Diritto

Published on luglio 20th, 2018 | by dirittodellinformatica.it

0

Cybersecurity, anche l’Italia recepisce la direttiva UE

Prosegue a passo spedito il cammino intrapreso dall’Unione Europea in materia di sicurezza e di protezione dei dati personali. Dopo il GDPR entrato in vigore lo scorso 25 maggio, un altro provvedimento si appresta a rivoluzionare radicalmente la sicurezza digitale dei cittadini europei.

Analogamente a quanto accaduto per il “fratello maggiore” (ovvero il Regolamento Europeo n. 679/2016), ci sono voluti ben due anni di gestazione affinché anche l’Italia recepisse la Direttiva europea n. 1148/2016 recante le “misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”, meglio nota come “Direttiva NIS” (acronimo di Network and Information Security ndr).

A seguito della pubblicazione in Gazzetta Ufficiale, il decreto legislativo n. 65/2018 approvato dal Consiglio dei ministri lo scorso 16 maggio è attualmente in vigore dal 26 giugno.

Ma cosa prevede questo provvedimento e quale sarà il suo peso specifico sulla sicurezza dei cittadini italiani ed Europei? E come si intersecheranno sicurezza e protezione dei dati personali previsti dal GDPR?

I settori disciplinati dal D.lgs. n. 65/2018

La prima criticità che occorre fin da subito evidenziare riguarda i settori d’intervento disciplinati dalla normativa italiana di recepimento. Sebbene la Direttiva 1148/2016 lasciasse ampi spazi di manovra ai singoli stati membri circa l’ambito di applicazione, dando quindi la possibilità di estenderne ulteriormente il contenuto, il Governo ha deciso di non ampliare il novero dei settori oggetto del provvedimento.

Pertanto, il decreto legislativo riguarderà unicamente il campo dell’energia, dei trasporti, delle banche e dei mercati finanziari. Ovviamente, non potevano non essere ricomprese le infrastrutture digitali, i motori di ricerca e le piattaforme e-commerce.

Tuttavia, il nostro legislatore ha incomprensibilmente lasciato scoperti interi settori della Pubblica Amministrazione (come quello tributario o riguardante la previdenza) nonostante l’importanza rivestita da numerose tipologie di trattamenti sui dati (anche sensibili) dei cittadini.

La cosiddetta “strategia nazionale di sicurezza cibernetica” (art. 6)

Con un linguaggio evocativo dei famosi colossal di spionaggio, il provvedimento recepisce le indicazioni fornite dall’art. 7 della Direttiva UE, la quale prevede l’adozione di una strategia volta a stabilire misure di valutazione e prevenzione dei rischi, nonché vere e proprie procedure emergenziali da adottare in caso di attacchi informatici.

Si tratta in realtà di materie oggetto di una specifica e settoriale disciplina attuata dal nostro legislatore già nel 2013 con il Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico,  poi trasfusa nel recente Piano Nazionale per la protezione cibernetica e la sicurezza informatica adottato nel marzo 2017, che tuttavia necessiteranno di un’implementazione con le nuove disposizioni comunitarie.

Le autorità nazionali competenti e del punto di contatto unico (art. 7)

Ai ministeri di Sviluppo Economico, Infrastrutture e Trasporti, Economia e Salute e Ambiente sono demandati in via decentrata l’attuazione della direttiva e i conseguenti compiti di vigilanza sul rispetto della stessa, mentre il Dipartimento delle informazioni per la sicurezza (DIS) viene designato quale Punto di contatto unico con funzioni di coordinamento con le varie autorità degli Stati membri che si occupano di sicurezza delle reti e dei sistemi informatici.

