decreto Nis
Nonostante la Direttiva NIS consenta agli Stati membri di estendere l’ambito di applicazione delle proprie disposizioni anche a settori diversi da quelli elencanti nella Direttiva, il governo ha scelto di non avvalersi di questa possibilità. I settori che rientrano nell’ambito di applicazione dello schema di D.Lgs. sono infatti solo quelli espressamente previsti dalla Direttiva (ossia energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali; nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico). Sarebbe stato forse opportuno estendere l’ambito di applicazione del decreto almeno a tutta la pubblica amministrazione, vista l’imponente mole di dati (anche sensibili) che essa tratta ed il ruolo chiave che la stessa ricopre per l’economia e per la sicurezza del paese. In ogni caso, le pubbliche amministrazioni che offrono servizi nei settori sopra elencati (ad esempio, trasporti, sanità e distribuzione di acqua potabile) saranno comunque sottoposte alla normativa NIS, se identificate quali operatori di servizi essenziali. Inoltre, le pubbliche amministrazioni rimarranno comunque soggette a quanto disposto dalla Circolare AgID n. 1/2017, recante “Misure minime di sicurezza ICT per le pubbliche amministrazioni”.
Strategia nazionale di sicurezza cibernetica
In ossequio a quanto richiesto dall’Articolo 7 della Direttiva, lo schema di D.Lgs. prevede l’adozione di una strategia nazionale di sicurezza cibernetica da parte del Presidente del Consiglio dei Ministri. La strategia dovrà prevedere in particolare le misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, la definizione di un piano di valutazione dei rischi informatici e programmi di formazione e sensibilizzazione in materia di sicurezza informatica. Gran parte di questi elementi sono già affrontati, per grandi linee, nella vigente strategia nazionale di sicurezza cibernetica, delineata nel Quadro strategico nazionale per la sicurezza dello spazio cibernetico del 2013 e ulteriormente sviluppata dal Piano nazionale per la protezione cibernetica e la sicurezza informatica del 2017. È probabile però che la stessa venga aggiornata per far sì che tutti gli elementi di cui all’Articolo 7 della Direttiva vengano affronti in maniera specifica e dettagliata, in conformità con i dettami comunitari.
Designazione delle autorità nazionali competenti e del punto di contatto unico
Per quanto riguarda la designazione delle autorità competenti all’attuazione della normativa NIS e alla vigilanza sul rispetto della stessa, il modello istituzionale scelto dal governo è di tipo temperatamente decentrato. Difatti, sono designati quali “autorità competenti NIS” ben 5 Ministeri (sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente), ciascuno responsabile per uno o più settori rientrati nelle proprie aree di competenza. Si tratta di un modello a metà tra quello fortemente centralista francese, con un’unica autorità competente, e quello decentrato dei paesi nordici come la Svezia dove i compiti normativi e di vigilanza in materia di cybersecurity sono attribuiti ad una serie di agenzie pubbliche competenti per settori specifici.
Il Dipartimento delle informazioni per la sicurezza (DIS) è invece designato quale punto di contatto unico ai sensi dell’Articolo 8(3) della Direttiva. Al DIS spetterà quindi di svolgere funzioni di collegamento verso l’Unione europea e di coordinamento con le autorità competenti in materia di cybersecurity negli altri Stati membri.
CSIRT italiano
Lo schema di D.Lgs. prevede, inoltre, l’istituzione presso la Presidenza del Consiglio dei Ministri di un unico Computer Security Incident Response Team, detto CSIRT italiano, che andrà a sostituire, fondendoli, gli attuali CERT Nazionale (operante presso il Ministero dello Sviluppo Economico) e CERT-PA (operante presso l’Agenzia per l’Italia Digitale). L’organizzazione ed il funzionamento del CSIRT verrà disciplinata mediante decreto del Presidente del Consiglio dei Ministri da adottarsi più avanti. In ogni caso, lo CSIRT italiano avrà compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con gli altri CSIRT europei.
Identificazione degli operatori di servizi essenziali
Per quanto riguarda l’identificazione degli operatori di servizi essenziali, lo schema di D.Lgs. ripropone i criteri di cui all’Articolo 5(2) della Direttiva: i) fornitura di un servizio essenziale per il mantenimento di attività sociali e/o economiche fondamentali; ii) dipendenza di tale servizio dalla rete e dai sistemi informativi; e iii) effetti negativi rilevanti sulla fornitura di tale servizio in caso di incidente informatico, rilevanza da valutarsi secondo i criteri specificati all’Articolo 6 della Direttiva (e riproposti all’Articolo 5 dello schema). Questi sono i criteri che le autorità competenti NIS (ossia i vari Ministeri) dovranno seguire per identificare gli operatori di servizi essenziali per ciascun settore di cui all’Allegato II entro il 9 novembre 2018. Lo schema precisa però che, nell’individuazione di tali operatori, le autorità competenti NIS dovranno anche tenere conto delle indicazioni del Gruppo di Cooperazione, istituito dall’Articolo 11 della Direttiva (composto da rappresentati degli Stati membri, dalla Commissione europea e dall’ENISA, European Union for Network and Information Security Agency). Si tratta di una precisazione importante, volta a garantire un’applicazione armonizzata delle Direttiva ed un trattamento uniforme di quei soggetti che operano in più Stati membri.
