18 Giu Cybersecurity: pubblicato in Gazzetta Ufficiale il D.Lgs. 18 maggio 2018, n. 65 – “Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione” (Gazzetta Ufficiale Serie Generale n. 132 del 9.6.2018).
Nella Gazzetta Ufficiale n. 132 del 9.6.2018 è stato pubblicato il decreto legislativo 18.5.2018, n. 65 che ha recepito la direttiva (UE) 2016/1148, c.d. direttiva NIS (Network and Information Security), caposaldo della strategia dell’Unione in materia di sicurezza delle reti e dei sistemi informativi.
Il decreto stabilisce misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.
Il decreto persegue tre obiettivi: 1) promuovere una cultura di gestione del rischio e di segnalazione degli incidenti tra i principali attori economici, in particolare gli operatori che forniscono servizi essenziali per il mantenimento di attività economiche e sociali e i fornitori di servizi digitali; 2) migliorare le capacità nazionali di cybersecurity; 3) rafforzare la cooperazione a livello nazionale e in ambito UE.
È stata prevista l’adozione di una strategia nazionale di cybersecurity da parte del Presidente del Consiglio dei ministri, contenente gli obiettivi e le priorità in materia di sicurezza delle reti e dei sistemi informativi; il quadro di governance per conseguire gli obiettivi e le priorità, inclusi i ruoli e le responsabilità degli organismi pubblici e degli altri attori pertinenti, le misure di preparazione, risposta e recupero, inclusa la collaborazione tra settore pubblico e settore privato, i programmi di formazione, sensibilizzazione e istruzione relativi alla strategia in materia di sicurezza delle reti e dei sistemi informativi, i piani di ricerca e sviluppo, un piano di valutazione dei rischi e l’elenco dei vari attori coinvolti nell’attuazione.
Al fine di assicurare la continuità dei servizi essenziali (energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali [v. Allegato 2]) e dei servizi digitali (motori di ricerca, servizi cloud, piattaforme di commercio elettronico [v. Allegato 3]), il decreto prevede l’adozione di misure tecnico-organizzative per ridurre il rischio e limitare l’impatto di incidenti informatici e l’obbligo di notifica di incidenti con impatto rilevante sulla fornitura dei servizi. Deve sottolinearsi che il legislatore italiano ha optato per non inserire la Pubblica Amministrazione tra gli Operatori di servizi essenziali. Parallelamente, il testo individua le Autorità competenti “NIS” (5 Ministeri: a. sviluppo economico, b. infrastrutture e trasporti, c. economia, d. salute, e. ambiente) e i rispettivi compiti, svolti in cooperazione con le omologhe Autorità degli altri Stati membri, nonché il Computer Security Incident Response Team (CSIRT) nazionale, con compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con gli altri CSIRT europei, la cui organizzazione e il funzionamento verranno disciplinate con successivo decreto del Presidente del Consiglio dei ministri.
Viene designato il Dipartimento delle informazioni per la sicurezza (DIS) quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi con funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità competenti NIS con le autorità competenti degli altri Stati membri, nonché con il gruppo di cooperazione [composto da rappresentati degli Stati membri, della Commissione europea e dell’ENISA (European Union for Network and Information Security Agency)] e la rete di CSIRT (composta da rappresentanti dei CSIRT degli Stati membri e del CERT-UE).
Vengono poi stabiliti i criteri utili alle Autorità competenti “NIS” per l’identificazione degli operatori di servizi essenziali – da effettuarsi entro il 9 novembre 2018 – e cioè: a) un soggetto fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali; b) la fornitura di tale servizio dipende dalla rete e dai sistemi informativi; c) un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio. Nel processo di identificazione le Autorità tengono conto dei documenti prodotti dal gruppo di cooperazione.
Con riferimento agli obblighi in materia di sicurezza il decreto prevede che gli operatori di servizi essenziali adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni oltre a “misure adeguate” per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi. Nell’adozione di tali misure i suddetti operatori devono tenere conto di quanto previsto dalle linee guida del gruppo di cooperazione. Inoltre, le Autorità competenti NIS possono definire specifiche misure, sentiti gli operatori di servizi essenziali.
Anche i fornitori di servizi digitali devono adottare misure tecnico-organizzative in modo tale da gestire i rischi e ridurre l’impatto di incidenti informatici.
Gli operatori di servizi essenziali notificano al CSIRT italiano e, per conoscenza, all’autorità competente NIS, senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti. Analogo obbligo è stato previsto con riferimento ai motori di ricerca, servizi di cloud computing e mercati elettronici, per i fornitori di servizi digitali. In tema di notificazioni degli incidenti, le autorità competenti NIS possono predisporre linee guida per la notifica degli incidenti.
In relazione al trattamento dei dati personali il decreto fa riferimento al vecchio codice privacy (d.lgs. 196/2003) e alle successive modifiche. Sul punto deve rammentarsi l’entrata in vigore del Regolamento UE 679/2016 (c.d. GDPR).
Il decreto suddetto inoltre stabilisce un regime sanzionatorio secondo cui le autorità competenti potranno irrogare sanzioni amministrative fino a 150.000 euro per gli operatori di servizi essenziali e fino a 125.000 euro per i fornitori di servizi digitali.
Il decreto entrerà in vigore il 24.6.2018.