La Direttiva NIS ( Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi), è stata recepita nel nostro ordinamento attraverso il decreto legislativo 18 maggio 2018, n. 65 (anche detto “decreto legislativo NIS”), in vigore dal 24 giugno 2018.
Nell’attuare la Direttiva NIS, il Governo ha optato per un approccio abbastanza soft, limitandosi per lo più ad incorporare nel decreto legislativo NIS quanto già stabilito dalla Direttiva. Tuttavia, successivamente all’adozione del decreto legislativo NIS, la normativa italiana in materia di cyber security è stata rafforzata attraverso l’istituzione del perimetro di sicurezza nazionale cibernetica ed i decreti attuativi dello stesso. Ciononostante, a breve potrebbe essere necessario andare ad aggiornare le norme del decreto legislativo NIS, visto che la Commissione Europea ha presentato una proposta di revisione sostanziale della Direttiva NIS (chiamata NIS 2).
Direttiva Nis quali sono i settori di riferimento
Nonostante la Direttiva NIS consentisse agli Stati membri di estendere l’ambito di applicazione delle proprie disposizioni anche a settori diversi da quelli elencanti nella Direttiva, il governo ha scelto di non avvalersi di questa possibilità. I settori che rientrano nell’ambito di applicazione del decreto legislativo NIS sono infatti solo quelli espressamente previsti dalla Direttiva (ossia energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali; nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico).
Tuttavia, i settori inclusi nel perimetro di sicurezza nazionale cibernetica sono in parte diversi e più estesi (settore governativo; interno; difesa; spazio e aerospazio; energia; telecomunicazioni; economia e finanza; trasporti; servizi digitali; enti previdenziali/lavoro; tecnologie critiche, tra cui l’intelligenza artificiale, la robotica, i semiconduttori, la sicurezza informatica, nonché le nanotecnologie e le biotecnologie).
Strategia nazionale di sicurezza cibernetica
In ossequio a quanto richiesto dall’Articolo 7 della Direttiva, il decreto di recepimento prevede l’adozione di una strategia nazionale di sicurezza cibernetica da parte del Presidente del Consiglio dei Ministri. Sia la Direttiva NIS che il decreto di attuazione impongono che tale strategia fissi in particolare le misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, la definizione di un piano di valutazione dei rischi informatici e programmi di formazione e sensibilizzazione in materia di sicurezza informatica, nonché un piano di valutazione dei rischi e di ricerca e sviluppo in materia di cybersecurity.
Gran parte di questi elementi sono affrontati, per grandi linee, nella strategia nazionale di sicurezza cibernetica, approvata prima del decreto legislativo NIS ma ancora in vigore, delineata nel Quadro strategico nazionale per la sicurezza dello spazio cibernetico del 2013 e ulteriormente sviluppata dal Piano nazionale per la protezione cibernetica e la sicurezza informatica del 2017 (e in parte dall’istituzione del perimetro di sicurezza nazionale cibernetica nel 2020). Sarebbe però necessario aggiornare tale strategia per far sì che tutti gli elementi di cui all’Articolo 7 della Direttiva vengano affronti in maniera chiara, specifica e dettagliata, in conformità con i dettami comunitari, anche considerando che il contesto e le minacce cibernetiche sono notevolmente cambiati rispetto al 2017.
Autorità nazionali competenti Direttiva Nis
Per quanto riguarda la designazione delle autorità competenti all’attuazione della normativa NIS e alla vigilanza sul rispetto della stessa, il modello istituzionale scelto dal governo è di tipo temperatamente decentrato. Difatti, sono designate quali “autorità competenti NIS” ben cinque ministeri (sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente), ciascuno responsabile per uno o più settori rientrati nelle proprie aree di competenza, nonché, per taluni limitati ambiti, le regioni e le province autonome. Si tratta di un modello a metà tra quello fortemente centralista francese, con un’unica autorità competente, e quello decentrato dei paesi nordici come la Svezia dove i compiti normativi e di vigilanza in materia di cybersecurity sono attribuiti ad una serie di agenzie pubbliche competenti per settori specifici.
Il DIS
Il Dipartimento delle informazioni per la sicurezza (DIS) è invece designato quale punto di contatto unico ai sensi dell’Articolo 8(3) della Direttiva. Al DIS spetta quindi di svolgere funzioni di collegamento verso l’Unione europea e di coordinamento con le autorità competenti in materia di cybersecurity negli altri Stati membri.