Il CSIRT, ovvero i gruppi di intervento per la sicurezza informatica in caso di incidente (art. 8)

La stessa direttiva comunitaria ha previsto la creazione di un Computer Security Incident Response Team (acronimo di CSIRT) le cui unità saranno dislocate in ciascuno degli Stati membri dell’Unione. Il CSIRT italiano svolge essenzialmente compiti di prevenzione e risposta ad eventuali attacchi informatici che coinvolgono la rete sul territorio nazionale. L’art. 8 prevede che le funzioni di questo nuovo organismo debbano svolgersi di concerto con il CERT – PA (Computer Emergency Rescue Team), ovvero la struttura costituita nel 2014 ed operante all’interno dell’Agenzia per l’Italia Digitale, preposta alla prevenzione degli incidenti informatici e con il principale obiettivo di garantire la sicurezza informatica nella Pubblica Amministrazione.

Gli obblighi in materia di sicurezza e la notifica degli incidenti

Il cuore della Direttiva è tuttavia rappresentato dagli articoli 12 e seguenti.

L’articolo 12 definisce infatti le misure tecniche ed organizzative attuabili per gestire o minimizzare i rischi derivanti da eventuali attacchi informatici, i cui compiti di attuazione e di notifica sono demandate ai fornitori di servizi essenziali o digitali.

I servizi essenziali sono deputati al mantenimento delle attività sociali o economiche fondamentali, la cui esistenza è strettamente collegata alla rete o ai sistemi informatici. Entro il 9 novembre 2018 le autorità componenti il NIS avranno il compito di individuare tali categorie di soggetti alla luce delle Linee Guida emanate dal Gruppo di Cooperazione (istituito all’art. 11 della Direttiva e composto dai rappresentanti degli Stati Membri, dalla Commissione Europea e dall’European Union for Network and Information Security Agency) e disporranno a loro volta del potere di proporre indicazioni operative o di imporre a loro volta l’adozione di misure di sicurezza specifiche.

Essenzialmente, il Gruppo di Cooperazione opererà su quattro aree fondamentali: pianificazione, guida, segnalazione e condivisione.

La mancanza di linee guida pone tuttavia una serie di problematicità alla luce soprattutto delle complesse procedure di notifica che potrebbero coinvolgere le autorità di due differenti Stati membri o, nella maggioranza dei casi, comportare un duplice obbligo sia sotto il profilo del NIS che del GDPR (la cui procedura di notifica in caso di violazione è disciplinata dall’art. 33).

Il il 30 gennaio scorso la Commissione Europea ha emanato il Regolamento di Esecuzione 151/2018 in cui si indicano nel dettaglio i parametri da adottare al fine di valutare la rilevanza di un incidente informatico e, di conseguenza, se questo sia o meno idoneo ad attivare la procedura di notifica.

Le Sanzioni previste dalla Direttiva NIS

Nell’ambito della discrezionalità accordata dalla Direttiva, gli Stati Membri hanno goduto di un significativo margine di discrezionalità relativo alla tipologia di sanzioni applicabili in caso di violazione delle disposizioni in esse contenute.

I parametri richiedevano unicamente l’effettività, la proporzionalità e l’efficacia dissuasiva nella definizione delle sanzioni: in base ad essi, il d.lgs. 65/2018 ha quindi stabilito che le autorità competenti possano irrogare ai fornitori di servizi essenziali sanzioni amministrative fino a 150 mila euro in caso di violazione degli obblighi previsti dal decreto.

Nella quantificazione, il Governo italiano ha quindi scelto di mantenersi sullo stesso ordine di grandezza utilizzato dagli altri Stati Membri, su tutti Francia e Germania.

Le prospettive dopo il recepimento della Direttiva

Con l’attuazione della Direttiva NIS, il “pacchetto europeo per la sicurezza dei dati” può dirsi completo e il 2018 pare proprio essere l’anno di svolta per il mercato europeo della cybersecurity.

Se l’affidabilità, la sicurezza e la protezione dei sati sembrano essere le parole d’ordine, occorrerà tuttavia attendere le risposte da parte degli operatori economici coinvolti: non bisogna tuttavia dimenticare che, per poter riformare un sistema, occorrono infrastrutture adeguate e investimenti che puntino a fare della sicurezza digitale la principale priorità per le aziende che intendano operare in un mercato digitale.

Altrimenti, le riforme saranno destinate a rimanere lettera morta.

 

Dott. Ercole Dalmanzio

Tags: , , , , ,


About the Author



Back to Top ↑