Lo scorso anno, poco prima della data di definitiva efficacia del GDPR, in Italia è stata recepita (con il D. Lgs. 65/18) la Direttiva Europea 1148/2016, detta Direttiva NIS. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della Cibersecurity, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, la notifica degli incidenti subiti. Il provvedimento con cui la Direttiva è stata recepita è forse già da rivedere in quanto, già nelle sue premesse, fa numerosi riferimenti alla normativa in materia di Privacy che, pochi giorni dopo, venne travolta dal GDPR, ma la sua importanza va oltre la formulazione.

• Chi sono i soggetti responsabili della cybersecurity?
  

Il Decreto individua i soggetti che, a livello nazionale, sono tenuti a dare attuazione alla cybersecurity e trova anzitutto applicazione per gli OSE (Operatori di servizi Essenziali) e ai FSD (Fornitori Servizi Digitali). Gli OSE, in particolare, sono le organizzazioni, pubbliche o private, che forniscono servizi essenziali per la società (banche, energia, trasporti, infrastrutture dei mercati finanziari, sanità), mentre gli FSD sono le persone giuridiche che forniscono servizi di e-commerce, cloud, computing e motori di ricerca. Questi soggetti dovranno adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi, prevenire e minimizzare l’impatto di eventuali incidenti di sicurezza di reti e sistemi, oltre a notificare senza ingiustificato ritardo eventuali incidenti che abbiano un impatto rilevante su continuità e fornitura del servizio.

• L'ambito di applicazione

Nonostante la Direttiva NIS permettesse agli Stati membri di estendere l’ambito di applicazione delle proprie disposizioni anche a settori diversi da quelli elencanti nella Direttiva, il nostro Governo ha scelto di non avvalersi di questa possibilità. Sarebbe stato forse opportuno estendere l’ambito di applicazione del decreto almeno a tutta la pubblica amministrazione, vista l’imponente mole di dati (anche sensibili) che essa tratta ed il ruolo chiave che la stessa ricopre per l’economia e per la sicurezza del paese. In ogni caso, le pubbliche amministrazioni che offrono servizi nei settori sopra elencati (ad esempio, trasporti, sanità e distribuzione di acqua potabile) saranno comunque sottoposte alla normativa NIS, se identificate quali operatori di servizi essenziali.

La notifica degli incidenti dovrà essere effettuata dagli OSE e FSD al CSIRT (Computer Security Incident Response Team italiano), che andrà a sostituire, fondendoli, gli attuali CERT Nazionale (operante presso il Ministero dello Sviluppo Economico) e CERT-PA (operante presso l’Agenzia per l’Italia Digitale). I soggetti giuridici non identificati come OSE e che non sono FSD possono inoltrare su base volontaria al CSIRT notifiche degli incidenti che abbiano un impatto rilevante sulla continuità dei servizi da loro erogati. 

• Perchè la Direttiva NIS?

L'’intento della Direttiva NIS è quello di favorire la più ampia diffusione di una cultura nel campo della cybersecurity e di un conseguente accrescimento dei relativi livelli di sicurezza, anche attraverso un maggiore scambio di informazioni. In realtà, i virtuosismi in tale campo sono già realtà (si pensi al Clusit o altre associazioni attive in tal senso). Del resto, è solo facendo rete che i professionisti del settore accrescono il livello di competenze e possono pianificare azioni preventive o definire sinergie per contrastare le minacce più complesse. La vera sfida è tuttavia valicare i confini aziendali e convincere i professionisti che operano all’interno delle aziende e gli organi attuatori, che “autodenunciarsi” non deve essere un rischio ma un’opportunità di difesa. 

La Direttiva NIS e il Decreto di recepimento, ovviamente, trovano applicazione in realtà di non certo piccole dimensioni e con criticità evidenti nella gestione dei dati e lo svolgimento delle loro attività. Tuttavia considerando la direzione presa verso la sicurezza informatica e la protezione dati, oltre che nella lotta alla criminalità informatica, gli stessi principi ben potrebbero trovare applicazione a altri contesti che, inizialmente su base volontaria, ben potrebbero adattarsi e incrementare il loro livello di sicurezza.