In Italia, l’iter di trasposizione della Direttiva NIS (Network and Information Security) è appena iniziato, mentre in altri paesi il percorso è già in fase avanzata. La Commissione europea si è avvalsa dell’esperienza maturata in questi paesi per formulare i propri orientamenti sull’attuazione della Direttiva. Questi ultimi offrono spunti utili all’elaborazione della normativa nazionale e potrebbero anticiparne alcuni aspetti.
LEGGI L’AGGIORNAMENTO SUL RECEPIMENTO DIRETTIVA NIS (FEBBRAIO 2018)
Il Parlamento italiano ha da poco dato il via libera all’attuazione della Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi, meglio nota come Direttiva NIS. Il tempo a disposizione per recepire la Direttiva non è molto, dato che gli Stati membri sono obbligati a completare l’iter di recepimento entro il 9 maggio 2018. L’Italia tuttavia potrebbe trarre vantaggio dal proprio “ritardo” potendo procedere all’attuazione della Direttiva avendo già a disposizione alcuni esempi concreti di recepimento della Direttiva, nonché le indicazioni della Commissione europea su come attuarla in maniera efficace.
Tra gli Stati membri che hanno già recepito la Direttiva NIS ci sono la Germania e la Repubblica Ceca. Anche nel Regno Unito l’iter di recepimento è in fase avanzata, nonostante la Brexit. Prendendo spunto dall’esperienza di questi e di altri paesi, la Commissione europea ha recentemente predisposto una Comunicazione su come “Sfruttare al meglio le reti e i sistemi informativi – verso l’efficace attuazione della direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”. La Comunicazione intende essere uno strumento utile agli Stati membri per l’elaborazione della propria normativa nazionale di recepimento. Sia la Comunicazione che le esperienze degli Stati membri che hanno già attuato la Direttiva offrono alcuni spunti interessanti per l’elaborazione della normativa italiana e potrebbero anticiparne alcuni aspetti.
Identificazione degli operatori di servizi essenziali: l’articolo 5 della Direttiva NIS impone agli Stati membri di identificare entro il 9 novembre 2018 gli operatori di servizi essenziali soggetti alla normativa di attuazione della Direttiva. La Direttiva NIS non indica esplicitamente quali soggetti specifici siano da considerarsi operatori di servizi essenziali. Stabilisce invece i criteri che gli Stati membri sono tenuti ad applicare per identificare tali soggetti tra quelli operanti nei settori dell’energia, dei trasporti, bancario, dei mercati finanziari, sanitario, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. Tuttavia, la Direttiva si fonda sul criterio dell’armonizzazione minima. Ciò significa che gli Stati membri possono decidere di estendere l’ambito di applicazione dei requisiti della Direttiva ad altri settori. In particolare, la Comunicazione della Commissione sottolinea come gli Stati membri possano prendere in considerazione un’estensione dell’ambito di applicazione della Direttiva NIS alle amministrazioni pubbliche; un approccio che in Italia risulterebbe coerente con la recente Circolare AgID n. 1/2017, recante “Misure minime di sicurezza ICT per le pubbliche amministrazioni”. Vari Stati membri stanno anche vagliando l’ipotesi di estendere l’ambito di applicazione della Direttiva ai s8ettori postale, alimentare, dell’industria chimica e nucleare, ambientale e della protezione civile. Resta quindi da vedere se l’Italia intenda concentrarsi solo sui settori espressamente elencanti nella Direttiva, oppure estenderne l’ambito di applicazione ad altri settori.
Obblighi di sicurezza e di notifica degli incidenti: a norma dell’articolo 14 della Direttiva NIS, gli Stati membri devono provvedere a che gli operatori di servizi essenziali adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi che usano nelle loro operazioni, nonché misure adeguate per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura di servizi essenziali. La Direttiva non specifica quali siano le misure di sicurezza da adottare. Tuttavia, il Gruppo di Cooperazione istituito dalla Direttiva NIS sta procedendo alla stesura di orientamenti non vincolanti sulle misure di sicurezza per gli operatori di servizi essenziali. Tali orientamenti dovrebbe essere resi disponibili entro la fine del 2017. A tale proposito, la Comunicazione della Commissione esorta gli Stati membri ad “attenersi rigorosamente” a tali orientamenti, in modo da allineare il più possibile le disposizioni nazionali sugli obblighi di sicurezza.
Per quanto concerne gli obblighi di notifica, gli Stati membri sono tenuti a provvedere a che gli operatori di servizi essenziali notifichino “gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali prestati”. Il Gruppo di Cooperazione sta elaborando orientamenti non vincolanti anche sugli obblighi e le procedure di notifica. La Commissione ha sottolineato che l’esistenza di obblighi nazionali di notifica divergenti potrebbe comportare oneri eccessivi per quei soggetti che operano a livello transfrontaliero, ed ha esortato gli Stati membri a seguire gli orientamenti del Gruppo di Cooperazione. È quindi presumibile che il legislatore Italiano attenderà di prendere visione degli orientamenti del Gruppo di Cooperazione prima di procedere ad elaborare in via autonoma obblighi di sicurezza e di notifica specifici.
Regime sanzionatorio: la Direttiva NIS lascia agli Stati membri un margine di discrezionalità riguardo al tipo e alla natura delle sanzioni applicabili, a condizione che siano effettive, proporzionate e dissuasive. Nell’esercitare tale discrezionalità, il legislatore tedesco ha ritenuto di imporre sanzioni fino a 100.000 euro per le violazioni degli obblighi imposti dalla Direttiva. In Repubblica Ceca le sanzioni salgono fino a circa 200.000 euro (5 milioni di corone ceche). Nel Regno Unito, invece, la proposta è quella di applicare sanzioni analoghe a quelle previste dal Regolamento Generale sulla Protezione dei Dati (GDPR) (Regolamento 2016/679), ovvero sanzioni fino a 20 milioni di euro o fino al 4 % del fatturato totale annuo, se superiore.
La posizione italiana sul regime sanzionatorio non è ancora chiara, ma non è escluso che possa seguire un approccio simile ad uno di quelli appena elencati.
Queste sono solo alcune delle questioni che l’Italia dovrà affrontare durante il recepimento della Direttiva NIS, ma sono tra quelle che con tutta probabilità occuperanno un ruolo centrale nel dibattito politico-istituzionale.
