attuazione

Direttiva NIS, Italia in ritardo: ecco cosa resta da fare

Il Parlamento italiano ha da poco dato l’ok all’attuazione della Direttiva NIS su sicurezza di reti e sistemi informativi. L’iter è appena iniziato mentre in altri Paesi è già in fase avanzata. Dall’identificazione degli operatori di servizi agli obblighi di sicurezza e sanzioni, questi i nodi da sciogliere

Pubblicato il 21 Nov 2017

Luca Tosoni

avvocato e ricercatore presso l’Università di Oslo

sicurezza_253048330

In Italia, l’iter di trasposizione della Direttiva NIS (Network and Information Security) è appena iniziato, mentre in altri paesi il percorso è già in fase avanzata. La Commissione europea si è avvalsa dell’esperienza maturata in questi paesi per formulare i propri orientamenti sull’attuazione della Direttiva. Questi ultimi offrono spunti utili all’elaborazione della normativa nazionale e potrebbero anticiparne alcuni aspetti.

LEGGI L’AGGIORNAMENTO SUL RECEPIMENTO DIRETTIVA NIS (FEBBRAIO 2018)

Il Parlamento italiano ha da poco dato il via libera all’attuazione della Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi, meglio nota come Direttiva NIS. Il tempo a disposizione per recepire la Direttiva non è molto, dato che gli Stati membri sono obbligati a completare l’iter di recepimento entro il 9 maggio 2018. L’Italia tuttavia potrebbe trarre vantaggio dal proprio “ritardo” potendo procedere all’attuazione della Direttiva avendo già a disposizione alcuni esempi concreti di recepimento della Direttiva, nonché le indicazioni della Commissione europea su come attuarla in maniera efficace.

Tra gli Stati membri che hanno già recepito la Direttiva NIS ci sono la Germania e la Repubblica Ceca.  Anche nel Regno Unito l’iter di recepimento è in fase avanzata, nonostante la Brexit. Prendendo spunto dall’esperienza di questi e di altri paesi, la Commissione europea ha recentemente predisposto una  Comunicazione su come “Sfruttare al meglio le reti e i sistemi informativi – verso l’efficace attuazione della direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”. La Comunicazione intende essere uno strumento utile agli Stati membri per l’elaborazione della propria normativa nazionale di recepimento. Sia la Comunicazione che le esperienze degli Stati membri che hanno già attuato la Direttiva offrono alcuni spunti interessanti per l’elaborazione della normativa italiana e potrebbero anticiparne alcuni aspetti.

Identificazione degli operatori di servizi essenziali: l’articolo 5 della Direttiva NIS impone agli Stati membri di identificare entro il 9 novembre 2018 gli operatori di servizi essenziali soggetti alla normativa di attuazione della Direttiva. La Direttiva NIS non indica esplicitamente quali soggetti specifici siano da considerarsi operatori di servizi essenziali. Stabilisce invece i criteri che gli Stati membri sono tenuti ad applicare per identificare tali soggetti tra quelli operanti nei settori dell’energia, dei trasporti, bancario, dei mercati finanziari, sanitario, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. Tuttavia, la Direttiva si fonda sul criterio dell’armonizzazione minima. Ciò significa che gli Stati membri possono decidere di estendere l’ambito di applicazione dei requisiti della Direttiva ad altri settori.  In particolare, la Comunicazione della Commissione sottolinea come gli Stati membri possano prendere in considerazione un’estensione dell’ambito di applicazione della Direttiva NIS alle amministrazioni pubbliche; un approccio che in Italia risulterebbe coerente con la recente Circolare AgID n. 1/2017, recante “Misure minime di sicurezza ICT per le pubbliche amministrazioni”. Vari Stati membri stanno anche vagliando l’ipotesi di estendere l’ambito di applicazione della Direttiva ai s8ettori postale, alimentare, dell’industria chimica e nucleare, ambientale e della protezione civile. Resta quindi da vedere se l’Italia intenda concentrarsi solo sui settori espressamente elencanti nella Direttiva, oppure estenderne l’ambito di applicazione ad altri settori.

Obblighi di sicurezza e di notifica degli incidenti: a norma dell’articolo 14 della Direttiva NIS, gli Stati membri devono provvedere a che gli operatori di servizi essenziali adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi che usano nelle loro operazioni, nonché misure adeguate per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura di servizi essenziali. La Direttiva non specifica quali siano le misure di sicurezza da adottare. Tuttavia, il Gruppo di Cooperazione istituito dalla Direttiva NIS sta procedendo alla stesura di orientamenti non vincolanti sulle misure di sicurezza per gli operatori di servizi essenziali. Tali orientamenti dovrebbe essere resi disponibili entro la fine del 2017. A tale proposito, la Comunicazione della Commissione esorta gli Stati membri ad “attenersi rigorosamente” a tali orientamenti, in modo da allineare il più possibile le disposizioni nazionali sugli obblighi di sicurezza.

Per quanto concerne gli obblighi di notifica, gli Stati membri sono tenuti a provvedere a che gli operatori di servizi essenziali notifichino “gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali prestati”. Il Gruppo di Cooperazione sta elaborando orientamenti non vincolanti anche sugli obblighi e le procedure di notifica. La Commissione ha sottolineato che l’esistenza di obblighi nazionali di notifica divergenti potrebbe comportare oneri eccessivi per quei soggetti che operano a livello transfrontaliero, ed ha esortato gli Stati membri a seguire gli orientamenti del Gruppo di Cooperazione.  È quindi presumibile che il legislatore Italiano attenderà di prendere visione degli orientamenti del Gruppo di Cooperazione prima di procedere ad elaborare in via autonoma obblighi di sicurezza e di notifica specifici.

Regime sanzionatorio: la Direttiva NIS lascia agli Stati membri un margine di discrezionalità riguardo al tipo e alla natura delle sanzioni applicabili, a condizione che siano effettive, proporzionate e dissuasive. Nell’esercitare tale discrezionalità, il legislatore tedesco ha ritenuto di imporre sanzioni fino a 100.000 euro per le violazioni degli obblighi imposti dalla Direttiva. In Repubblica Ceca le sanzioni salgono fino a circa 200.000 euro (5 milioni di corone ceche). Nel Regno Unito, invece, la proposta è quella di applicare sanzioni analoghe a quelle previste dal Regolamento Generale sulla Protezione dei Dati (GDPR) (Regolamento 2016/679), ovvero sanzioni fino a 20 milioni di euro o fino al 4 % del fatturato totale annuo, se superiore.

La posizione italiana sul regime sanzionatorio non è ancora chiara, ma non è escluso che possa seguire un approccio simile ad uno di quelli appena elencati.

Queste sono solo alcune delle questioni che l’Italia dovrà affrontare durante il recepimento della Direttiva NIS, ma sono tra quelle che con tutta probabilità occuperanno un ruolo centrale nel dibattito politico-istituzionale.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati