Cyber security: novità e obblighi della direttiva Nis

L’Italia, recentemente, ha adottato la “Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio del 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione” più comunemente nota come NIS (Network and Information Security), che rappresenta il primo insieme di regole sulla sicurezza informatica univoco a livello Europeo.

L’obiettivo della Direttiva è raggiungere un livello elevato di sicurezza dei sistemi, delle reti e delle informazioni comune a tutti i Paesi membri dell’UE.

I tre punti chiave della Direttiva NIS sono:

  • Migliorare le capacità di cyber security dei singoli Stati dell’Unione;
  • Aumentare il livello di cooperazione tra gli Stati dell’Unione;
  • Introdurre l’obbligo di gestione dei rischi e di contenimento degli incidenti di una certa entità da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali.

La Direttiva punta ad armonizzare la difesa cibernetica, esortando i soggetti “competenti” (i c.d. “operatori di servizi essenziali e dei fornitori di servizi digitali”) a dare attuazione agli obblighi previsti dalla nuova disciplina del cyberspazio. Relativamente al miglioramento delle capacità dei singoli Stati dell’Unione, la Direttiva NIS sottolinea alcuni aspetti utili per rispettare i criteri adottati.

Ogni Stato, infatti, dovrà dotarsi, qualora già non ne disponesse, di una strategia nazionale di cyber security che definisca gli obiettivi strategici da perseguire, le politiche adeguate per realizzarli e le misure di regolamentazione necessarie per garantirne l’efficacia nel lungo periodo. Tra gli aspetti che una strategia nazionale dovrebbe includere, rientrano inoltre: la definizione di una governance chiara, l’individuazione di misure proattive, di risposta e di recovery; la capacità di sensibilizzare, formare ed istruire; l’incentivazione della cooperazione tra settore pubblico e settore privato; la definizione e il costante aggiornamento della lista degli attori coinvolti nella sua attuazione.

Ogni Stato dovrà infine designare uno o più CSIRT (Computer Security Incident Response Team) responsabili del monitoraggio degli incidenti a livello nazionale, fornendo allarmi tempestivi, avvisi ed annunci con lo scopo di diffondere informazioni su rischi ed incidenti.

Ulteriore aspetto fondamentale della Direttiva NIS è la cooperazione tra i vari enti dei singoli Stati membri. Proprio per questo è stato creato un gruppo operativo composto dai rispettivi rappresentati degli Stati membri, dalla Commissione e dall’ENISA (European Union for Network and Information Security Agency). Le attività del gruppo di cooperazione sono suddivise in quattro aree di competenza, nello specifico: pianificazione, guida, segnalazione e condivisione.

Gli operatori di servizi essenziali sono aziende pubbliche o private che hanno un ruolo importante per la società e l’economia, quelli che comunemente vengono chiamate “infrastrutture critiche”. La direttiva NIS obbligherà queste infrastrutture a dotarsi di misure di sicurezza appropriate e di comunicare all’autorità nazionale competente gravi incidenti di sicurezza secondo parametri di numero di utenti coinvolti, durata dell’incidente e posizione geografica.

Il fine ultimo è quello della prevenzione dei rischi, garantendo la sicurezza dei sistemi, delle reti e delle informazioni e la capacità di gestione di eventuali incidenti.

Le Autorità competenti NIS, precisamente, corrisponderanno ai seguenti ministeri: Sviluppo economico, per i settori energia, infrastrutture digitali e per gli FSD; Infrastrutture e trasporti, per il settore trasporti; Economia e finanze, per i settori bancario e infrastrutture dei mercati finanziari, in collaborazione con Banca d’Italia e Consob; Salute e, infine, Ambiente. Per alcuni ambiti, invece, come la salute e la fornitura e distribuzione di acqua potabile, sono autorità competenti le Regioni e Province autonome di Trento e Bolzano.

Anche i fornitori di servizi digitali saranno tenuti, secondo la direttiva NIS, ad attuare misure di sicurezza appropriate e a notificare incidenti rilevanti. Dopo il decreto di recepimento, in vigore da pochi giorni (24 giugno) i prossimi passi dovranno rendere effettivamente operative le disposizioni del decreto. In particolare, a novembre 2018 ogni Stato membro dovrà identificare gli operatori di servizi essenziali.

Nel 2019 la commissione europea valuterà la coerenza di tale misura di identificazione, da parte degli Stati membri e nel 2021 esaminerà il funzionamento della direttiva con particolare attenzione alla cooperazione strategica e operativa degli Stati e l’applicazione da parte dei gestori di servizi essenziali e dei fornitori di servizi digitali.

Unico neo: nel testo del decreto di recepimento si legge il riferimento al D. Lgs. n. 196/2003 per ciò che concerne il trattamento dei dati personali – seppur vero che il GDPR non aveva, ancora, efficacia, altrettanto vero è che in vigore ormai da due anni. La direttiva NIS, quindi, rappresenta un fondamentale passo verso un mercato unico digitale, un’opportunità di crescita economica oltre che una difesa da minacce sempre più presenti nella vita quotidiana dei cittadini e delle imprese europee.