CSIRT italiano
Il decreto legislativo sulla Direttiva Nis ha previsto, inoltre, l’istituzione presso la Presidenza del Consiglio dei Ministri di un unico Computer Security Incident Response Team, detto CSIRT italiano, chiamato a svolgere compiti e funzioni che in precedenza erano in capo al CERT Nazionale (operante presso il Ministero dello Sviluppo Economico) e al CERT-PA (operante presso l’Agenzia per l’Italia Digitale). Si tratta principalmente di compiti di natura tecnica legati alla prevenzione e risposta ad incidenti informatici, svolti in cooperazione con gli altri CSIRT europei
L’organizzazione ed il funzionamento del CSIRT italiano sono stati disciplinati nel dettaglio nel DPCM dell’8 agosto 2019. Lo CSIRT italiano ha cominciato ad operare il 6 maggio 2020 e contestualmente il CERT Nazionale ed il CERT-PA hanno cessato di esistere come soggetti autonomi.
Direttiva Nis operatori di servizi essenziali
Per quanto riguarda l’identificazione degli operatori di servizi essenziali, il decreto di recepimento ripropone i criteri di cui all’Articolo 5(2) della Direttiva: i) fornitura di un servizio essenziale per il mantenimento di attività sociali e/o economiche fondamentali; ii) dipendenza di tale servizio dalla rete e dai sistemi informativi; e iii) effetti negativi rilevanti sulla fornitura di tale servizio in caso di incidente informatico, rilevanza da valutarsi secondo i criteri specificati all’Articolo 6 della Direttiva (e riproposti all’Articolo 5 del decreto).
Questi sono i criteri che le autorità competenti NIS hanno seguito per identificare gli operatori di servizi essenziali per ciascun settore coperto dalla Direttiva. Nel complesso (e fino ad ora), sono 465 le società e gli enti identificati quali operatori di servizi essenziali e quindi tenuti a rispettare la normativa NIS. Tuttavia, la lista completa non è stata resa pubblica per motivi di sicurezza nazionale.
Obblighi in materia di sicurezza
Il decreto attuativo ripropone i generici obblighi di sicurezza previsti dalla Direttiva NIS all’Articolo 14. In sostanza, gli operatori di servizi essenziali sono tenuti ad adottare misure tecnico-organizzative “adeguate” alla gestione dei rischi e alla prevenzione degli incidenti informatici. Il decreto specifica però che nell’adottare tali misure gli operatori sono tenuti a tenere in debita considerazione le linee guida predisposte dal Gruppo di Cooperazione, nonché le linee guida predisposte dalle autorità competenti NIS. Tali linee guida acquisiscono quindi un’importanza fondamentale ai fini di dimostrare l’adeguatezza delle misure adottate. A tale proposito, le linee guida sulla gestione dei rischi e la prevenzione, mitigazione e notifica degli incidenti adottate dalle autorità NIS nel mese di luglio 2019 assumono un ruolo di primaria importanza. Queste ultime sono state però condivise solo con i 465 operatori di servizi essenziali individuati.
Analoghi obblighi in materia di sicurezza sono previsti a carico dei fornitori di servizi digitali, i quali sono tenuti ad adottare misure tecniche-organizzative per la gestione dei rischi e per la riduzione dell’impatto di eventuali incidenti informatici. Gli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi informatici sono meglio specificati nel Regolamento di esecuzione (UE) 2018/151 della Commissione del 30 gennaio 2018.
Notifica degli incidenti informatici secondo la Direttiva Nis
Per quanto concerne gli obblighi di notifica, il decreto di recepimento specifica che gli operatori di servizi essenziali dovranno inoltrare al CSIRT italiano (e per conoscenza all’autorità competente NIS del proprio settore) le notifiche di incidenti informatici con impatto rilevante sui servizi forniti. Un obbligo analogo è previso anche a carico dei fornitori di servizi digitali di cui all’Allegato III della Direttiva (motori di ricerca, servizi cloud e piattaforme di commercio elettronico).
Il decreto non fissa un limite temporale rigido per le notifiche, ma impone che le stesse vengano effettuate “senza ingiustificato ritardo”. Tuttavia, le linee guida predisposte dalle autorità NIS nel 2019 definiscono in maniera più specifica la procedura da seguire per effettuare una notifica.
È bene inoltre ricordare che, per quanto riguarda gli incidenti che i fornitori di servizi digitali sono tenuti a notificare, il Regolamento di esecuzione (UE) 2018/151 della Commissione del 30 gennaio 2018 specifica in maniera dettagliata quali siano i parametri da prendere in considerazione al fine di determinare se l’impatto di un incidente è rilevante, e quindi atto a far scattare l’obbligo di notifica.
