Lo scorso 17 ottobre, con l’approvazione definitiva da parte della Camera dei Deputati, è divenuta legge la delega al Governo per il recepimento della “Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”, più conosciuta come “Direttiva NIS” (da “Network and Information Security”). La notizia è passata praticamente inosservata, ma non è affatto secondaria: con questa approvazione, infatti, inizia finalmente l’iter formale di recepimento della Direttiva, ad oltre un anno di distanza dalla pubblicazione di quest’ultima nella Gazzetta Ufficiale dell’Unione Europea.
Va detto che in quest’anno l’Italia non è stata del tutto con le mani in mano, dato che ha adottato alcuni provvedimenti propedeutici o preparatori all’adozione delle misure prescritte dalla Direttiva NIS quali il Decreto del Presidente del Consiglio dei Ministri 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali“ (il cosiddetto “DPCM Gentiloni”), che ha tra l’altro riorganizzato l’architettura per la protezione dello spazio cibernetico nazionale, e il nuovo “Piano nazionale per la protezione cibernetica e la sicurezza informatica” del marzo 2017 che ha aggiornato gli indirizzi e le direttive stabilite col precedente Piano del 2013 proprio in vista delle indicazioni presenti nella Direttiva NIS. Ci si attendeva tuttavia che la legge delega venisse approvata prima dell’estate, così da dare al Paese qualche mese in più per elaborare la legge di recepimento, la quale deve necessariamente comprendere un ventaglio ampio ed articolato di provvedimenti a corredo. La Direttiva, infatti, (art. 25, comma 1) dà tempo agli Stati membri fino al 9 maggio 2018 per “adottare e pubblicare le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi” alla Direttiva stessa; disposizioni che, tra l’altro, si applicheranno obbligatoriamente dal giorno successivo (10 maggio 2018).
Non è, quindi, rimasto molto tempo al nostro Paese per adempiere a questo obbligo, il quale non risulta affatto banale data la complessità ed ampiezza delle misure da adottare. La Direttiva prevede infatti che ciascuno Stato membro legiferi al fine di assicurare: l’adozione di una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi; l’istituzione di un gruppo di cooperazione al fine di sostenere e agevolare la cooperazione strategica e lo scambio di informazioni tra Stati membri e di sviluppare la fiducia tra di essi; la creazione di una rete di gruppi di intervento per la sicurezza informatica in caso di incidente («rete CSIRT») per contribuire allo sviluppo della fiducia tra Stati membri e promuovere una cooperazione operativa rapida ed efficace; l’emanazione di obblighi di sicurezza e di notifica per gli operatori di servizi essenziali e per i fornitori di servizi digitali; la designazione di autorità nazionali competenti, punti di contatto unici e CSIRT con compiti connessi alla sicurezza della rete e dei sistemi informativi.
Molti di questi punti sono effettivamente già stati assolti con le azioni propedeutiche adottate nel frattempo e viste poc’anzi, ad esempio per quanto riguarda l’adozione di una strategia cyber; ma altri vanno ancora normati da zero, e ci sono oramai solo poco più di sei mesi per farlo.
Rimandiamo a questa scheda per evidenziare i principali nodi ancora da sciogliere.
La legge delega appena approvata, che peraltro non diverrà operativa fino alla pubblicazione in Gazzetta Ufficiale, non fornisce indirizzi specifici al Governo per la trasposizione della Direttiva in Legge dello Stato. È tuttavia presumibile che all’interno di tale legge possano trovare giusta collocazione altri provvedimenti accessori i quali serviranno a dare pieno supporto giuridico ad alcune iniziative che pur essendo già in corso, in quanto indirizzate dal nuovo Piano nazionale, non possono tuttavia trovare compimento se non mediante l’emanazione di uno specifico atto legislativo di rango superiore. Tale è, ad esempio, la fusione tra il CERT Nazionale (operante all’interno del Ministero dello Sviluppo Economico) e del CERT della Pubblica Amministrazione (operante all’interno dell’Agenzia per l’Italia Digitale) per costituire il nuovo CERT Unico italiano.
