Decreto attuativo della Direttiva NIS: l’Italia perde una buona occasione

Lo scorso 16 maggio il Consiglio dei Ministri ha approvato il Decreto Legislativo di attuazione della Direttiva UE 2016/1148 – cosiddetta Direttiva NIS-Network and Information Security – recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.

La stessa poggia sui seguenti punti focali: il miglioramento delle capacità di cyber security dei singoli Stati membri, il potenziamento dei livelli di cooperazione e una più efficiente gestione dei rischi da parte degli operatori di servizi essenziali e dei fornitori dei servizi digitali, ed ha imposto ad ogni Stato membro l’onere di dotarsi di una strategia nazionale di sicurezza cibernetica, volta alla definizione di adeguate politiche di sicurezza e misure di sensibilizzazione.

Il decreto di attuazione ricalca piuttosto fedelmente l’impianto della Direttiva e, con riguardo a ciò che è stato demandato alla discrezionalità degli Stati membri, non poco interesse ha suscitato la scelta del governo italiano di dar luogo ad un sistema ‘‘temperatamente decentrato’’ in cui le strutture immediatamente responsabili della applicazione della Direttiva NIS – le c.d. ‘‘Autorità competenti NIS’’ –, sono state individuate, per settori di interesse, in cinque Dicasteri, quali quello dello sviluppo economico, delle infrastrutture e trasporti, dell’economia e finanze, della salute e ambiente.

In capo al Dipartimento delle informazioni per la sicurezza (DIS), designato quale punto di contatto unico ex art. 8 Direttiva cit., è stato invece accentrato il compito di garantire la cooperazione transfrontaliera delle autorità competenti NIS con le autorità competenti degli altri Stati membri, nonché con il gruppo di cooperazione e la rete CSIRT – Computer Security Incident Response Teram,

a cui gli operatori di servizi essenziali devono inoltrare le notifiche di incidenti informatici di rilevante impatto sui servizi erogati –.

Proprio per ciò che attiene all’identificazione degli operatori di servizi essenziali, nonché all’individuazione degli obblighi in materia di sicurezza, il decreto attuativo nulla innova, ispirandosi agli stessi criteri di cui alla Direttiva – rispettivamente agli artt. 5 e 14, cui si rimanda –.

Quanto invece alle modalità del trattamento dei dati personali da osservare nell’attuazione del decreto, il provvedimento opera un – atecnico – riferimento al D. Lgs. 196/2003 (Codice Privacy), sebbene questo debba oramai ritenersi (almeno in parte) sostituito dal GDPR – Regolamento UE, in vigore dal 25.05.2018, quale principale fonte normativa regolatrice della materia –.

Per ciò che concerne l’individuazione del tipo e della natura delle sanzioni applicabili, il governo italiano, facendo ampio esercizio dei poteri discrezionali riconosciutigli sul punto, ha ritenuto effettiva, proporzionata e dissuasiva, l’applicazione di una sanzione amministrativa che, per le violazioni da imputare agli operatori di servizi essenziali, ammonta ad un massimo di Euro 150.000.

La stessa discrezionalità è stata infine riconosciuta ai Paesi membri nell’estendere lo spettro di afferenza della Direttiva anche a settori diversi da quelli ivi puntualmente indicati (specificamente: energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile, infrastrutture digitali, nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico). Ad ogni modo, il governo italiano, non avvalendosi della predetta facoltà, ha a fortiori perso l’occasione per allargare l’ambito di operatività del provvedimento unionale anche alle pubbliche amministrazioni: tale opzione, invero, ad oggi è apparsa la soluzione che avrebbe dovuto preferirsi, atteso il ruolo cardine che la pubblica amministrazione riveste per l’economia e la sicurezza del paese, nonché l’imponente mole di dati – tra cui sensitive data – dalla stessa trattati.

A ciò aggiungasi che un buon numero di strutture pubbliche operanti in settori strategici coperti dal decreto, quali la sanità, i trasporti e la fornitura di acqua potabile, saranno destinate, con ogni probabilità, ad essere identificate come erogatrici di servizi essenziali e, in quanto tali, comunque assoggettate alle disposizioni della Direttiva.