08 Mag Legislazione Europea: pubblicate le Q&A della Commissione sulla Direttiva (UE) 2016/1148 (Comunicato stampa della Commissione del 4 maggio 2018).
Il 9 maggio 2018 scade il termine previsto per gli Stati membri per il recepimento della Direttiva (UE) 2016/1148 sulla sicurezza delle reti e dei sistemi informativi nell’Unione (o “Direttiva NIS”), che rappresenta la prima legislazione europea in materia di cybersecurity.
La Direttiva NIS necessita di un atto di recepimento all’interno dei singoli Stati membri, il quale dovrebbe essere adottato entro domani. Con specifico riferimento all’Italia, l’8 febbraio 2018 è stato approvato dal Consiglio dei Ministri lo schema di decreto delegato che dovrebbe recepire le disposizioni contenute nella Direttiva, il quale è stato poi trasmesso alle commissioni competenti della Camera dei Deputati e del Senato per il parere in data 21 febbraio, che ancora non è stato espresso.
La citata Direttiva NIS prevede che ciascuno Stato membro definisca un livello di misure adeguate al fine di assicurare, inter alia: (i) l’adozione di una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi; (ii) l’istituzione di un gruppo di cooperazione al fine di sostenere e agevolare la cooperazione strategica e lo scambio di informazioni tra Stati membri e di sviluppare la fiducia tra di essi; (iii) la creazione di una rete di gruppi di intervento per la sicurezza informatica in caso di incidente (c.d. “Computer Security Response Team” o “rete CSIRT”) per contribuire allo sviluppo della fiducia tra Stati membri e promuovere una cooperazione operativa rapida ed efficace; (iv) l’emanazione di obblighi di sicurezza e di notifica per gli operatori di servizi essenziali e per i fornitori di servizi digitali; (v) la designazione di autorità nazionali competenti per i singoli Stati membri, alle quali saranno attribuiti compiti connessi alla sicurezza della rete e dei sistemi informativi.
Con il comunicato stampa del 4 maggio 2018, la Commissione ha reso note una serie di domande e risposte relative all’implementazione della suddetta Direttiva , il cui scopo è quello di definire un elevato livello di sicurezza dei sistemi informativi, delle reti e delle informazioni all’interno dell’Unione Europea attraverso:
1. il miglioramento delle capacità nazionali in materia di cibersecurity;
2. il rafforzamento della cooperazione a livello UE;
3. la promozione di una cultura di gestione del rischio e di segnalazione degli incidenti tra i principali attori economici, in particolare gli operatori che forniscono servizi essenziali per il mantenimento di attività economiche e sociali e i fornitori di servizi digitali.
Si può infine notare come la definizione di un livello comune in materia di cibersecurity rappresenta un importante novità anche per la definizione delle misure richieste dal Regolamento (UE) 679/2016 (o, secondo l’acronimo inglese, “GDPR”), il quale, mutando l’approccio degli operatori nell’ambito della gestione dei dati degli utenti, impone alle imprese che trattano dati personali di adottare tutte le misure ritenute adeguate per proteggere i dati degli interessati da eventuali perdite accidentali o accessi illegittimi, garantendo così un elevato livello di protezione e la resilienza dei sistemi informativi in cui vengono conservati i dati.