L’Italia sta completando l’iter di ratifica della Direttiva NIS, e le misure contenute nel decreto legislativo che ne regola l’attuazione, approvato preliminarmente verso fine febbraio, completano anche il quadro dell’architettura nazionale per la sicurezza cibernetica (cybersecurity), che era già stata ridisegnata nel marzo dello scorso anno dal cosiddetto “decreto Gentiloni” proprio in vista dell’arrivo della NIS.
Il decreto di recepimento della NIS segue abbastanza fedelmente l’impianto della Direttiva, ma talune scelte attuate dal Governo, laddove la norma lasciava spazio di manovra ai legislatori nazionali, soprattutto nella scelta dei vari nuovi organismi chiamati a cooperare sul fronte del contrasto alla minaccia e alla gestione degli incidenti, sono comunque piuttosto significative sull’indirizzo strategico che il Paese sta perseguendo. Vediamo quindi quali sono questi organismi e che responsabilità sono chiamati ad assolvere.
Le scelte strategiche nell’attuazione della NIS
In primo luogo è assai rilevante il fatto che quale Punto unico di contatto, ossia la nuova struttura esplicitamente prevista dalla Direttiva per “garantire la cooperazione transfrontaliera delle autorità competenti NIS con le autorità competenti degli altri Stati membri, nonché con il gruppo di cooperazione e la rete di CSIRT”, il Governo abbia voluto designare nientemeno che il Dipartimento delle informazioni per la sicurezza (DIS), il quale era già la struttura detentrice della governance in ambito di protezione cibernetica nazionale.
Questa designazione non solo accentra ulteriormente al DIS le responsabilità sulla cybersecurity del Paese, ma pone anche il Dipartimento al centro della rete internazionale di cooperazione: un compito sinora del tutto inedito per una struttura che appartiene pur sempre al comparto intelligence. Tale scelta sembra quindi confermare l’ipotesi che il modello cui l’Italia si sta ispirando per costruire la propria sicurezza cibernetica sia quello inglese, dove tutte le competenze e le responsabilità per la cybersecurity nazionale, sia nel pubblico che nel privato, sono da sempre assegnate a strutture ed organismi (quali il GCHQ) operanti nell’ambito del comparto intelligence.
Per quanto riguarda la designazione della o delle Autorità NIS, ossia quelle strutture previste per essere direttamente responsabili dell’applicazione della Direttiva nei vari specifici settori d’interesse, la scelta fatta nel decreto di recepimento è stata quella di non creare un’Autorità ex novo né di incaricare una sola struttura, ma di assegnare le relative responsabilità a diversi organismi preesistenti. Nella fattispecie sono state designate come Autorità: il Ministero dello sviluppo econonico, per il settore energia e per il settore infrastrutture digitali; il Ministero delle infrastrutture e trasporti, per il settore trasporti; il Ministero dell’economia e finanze, per il settore bancario ed i mercati finanziari; il Ministero della salute, per gli ambiti sanitari; il Ministero dell’ambiente, per il settore fornitura e distribuzione dell’acqua potabile.
Un’altra decisione cruciale era quella che riguardava la designazione del o dei CSIRT cui affidare il compito di prevenzione e risposta agli incidenti e di cooperazione con la rete internazionale di organismi omologhi. Già il decreto Gentiloni del febbraio 2017, ed il successivo Piano operativo nazionale, avevano indicato come obiettivo strategico per il Paese la progressiva fusione fra i due attuali CERT governativi, ossia il CERT Nazionale istituito presso il Ministero dello sviluppo economico ed il CERT della Pubblica Amministrazione istituito presso l’Agenzia per l’italia digitale, proprio allo scopo di precostituire un unico CERT italiano in vista dell’attuazione della NIS.
Ci si attendeva quindi che il decreto di recepimento portasse con sé indicazioni puntuali sulle modalità sia operative che amministrative di attuazione di tale fusione, ma così non è stato, o almeno non completamente: il Governo ha infatti indicato solo che il nuovo CSIRT italiano sarà istituito presso la Presidenza del Consiglio dei Ministri ed assorbirà compiti, funzioni e probabilmente anche organici dei due CERT governativi preesistenti; rimandando tuttavia ad un futuro DPCM, il quale a questo punto è evidentemente lasciato in eredità al prossimo Governo, il compito di disciplinare organizzazione e funzionamento del nuovo organismo.
Per facilitare infine i rapporti tra i molteplici organismi ruotanti attorno all’attuazione della NIS (le Autorità competenti, il punto di contatto unico ed il CSIRT italiano) viene istituito presso la Presidenza del Consiglio dei ministri un nuovo Comitato tecnico di raccordo, composto da rappresentanti di amministrazioni statali e regioni; anche per questo Comitato, tuttavia, la norma si limita a rimandare ad un DPCM di prossima emanazione il compito di definire organizzazione e funzioni.
Impegni e scadenze relativi all’adozione della Direttiva NIS
- entro il 9 maggio: il Parlamento deve completare l’iter di recepimento della Direttiva
- entro il 9 novembre: le Autorità competenti NIS (cinque Ministeri) devono identificare gli operatori di servizi essenziali
- (senza scadenza): il presidente del Consiglio dei Ministri emana un decreto con cui si disciplinano l’organizzazione ed il funzionamento del CSIRT italiano di cui all’art. 8 comma 1
- (senza scadenza): il presidente del Consiglio dei Ministri, su proposta dei Ministri per la semplificazione e lappubblica amministrazione e dello sviluppo economico, emana un decreto con cui si definisce l’organizzazione del Comitato tecnico di raccordo di cui all’art. 9 comma 1
- (senza scadenza): il Governo in accordo con le Regioni e le Province autonome di Trento e Bolzano definisce i criteri uniformi in ambito nazionale per lo svolgimento delle attività di ispezione e verifica di cui all’art. 19 comma 1