Trattamento dei dati personali e Direttiva Nis
Il decreto attuativo precisa che il trattamento dei dati personali effettuato in applicazione del decreto debba avvenire nel rispetto del D. Lgs. 196/2003 (Codice della Privacy). Tale riferimento è diventato (almeno in parte) obsoleto con l’entrata in vigore definitiva del Regolamento Generale sulla Protezione dei Dati (GDPR) il 25 maggio 2018; è a quest’ultimo quindi che si dovrà fare riferimento in via principale. Ora, infatti, il GDPR costituisce il principale quadro normativo per quanto riguarda il trattamento dei dati personali e ha sostituito, in larga parte, il previgente Codice della Privacy.
Direttiva Nis: le sanzioni
La Direttiva NIS lascia agli Stati membri un margine di discrezionalità riguardo al tipo e alla natura delle sanzioni applicabili, a condizione che siano effettive, proporzionate e dissuasive. Nell’esercitare tale discrezionalità, il governo ha ritenuto di stabilire che le autorità competenti potranno applicare sanzioni amministrative fino a 150.000 Euro in caso di violazione da parte degli operatori di servizi essenziali (e dei fornitori di servizi digitali) degli obblighi previsti dal decreto legislativo NIS.
NIS 2: cosa potrebbe cambiare
La proposta di revisione della Direttiva NIS consiste in realtà nella sostituzione dell’attuale Direttiva con una nuova (detta Direttiva NIS 2). Quest’ultima presenta molti punti in comune con la prima, ma anche parecchie novità importanti.
Tra le maggiori novità introdotte dalla proposta della Commissione è particolarmente rilevante l’estensione di specifici obblighi in materia di cyber security anche a soggetti operanti in settori ad oggi non coperti dalla Direttiva NIS, quali il settore della gestione dei rifiuti, aerospaziale, della produzione e distribuzione di alimenti, della produzione e distribuzione di prodotti chimici, dei servizi postali, della produzione di dispositivi medici ed apparecchiature elettroniche e della pubblica amministrazione in generale.
Alcuni di questi settori rientrano già tra i settori inclusi nel perimetro di sicurezza nazionale cibernetica, ma non tra quelli indicati nel decreto legislativo NIS. È quindi probabile che la lista di operatori soggetti alla normativa NIS venga estesa ben oltre i 465 operatori ad oggi individuati.
Si segnala inoltre che non saranno più i singoli Stati Membri a dover identificare gli “operatori di servizi essenziali” soggetti agli obblighi della Direttiva, ma è la Direttiva stessa a definire il proprio ambito di applicazione. Ciò è dovuto al fatto che, nella pratica, gli attuali criteri per l’identificazione degli “operatori di servizi essenziali” sono risultati poco chiari e sono stati applicati in maniera diversa nei diversi Stati Membri.
L’identificazione degli “operatori di servizi essenziali” effettuata dai Ministeri competenti verrà quindi superata, anche se di fatto è probabile che tutti gli enti identificati come “operatori di servizi essenziali” continueranno ad essere soggetti agli obblighi della nuova Direttiva.
Rispetto all’attuale Direttiva NIS, resta l’obbligo di adottare misure tecnico-organizzative “adeguate” alla gestione dei rischi e alla prevenzione degli incidenti informatici, ma viene aggiunta una lista di misure specifiche che devono essere necessariamente adottate dagli operatori interessati, quali ad esempio l’utilizzo della crittografia e di controlli sulla sicurezza informatica dei propri fornitori.
Resta anche l’obbligo di notifica degli incidenti informatici con impatto rilevante sui servizi forniti già previsto dall’attuale Direttiva NIS, ma viene regolamentato con maggiori dettagli. Le procedure di notifica oggi previste dalle linee guida predisposte dalle autorità NIS dovranno quindi essere in parte aggiornate.
Le sanzioni per le violazioni degli obblighi imposti dalla Direttiva NIS 2 verranno fissate dai singoli Stati Membri. Tuttavia, la Direttiva stabilisce che tali sanzioni dovranno essere pari ad un massimo di almeno 10 milioni di euro o fino al 2% del fatturato totale annuo mondiale dell’impresa interessata. Si tratta quindi di un incremento importante rispetto alle sanzioni attualmente applicabili in Italia, pari ad un massimo di 150.000 euro.
L’iter di approvazione NIS 2
Ovviamente il testo della proposta della Commissione potrebbe subire alcuni cambiamenti nel corso dell’iter legislativo che durerà svariati anni. Tuttavia, considerato che la prima direttiva NIS è stata approvata in tempi relativamente brevi (circa tre anni), è possibile che la Direttiva NIS 2 non richieda tempi di approvazione eccessivamente lunghi. Al tempo necessario per adottare la Direttiva va però aggiunto anche il tempo necessario a trasporre la nuova Direttiva a livello nazionale. È quindi probabile che le nuove norme NIS diventeranno pienamente applicabili solo tra quattro o cinque anni.
