il commento

Decreto Nis, ecco i prossimi passi dopo l’approvazione

L’Italia ha recepito la direttiva NIS sulla sicurezza delle reti e dei sistemi informativi. Confermati i settori di applicazione e le sanzioni. Ora occorre accelerare per rendere effettivamente operative le disposizioni del decreto e aggiornare il Piano nazionale per la protezione cibernetica e la sicurezza informatica

Pubblicato il 25 Mag 2018

Luca Tosoni

avvocato e ricercatore presso l’Università di Oslo

sicurezza_615131330

Il 16 maggio 2018, il Consiglio dei Ministri ha approvato il decreto legislativo attuativo della Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi. L’italia recepisce quindi, con leggero ritardo, la Direttiva NIS. Detta Direttiva avrebbe, infatti, dovuto essere recepita entro il 9 maggio 2018. Giova, tuttavia, sottolineare come il decreto approvato sia uno dei pochi provvedimenti a cui si è data priorità — sottoponendolo con urgenza all’esame delle Commissioni speciali di Camera e Senato — in questa fase di stallo politico. L’importanza del provvedimento sembra quindi essere stata colta.

Confermati i settori coperti dal decreto

Il testo del decreto approvato in Consiglio dei Ministri non è stato ancora pubblicato ufficialmente. Tuttavia, il testo uscito da Palazzo Chigi non presenta particolari novità rispetto allo schema di decreto sottoposto all’esame delle Commissioni parlamentari. In particolare, restano immodificati sia i settori coperti dal decreto (ossia energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali; nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico) che gli importi delle sanzioni applicabili (fissati nel massimo a 150.000 Euro).

Sanzioni invariate

Non hanno quindi trovato spazio nel testo definitivo del decreto le principali proposte fatte dalle Commissioni speciali di Camera e Senato. Le osservazioni espresse dalle Commissioni parlamentari riguardavano Infatti principalmente il tema dell’ambito di applicazione del decreto e quello delle sanzioni. In particolare, nell’esprimere il proprio parere favorevole sullo schema di decreto legislativo, la Commissione speciale della Camera aveva proposto al governo di valutare la possibilità di estendere l’ambito di applicazione del decreto comprendendovi anche tutta la pubblica amministrazione. La Commissione speciale del Senato aveva invece proposto al governo di valutare la possibilità di elevare il limite massimo delle sanzioni (nello schema, pari a 150.000 euro). Su quest’ultimo punto è bene però sottolineare come la Conferenza Unificata (Stato-Regioni-Autonomie locali) abbia invece espresso un parere diametralmente opposto, chiedendo al governo di ridimensionare gli importi delle sanzioni, in particolare in ragione del loro impatto potenzialmente negativo su quelle strutture pubbliche individuate quali operatori di servizi essenziali (ad esempio, in ambito sanitario).

No allo sforamento delle sanzioni oltre 150 mila euro

Restando sempre nell’ambito dell’ammontare massimo delle sanzioni, la presenza di richieste in senso opposto da parte dei soggetti istituzionali sentiti ha sicuramente contribuito a lasciare immutato il quadro sanzionatorio. Inoltre, lo sforamento del tetto dei 150.000 euro era impedito dai vincoli imposti dai criteri generali previsti per l’attuazione del diritto dell’Unione europea. Difatti, stante l’assenza di criteri e principi direttivi specifici nella legge di delegazione europea 2016-2017 (ossia la legge che ha delegato il governo ad attuare la Direttiva NIS), risultano applicabili i criteri direttivi generali fissati dalla Legge 24 dicembre 2012, n. 234, la quale stabilisce un massimo edittale di 150.000 Euro per le sanzioni amministrative da applicare alle violazioni di norme di derivazione europea. La previsione di sanzioni più elevate nel decreto si sarebbe quindi scontrata con i limiti della delega legislativa lato sensu. Gli importi delle sanzioni previste dal decreto sono peraltro in linea con quelli fissati da altri Stati membri che hanno attuato la Direttiva NIS. Da questo punto di vista, la scelta del governo di mantenere i massimi edittali previsti nello schema di decreto appare quindi giustificata.

Le strutture pubbliche che rientreranno nel decreto

Tutto sommato, l’assenza di modifiche sostanziali non sorprende. Infatti, anche se quella di estendere l’ambito di applicazione del decreto a tutto il settore della pubblica amministrazione sarebbe stata una buona idea, un buon numero di strutture pubbliche operanti in settori strategici coperti dal decreto, quali la sanità, i trasporti e la fornitura di acqua potabile, verranno probabilmente designate quali operatori di servizi essenziali, e quindi sottoposte alle disposizioni del decreto.

Gli ulteriori passi da fare

Il testo del decreto approvato dovrebbe essere pubblicato a breve. Tuttavia, la pubblicazione del decreto non concluderà il percorso di attuazione della Direttiva NIS in Italia. Bisognerà infatti cominciare subito a lavorare per rendere effettivamente operative le disposizioni del decreto. I punti più importanti da affrontare riguardano l’assetto istituzionale e strategico. Si dovrà infatti procedere all’adozione del decreto che regola l’organizzazione ed il funzionamento del CSIRT Italiano, il nuovo Computer Security Incident Response Team istituito presso la Presidenza del Consiglio dei Ministri che emergerà dalla fusione degli attuali CERT Nazionale (operante presso il Ministero dello Sviluppo Economico) e CERT-PA (operante presso l’Agenzia per l’Italia Digitale). Proprio questo processo di fusione potrebbe essere di non facile gestione, il che potrebbe dilatare i tempi di adozione del decreto.

Adottare una strategia nazionale di sicurezza cibernetica

Bisognerà poi aggiornare il Piano nazionale per la protezione cibernetica e la sicurezza informatica del 2017, e procedere all’adozione di una strategia nazionale di sicurezza cibernetica che rispetti tutti i requisiti dell’articolo 7 della Direttiva NIS.

Infine, bisognerà identificare, entro il 9 novembre 2018, gli operatori di servizi essenziali a cui si applicheranno gli obblighi di sicurezza e di notifica degli incidenti previsti dal decreto NIS: una scelta di fondamentale importanza per cui si attendono indicazioni specifiche da parte del Gruppo di Cooperazione (istituito dall’Articolo 11 della Direttiva NIS, e composto da rappresentati degli Stati membri, della Commissione europea e dell’ENISA).

Insomma, il lavoro da fare per rafforzare la sicurezza cibernetica italiana è solo all’inizio, e c’è da sperare che il nuovo governo continui a considerarlo una priorità.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2