Obblighi in materia di sicurezza
Lo schema di D.Lgs. ripropone i generici obblighi di sicurezza previsti dalla Direttiva all’Articolo 14. In sostanza, gli operatori di servizi essenziali dovranno adottare misure tecnico-organizzative “adeguate” alla gestione dei rischi e alla prevenzione degli incidenti informatici. Il decreto specifica però che nell’adottare tali misure gli operatori dovranno tenere in debita considerazione le linee guida che verranno predisposte dal Gruppo di Cooperazione. Queste ultime acquisiscono quindi un’importanza fondamentale ai fini di dimostrare l’adeguatezza delle misure adottate. Le autorità competenti NIS potranno inoltre imporre l’adozione di misure di sicurezza specifiche, sentiti gli operatori di servizi essenziali. È quindi probabile che gli operatori avranno a breve a disposizione indicazioni più specifiche riguardo alle misure di sicurezza da adottare, sotto forma di linee guida o di altri provvedimenti amministrativi.
Analoghi obblighi in materia di sicurezza sono previsti a carico dei fornitori di servizi digitali, i quali dovranno adottare misure tecniche-organizzative per la gestione dei rischi e per la riduzione dell’impatto di eventuali incidenti informatici. Gli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi informatici sono meglio specificati nel Regolamento di esecuzione (UE) 2018/151 della Commissione del 30 gennaio 2018.
Notifica degli incidenti informatici
Per quanto concerne gli obblighi di notifica, lo schema di D.Lgs. specifica che gli operatori di servizi essenziali dovranno inoltrare al CSIRT (e per conoscenza all’ autorità competente NIS del proprio settore) le notifiche di incidenti informatici con impatto rilevante sui servizi forniti. Un obbligo analogo è previso anche a carico dei fornitori di servizi digitali di cui all’Allegato III della Direttiva (motori di ricerca, servizi cloud e piattaforme di commercio elettronico). Il decreto non fissa un limite temporale rigido per le notifiche, ma specifica che le stesse vanno effettuate “senza ingiustificato ritardo”. La scelta di optare per una segnalazione diretta al CSIRT, piuttosto che alle varie autorità competenti NIS, presenta vantaggi di efficienza amministrativa ed è quindi apprezzabile.
Lo schema di decreto prevede anche che le autorità competenti NIS possano predisporre linee guida per la notifica degli incidenti, ed è auspicabile che lo facciano data la complessità delle procedure di notifica, soprattutto se queste coinvolgono più Stati membri. A questo proposito, si potrebbe pensare all’introduzione di procedure di notifica simili alla Business Application, utilizzata oggi per facilitare le notifiche transnazionali di prodotti pericolosi. Sarebbe anche opportuno che le linee guida chiarissero come coordinare procedure di notifica che afferiscono a normative differenti. Infatti, alcuni incidenti informatici potrebbero, ad esempio, for scattare contemporaneamente un obbligo di notifica ai sensi dell’Articolo 14 della Direttiva NIS e ai sensi dell’Articolo 33 del GDPR.
È bene inoltre ricordare che, per quanto riguarda gli incidenti che i fornitori di servizi digitali sono tenuti a notificare, il Regolamento di esecuzione (UE) 2018/151 della Commissione del 30 gennaio 2018 specifica in maniera dettagliata quali siano i parametri da prendere in considerazione al fine di determinare se l’impatto di un incidente è rilevante, e quindi atto a far scattare l’obbligo di notifica.
Trattamento dei dati personali
Lo schema di D.Lgs. precisa che il trattamento dei dati personali in applicazione del decreto sia effettuato ai sensi del D.Lgs. 196/2003 (Codice della Privacy). Tale riferimento, seppur attualmente corretto da un punto di vista formale, diverrà presto obsoleto (almeno in parte) con l’entrata in vigore definitiva del Regolamento Generale sulla Protezione dei Dati (GDPR) il 25 maggio 2018. Infatti, a partire da quella data, il GDPR costituirà il principale quadro normativo per quanto riguarda il trattamento dei dati personali, e sostituirà (almeno parzialmente) l’attuale Codice della Privacy. Sarebbe quindi opportuno provvedere ad un aggiornamento della norma (riferendosi anche al GDPR) prima dell’adozione definitiva del D.Lgs.
Regime sanzionatorio
Come già ricordato, la Direttiva NIS lascia agli Stati membri un margine di discrezionalità riguardo al tipo e alla natura delle sanzioni applicabili, a condizione che siano effettive, proporzionate e dissuasive. Nell’esercitare tale discrezionalità, Il governo ha ritenuto di stabilire che le autorità competenti potranno applicare sanzioni amministrative fino a 150.000 Euro in caso di violazione da parte degli operatori di servizi essenziali (e dei fornitori di servizi digitali) degli obblighi previsti dal decreto. Si tratta di un approccio in linea con quello seguito da altri Stati membri che hanno già attuato la Direttiva. Infatti, la Germania ha previsto sanzioni fino a 100.000 Euro, mentre in Repubblica Ceca le sanzioni salgono fino a circa 200.000 Euro (5 milioni di corone ceche).
Quanto scritto in questo articolo si basa sul testo dello schema approvato in Consiglio dei Ministri. Ovviamente, il testo potrebbe subire delle modifiche dopo l’esame parlamentare che dovrebbe concludersi verso fine marzo.
Fonte: AgendaDigitale.eu