Cyber Security. Le novità della direttiva Nis

Dal 24 giugno 2018 è in vigore il decreto di recepimento

Annagiulia Caiazza, Ufficio giuridico Sede nazionale

Il 24 giugno scorso è entrato in vigore il D. lgs. n. 65 del 18 maggio 2018, che dà attuazione alla Direttiva Ue 2016/1148 c.d. Nis (Network and information security) contenente le nuove misure finalizzate a rafforzare il livello di sicurezza delle reti e dei sistemi informativi nei Paesi membri dell’Unione europea.
Il decreto di recepimento prevede l’adozione di una strategia nazionale di sicurezza cibernetica da parte del Presidente del Consiglio dei Ministri, che dovrà prevedere, in particolare, misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, la definizione di un piano di valutazione dei rischi informatici e programmi di formazione e sensibilizzazione in materia di sicurezza informatica, nonché l’individuazione delle autorità nazionali Nis, competenti a dare attuazione alle nuove regole.

La disciplina sulla cybersecurity non è però diretta ai soli soggetti pubblici, ma riguarda direttamente anche alcuni soggetti privati. Gli obblighi in materia di sicurezza e di notifica degli incidenti informatici con impatto rilevante, sono infatti espressamente estesi (art. 1, comma 2, lett. c, D. Lgs. n. 65) oltre che ai Fornitori di Servizi Digitali (cc.dd. Fsd, che operano nell’ambito di e-commerce, motori di ricerca, e cloud computing), anche agli operatori di servizi essenziali (cc.dd. Ose), vale a dire organizzazioni pubbliche o private operanti in alcuni settori particolari: sanitario, energia, trasporti, bancario, infrastrutture dei mercati finanziari, infrastrutture digitali e fornitura e distribuzione di acqua potabile.
In particolare, spetterà al Ministero della salute, d’intesa con la Conferenza Stato-Regioni, individuare entro il 9 novembre 2018, gli Ose che prestano attività di assistenza sanitaria da considerarsi vincolati ai nuovi oneri (art. 4). Lo stesso decreto, nell’allegato II, precisa poi che tra gli Ose del settore sanitario possono ritenersi ricompresi ospedali e cliniche private, in quanto soggetti prestatori di assistenza sanitaria ai sensi della normativa europea in materia di cure transfrontaliere (art. 3, comma 1, lett. h, D. lgs. n. 38 del 4 marzo 2014).
L’individuazione degli Ose da inserire nel relativo elenco nazionale, istituito presso il Mise, andrà però concretamente svolta sulla base di una pluralità di criteri, tra i quali: l’importanza del servizio fornito per il mantenimento di attività sociali e/o economiche fondamentali; la dipendenza della fornitura del servizio da reti e sistemi informativi; e la rilevanza, sull’erogazione del servizio, degli effetti derivanti da un incidente.

Gli Ose saranno quindi tenuti ad adottare misure tecniche ed organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici. La notifica di incidenti con impatto rilevante sui servizi forniti andrà fatta al Csirt (Computer Security Incident Response Team, un gruppo di intervento istituito presso la Presidenza del Consiglio), e alle Autorità competenti Nis, ossia i vari ministeri. A questi ultimi è assegnato il compito di vigilare sull’applicazione della direttiva a livello nazionale, ed irrogare sanzioni amministrative nel caso di mancato adempimento degli obblighi previsti.

Le regole di dettaglio sul funzionamento e l’organizzazione del nuovo sistema nazionale di cybersecurity, saranno tuttavia definite da un ulteriore decreto del Presidente del Consiglio dei Ministri, da adottare entro il 9 novembre 2018. La Sede nazionale Aiop continuerà quindi a monitorare gli interventi in materia, in modo da informarne le strutture associate, anche mediante circolari ed eventuali eventi formativi.

In allegato: D. lgs. n. 65/2018; Dir. Ue n. 2016/1148; art. 3, D. lgs. n. 38 del 4 marzo 2014.