Il 6 luglio 2016 è stata approvata dal Parlamento Europeo la Direttiva UE 2016/1148, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, la c.d. “Direttiva NIS” (dall’acronimo inglese “Network and Information Security”). A maggio 2018, come disposto dall’articolo 25 della Direttiva (rubricato “Recepimento”) è previsto il passaggio più importante della sua “vita”, ovvero l’integrazione all’interno degli ordinamenti nazionali.
Tuttavia, ad oggi, nessuna legge di recepimento è stata adottata in Italia, anche perché il contesto in cui la NIS si va ad inserire, la cybersecurity, è decisamente complesso, un contesto in cui la certezza e l’omogeneità sono concetti difficili da raggiungere. Durante l’ultimo anno e mezzo gli incidenti informatici classificabili come “gravi” sono stati circa 95 al mese. Al primo posto assoluto dei soggetti che subiscono attacchi vi è il settore governativo, con il 19% della totalità degli attacchi, seguito dal settore dell’intrattenimento e delle news (dati rapporto Clusit 2017).
Come ribadito dalla Commissione UE lo scorso 4 ottobre in un documento di indirizzo per gli Stati membri sul recepimento della NIS, è importante che gli Stati membri colgano l’opportunità del recepimento della direttiva NIS per esaminare la loro strategia nazionale di cybersicurezza alla luce delle lacune, delle migliori pratiche e delle nuove sfide. Benché la direttiva si concentri comprensibilmente sulle imprese e sui servizi di particolare importanza critica, è la cybersicurezza dell’economia e della società nel complesso che deve essere affrontata da una prospettiva d’insieme e in modo coerente.
Ciononostante, alcuni importanti passi sono già stati intrapresi prima che la NIS venga recepita formalmente.
A febbraio 2017 hanno avviato le loro attività i gruppi di lavoro previsti dall’art. 9, una delle principali disposizioni della NIS che predispone la designazione (in ogni Stato membro) di un gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT). I requisiti ed i compiti di questi gruppi vengono definiti nell’Allegato I della NIS il quale fissa tra i requisiti l’ubicazione in un sito sicuro, la dotazione di un adeguato sistema di gestione delle richieste, l’operatività h24. Vengono inoltre stabiliti di quali compiti devono essere dotati questi gruppi: il monitoraggio degli incidenti nazionali, l’emissione di preallarmi annunci e divulgazione di informazioni alle parti interessate, il loro intervento in caso di incidente, l’analisi dei rischi e la relativa sensibilizzazione, oltre alla loro partecipazione diretta alla rete. A febbraio 2018 verrà stabilito il piano di lavoro definitivo dei gruppi.
Inoltre, ad agosto 2017, i fornitori di servizi digitali hanno dovuto già adottare i requisiti minimi di sicurezza e notifica degli incidenti informatici, con conseguente identificazione, lo scorso novembre, degli operatori di servizi essenziali per ogni Stato membro che verranno poi valutati dalla Commissione UE nel 2019 come fissato dall’articolo 23 della NIS.
L’ultima verifica circa il funzionamento della NIS verrà effettuata nel 2021, dove sotto la lente d’ingrandimento verrà passato l’intero sistema di cooperazione strategico-operativa degli Stati membri, nonché la verifica dell’applicazione delle nuove disposizioni da parte dei fornitori di servizi digitali e dei gestori di servizi essenziali.
Come detto, anche se nel nostro Paese per ora la NIS non è stata recepita, qualcos’altro si sta facendo su fronti diversi ma nello stesso ambito della cybersecurity.
Pochi mesi fa sono state pubblicate in Gazzetta Ufficiale le “Misure minime di sicurezza informatica” elaborate da AgID (l’Agenzia per l’Italia Digitale) che devono essere adottate dalle PA entro il 31 dicembre 2017 mentre nel mese di marzo la Presidenza del Consiglio dei Ministri ha aggiornato il “Piano nazionale per la protezione cibernetica e la sicurezza informativa”. Tale piano, che specifica gli indirizzi strategici atti a potenziare la difesa delle infrastrutture critiche e la promozione/diffusione della cultura della sicurezza informatica, era stato concepito in Italia, nella precedente versione, prima della NIS. Ora però i suoi contenuti risultano sovrapposti a quelli della NIS ed alla sua prossima legge di recepimento.
È infine opportuno segnalare che la normativa sulla protezione dei dati personali menzionata nella NIS è la Direttiva 95/46, destinata ad essere abrogata e sostituita dal Regolamento Generale sulla Protezione dei Dati, già adottato e pubblicato in GU dell’UE e che diventerà pienamente efficace tra meno di 6 mesi, il 25 maggio del 2018.
RGPD e NIS sono due discipline differenti e vanno considerate separatamente in quanto hanno diverso oggetto e diverso ambito di applicazione. Tuttavia le due norme hanno tematiche e questioni comuni, per esempio, se un incidente di sicurezza informatica implica anche una violazione di dati personali, i soggetti pubblici o privati che erogano il servizio interessato dall’incidente (e dalla contestuale violazione di dati personali) dovranno adempiere agli obblighi di notifica previsti da entrambe le norme, quindi dovranno effettuare sia la notifica per gli incidenti di cui alla NIS, sia la notifica per la violazione dei dati personali prevista dal RGPD.