Cyber Security e Direttiva NIS: il Decreto attuativo italiano

L’avvento dell’era digitale e l’impiego quotidiano di strumenti tecnologici in pressoché ogni ambito della nostra esistenza hanno indubbiamente dato adito a non pochi problemi dal punto di vista della cyber sicurezza e della necessità di difendere lo spazio virtuale (sia per tutelare i diritti della persona in Rete, che per garantire la continuità dei servizi essenziali).

Il World Economic Forum – fondazione che ogni anno organizza incontri tra personalità di primo piano della politica e dell’economia internazionale – ha recentemente collocato i rischi informatici tra i tre più grandi problemi del 2018, insieme ai disastri naturali causati dal surriscaldamento globale e al rischio di guerra.

Il 6 luglio 2016, per far fronte comune alla problematica del cyber crimine, l’Unione Europea ha adottato la Direttiva (UE) n. 2016/1148 – meglio nota come Direttiva NIS (Network and Information Security) –, recante misure per l’implementazione di un comune elevato livello di sicurezza delle reti e dei sistemi informativi dell’Unione. Si tratta della prima iniziativa con la quale le istituzioni europee hanno affrontato le sfide in materia di cyber sicurezza, rivoluzionando così il sistema di resilienza e cooperazione europea.

Nonostante tale Direttiva avrebbe dovuto ricevere attuazione in Italia entro il 9 maggio 2018, il Governo italiano ha approvato in esame definitivo il Decreto di attuazione (d.lgs. 65/2018) con una settimana di ritardo, il 16 maggio. Tale Decreto è ufficialmente entrato in vigore il 24 giugno 2018.

La Direttiva NIS n. 2016/1148, che ha sviluppato il proprio piano d’azione attorno a tre principali punti cardine (miglioramento delle capacità dei singoli Stati dell’Unione in materia di cyber security, aumento del livello di cooperazione tra Stati Membri e obbligo di gestione dei rischi e di rendicontazione degli incidenti di sicurezza aventi una certa entità), ha imposto ad ogni Stato l’onere di dotarsi di una strategia nazionale di sicurezza cibernetica, la quale sia volta alla definizione di adeguate politiche di sicurezza e misure di sensibilizzazione.

La recente normativa di attuazione italiana, come si legge dal Comunicato Stampa del Governo, si pone proprio in un’ottica di concretizzazione dei sopracitati obiettivi. Il Decreto è innanzitutto volto alla promozione di una cultura di gestione del rischio e di segnalazione degli incidenti di sicurezza tra i principali attori economici e desidera migliorare quelle che sono le capacità nazionali in materia di cyber security, così come rafforzare la cooperazione a livello nazionale e in ambito UE.

In primo luogo, oltre a prevedere l’adozione di misure tecnico-organizzative volte a conseguire un elevato livello di sicurezza della rete e dei sistemi informativi in ambito nazionale (contribuendo così anche all’incremento del livello comune di sicurezza dell’Unione Europea), il Decreto dà attuazione all’obbligo di notifica degli incidenti informatici e di quelli aventi rilevante impatto sulla fornitura dei servizi essenziali e digitali. 

Parallelamente, il testo individua anche quelle che sono le Autorità competenti “NIS” e i loro rispettivi compiti, i quali devono essere svolti in cooperazione con le Autorità degli altri Stati Membri e con il CSIRT (Computer Security Incident Response Team) nazionale – il quale andrà a sostituire, fondendoli, il CERT Nazionale e il CERT-PA –, che coopera a sua volta con gli altri CSIRT europei. 

Quanto all’ambito di applicazione della disciplina, nonostante la Direttiva NIS consentisse ai singoli Stati di estendere l’ambito di applicazione delle proprie disposizioni anche a settori diversi rispetto a quelli esplicitamente elencati nella Direttiva, il Governo italiano ha deciso di non avvalersi di questa opportunità, anche se secondo diverse opinioni un’estensione al settore della Pubblica Amministrazione – il quale tratta un’ingente quantità di dati – sarebbe invece stata necessaria. I settori che rientrano nell’ambito di applicazione del Decreto attuativo coincidono pertanto con quelli indicati dalla Direttiva, i.e. energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali, nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico.

Ciò non ostante, le Pubbliche Amministrazioni identificate come erogatrici di servizi essenziali che rientrino nei settori testé indicati saranno comunque sottoposte alla normativa NIS.

Vale poi la pena ricordare che, di per sé, le amministrazioni pubbliche rimangono soggette alla Circolare AgID n. 2/2017 circa le misure minime di sicurezza ICT per le pubbliche amministrazioni.

Venendo alla strategia nazionale di sicurezza cibernetica, questa dovrà prevedere in maniera specifica e dettagliata – aggiornando laddove necessario il Quadro strategico nazionale per la sicurezza dello spazio cibernetico del 2013 e il conseguente Piano nazionale per la protezione cibernetica e la sicurezza informatica del 2017 – misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, così come dovrà definire un piano di valutazione dei rischi informatici e dei programmi di formazione e sensibilizzazione in materia di sicurezza informatica.

Per quanto riguarda le autorità nazionali competenti all’attuazione della normativa NIS e alla vigilanza sul rispetto della stessa, il modello decentrato italiano prevede la designazione di ben cinque Ministeri, ciascuno responsabile per uno o più settori attinenti al proprio ambito di competenza (sviluppo economico, infrastrutture e trasporti, economia e finanze, salute, ambiente e territorio). Le funzioni di collegamento e coordinamento con le Autorità competenti negli altri Paesi dell’Unione Europea spetteranno invece al DIS, i.e. al Dipartimento delle Informazioni per la Sicurezza.

Il Decreto attuativo ripropone poi i generici obblighi di sicurezza impartiti dalla Direttiva NIS e impone agli operatori di servizi essenziali e ai fornitori di servizi digitali di adottare idonee misure tecnico-organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici.

Gli elementi che dovranno essere presi in considerazione ai fini della gestione dei rischi informatici sono specificati nel Regolamento di esecuzione (UE) n. 2018/151 della Commissione, il quale specifica anche in modo dettagliato quali siano i parametri da prendere in considerazione al fine di determinare se l’impatto di un incidente sia o meno rilevante. Le Autorità competenti potranno poi impartire ulteriori obblighi.

Laddove però l’incidente informatico si verifichi, il Decreto attuativo specifica che i soggetti testé indicati dovranno inoltrare, senza ritardo, al CSIRT (e per conoscenza anche all’autorità NIS competente sul settore) notifica dell’incidente con indicazione dell’impatto di questo sui servizi forniti.

Infine, per quanto concerne il regime sanzionatorio, l’Italia ha deciso di seguire la stessa linea degli altri Stati Membri che hanno già attuato la Direttiva. Più nello specifico, le Autorità competenti, in caso di violazione degli obblighi previsti dal Decreto da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali, potranno applicare sanzioni amministrative fino a 150.000 euro.  

Prima di concludere, occorre però sottolineare che la recente pubblicazione del Decreto non concluderà il percorso di attuazione della Direttiva NIS in Italia. Sarà infatti ulteriormente necessario rendere le disposizioni effettivamente operative e procedere con l’adozione di un decreto che regoli l’organizzazione del nuovo CSIRT.

Occorrerà inoltre che il nuovo Governo aggiorni il Piano nazionale per la protezione cibernetica e la sicurezza informatica del 2017 e proceda con l’adozione di una strategia nazionale che rispetti tutti i requisiti ex art. 7 della Direttiva NIS