Il 24 giugno scorso è entrato in vigore il D. lgs. n. 65 del 18 maggio 2018, che dà attuazione alla Direttiva Ue 2016/1148 c.d. Nis (Network and information security) contenente le nuove misure finalizzate a rafforzare il livello di sicurezza delle reti e dei sistemi informativi nei Paesi membri dell’Unione europea.
Il decreto di recepimento prevede l’adozione di una strategia nazionale di sicurezza cibernetica da parte del Presidente del Consiglio dei Ministri, che dovrà prevedere, in particolare, misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, la definizione di un piano di valutazione dei rischi informatici e programmi di formazione e sensibilizzazione in materia di sicurezza informatica, nonché l’individuazione delle autorità nazionali Nis, competenti a dare attuazione alle nuove regole. La disciplina sulla cybersecurity non è però diretta ai soli soggetti pubblici, ma riguarda direttamente anche alcuni soggetti privati. Gli obblighi in materia di sicurezza e di notifica degli incidenti informatici con impatto rilevante, sono infatti espressamente estesi (art. 1, comma 2, lett. c, D. Lgs. n. 65) oltre che ai Fornitori di Servizi Digitali (cc.dd. Fsd, che operano nell’ambito di e-commerce, motori di ricerca, e cloud computing), anche agli Operatori di Servizi Essenziali (cc.dd. Ose), vale a dire organizzazioni pubbliche o private operanti in alcuni settori particolari: sanitario, energia, trasporti, bancario, infrastrutture dei mercati finanziari, infrastrutture digitali e fornitura e distribuzione di acqua potabile.