D. Lgs. sulla sicurezza delle reti e dei sistemi informativi nell'Unione.

Il Consiglio dei Ministri si è riunito a Palazzo Chigi il giorno 08 Febbraio 2018. Tra i decreti legislativi in esame – che abbiamo avuto modo di visionare - anche il decreto per l'attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione.

 

In riferimento al decreto legislativo, quest’ultimo recepisce la direttiva (UE) 2016/1148 (cd. Direttiva NIS – Network and Information Security) ed introduce misure specifiche al fine di conseguire un elevato livello di sicurezza della rete e dei sistemi informativi in ambito nazionale, con l’obiettivo di garantire ed incrementare il livello di sicurezza all’interno dell’Unione europea.

La sicurezza della rete e dei sistemi informativi è intesa come capacità di resistenza – a un determinato livello di riservatezza – a ogni azione che comprometta la disponibilità, autenticità, integrità e riservatezza dei dati conservati o trasmessi o trattati e dei relativi servizi offerti o accessibili tramite tale rete o sistemi informativi.

Il decreto, nello specifico, mira a promuovere una cultura di gestione del rischio e di segnalazione degli incidenti tra i principali attori economici, nonché includere nella strategia nazionale di sicurezza cibernetica, previsioni in materia di sicurezza delle reti e dei sistemi informativi.

A tale scopo, si prevede l’adozione di misure tecnico-organizzative per ridurre il rischio e limitare l’impatto di incidenti informatici. Sono designate autorità nazioni competenti per settore, un punto di contatto unico come organo incaricato di coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi e la cooperazione transfrontaliera a livello di Unione, e il Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT).

Sulla base della definizione di una strategia nazionale per la sicurezza delle reti e dei sistemi informativi, gli operatori di servizi essenziali e i fornitori di servizi digitali, dovranno rispettare specifici obblighi in relazione all’adozione di misure di sicurezza e di notifica degli incidenti con impatto rilevante.

Nell’ambito dell’Unione europea, si prevede la partecipazione nazionale al gruppo di cooperazione europeo, al fine di favorire la collaborazione e lo scambio di informazioni tra gli Stati membri e l’incremento della fiducia tra di essi.

Inoltre, la normativa in esame prevede – oltre all’istituzione presso il Ministero dello sviluppo economico di un elenco nazionale degli operatori di servizi essenziali – specifici criteri per l’identificazione degli operatori stessi. Per servizi essenziali si intendono quelli essenziali al mantenimento di attività sociali e/o economiche fondamentali e la cui fornitura dipende proprio dalla rete e dai sistemi informativi. Ne consegue, pertanto, che un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio.

Le autorità nazionali competenti – identificate nei Ministeri divisi per settore –  avranno il compito di valutare la rilevanza degli effetti negativi, esaminando il numero di utenti che dipendono dal servizio fornito dal soggetto interessato, la dipendenza di altri settori da tale servizio e l’impatto che gli incidenti potrebbero avere sulle attività economiche e sociali o sulla pubblica sicurezza. Tali compiti saranno svolti consultando l’autorità di contrasto ed il Garante per la protezione dei dati personali.

Infine, il Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT), avrà il compito di definire le procedure per la prevenzione e la gestione degli incidenti informatici, garantendo la collaborazione effettiva, efficiente e sicura, nella rete di CSIRT, disponendo di un’infrastruttura di informazione e comunicazione appropriata, sicura e resiliente a livello nazionale.

A cura del Dott. Rocco Orefice