L’Italia ha recepito la direttiva NIS sulla sicurezza delle reti e dei sistemi informativi. Confermati i settori di applicazione e le sanzioni. Ora occorre accelerare per rendere effettivamente operative le disposizioni del decreto e aggiornare il Piano nazionale per la protezione cibernetica e la sicurezza informatica
l 16 maggio 2018, il Consiglio dei Ministri ha approvato il decreto legislativo attuativo della Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi. L’italia recepisce quindi, con leggero ritardo, la Direttiva NIS. Detta Direttiva avrebbe, infatti, dovuto essere recepita entro il 9 maggio 2018. Giova, tuttavia, sottolineare come il decreto approvato sia uno dei pochi provvedimenti a cui si è data priorità — sottoponendolo con urgenza all’esame delle Commissioni speciali di Camera e Senato — in questa fase di stallo politico. L’importanza del provvedimento sembra quindi essere stata colta.
Confermati i settori coperti dal decreto
Il testo del decreto approvato in Consiglio dei Ministri non è stato ancora pubblicato ufficialmente. Tuttavia, il testo uscito da Palazzo Chigi non presenta particolari novità rispetto allo schema di decreto sottoposto all’esame delle Commissioni parlamentari. In particolare, restano immodificati sia i settori coperti dal decreto (ossia energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali; nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico) che gli importi delle sanzioni applicabili (fissati nel massimo a 150.000 Euro).
Sanzioni invariate
Non hanno quindi trovato spazio nel testo definitivo del decreto le principali proposte fatte dalle Commissioni speciali di Camera e Senato. Le osservazioni espresse dalle Commissioni parlamentari riguardavano Infatti principalmente il tema dell’ambito di applicazione del decreto e quello delle sanzioni. In particolare, nell’esprimere il proprio parere favorevole sullo schema di decreto legislativo, la Commissione speciale della Camera aveva proposto al governo di valutare la possibilità di estendere l’ambito di applicazione del decreto comprendendovi anche tutta la pubblica amministrazione. La Commissione speciale del Senato aveva invece proposto al governo di valutare la possibilità di elevare il limite massimo delle sanzioni (nello schema, pari a 150.000 euro). Su quest’ultimo punto è bene però sottolineare come la Conferenza Unificata (Stato-Regioni-Autonomie locali) abbia invece espresso un parere diametralmente opposto, chiedendo al governo di ridimensionare gli importi delle sanzioni, in particolare in ragione del loro impatto potenzialmente negativo su quelle strutture pubbliche individuate quali operatori di servizi essenziali (ad esempio, in ambito sanitario).
No allo sforamento delle sanzioni oltre 150 mila euro
Restando sempre nell’ambito dell’ammontare massimo delle sanzioni, la presenza di richieste in senso opposto da parte dei soggetti istituzionali sentiti ha sicuramente contribuito a lasciare immutato il quadro sanzionatorio. Inoltre, lo sforamento del tetto dei 150.000 euro era impedito dai vincoli imposti dai criteri generali previsti per l’attuazione del diritto dell’Unione europea. Difatti, stante l’assenza di criteri e principi direttivi specifici nella legge di delegazione europea 2016-2017 (ossia la legge che ha delegato il governo ad attuare la Direttiva NIS), risultano applicabili i criteri direttivi generali fissati dalla Legge 24 dicembre 2012, n. 234, la quale stabilisce un massimo edittale di 150.000 Euro per le sanzioni amministrative da applicare alle violazioni di norme di derivazione europea. La previsione di sanzioni più elevate nel decreto si sarebbe quindi scontrata con i limiti della delega legislativa lato sensu. Gli importi delle sanzioni previste dal decreto sono peraltro in linea con quelli fissati da altri Stati membri che hanno attuato la Direttiva NIS. Da questo punto di vista, la scelta del governo di mantenere i massimi edittali previsti nello schema di decreto appare quindi giustificata.
Le strutture pubbliche che rientreranno nel decreto
Tutto sommato, l’assenza di modifiche sostanziali non sorprende. Infatti, anche se quella di estendere l’ambito di applicazione del decreto a tutto il settore della pubblica amministrazione sarebbe stata una buona idea, un buon numero di strutture pubbliche operanti in settori strategici coperti dal decreto, quali la sanità, i trasporti e la fornitura di acqua potabile, verranno probabilmente designate quali operatori di servizi essenziali, e quindi sottoposte alle disposizioni del decreto.
Gli ulteriori passi da fare
Il testo del decreto approvato dovrebbe essere pubblicato a breve. Tuttavia, la pubblicazione del decreto non concluderà il percorso di attuazione della Direttiva NIS in Italia. Bisognerà infatti cominciare subito a lavorare per rendere effettivamente operative le disposizioni del decreto. I punti più importanti da affrontare riguardano l’assetto istituzionale e strategico. Si dovrà infatti procedere all’adozione del decreto che regola l’organizzazione ed il funzionamento del CSIRT Italiano, il nuovo Computer Security Incident Response Team istituito presso la Presidenza del Consiglio dei Ministri che emergerà dalla fusione degli attuali CERT Nazionale (operante presso il Ministero dello Sviluppo Economico) e CERT-PA(operante presso l’Agenzia per l’Italia Digitale). Proprio questo processo di fusione potrebbe essere di non facile gestione, il che potrebbe dilatare i tempi di adozione del decreto.
Adottare una strategia nazionale di sicurezza cibernetica
Bisognerà poi aggiornare il Piano nazionale per la protezione cibernetica e la sicurezza informatica del 2017, e procedere all’adozione di una strategia nazionale di sicurezza cibernetica che rispetti tutti i requisiti dell’articolo 7 della Direttiva NIS.
Infine, bisognerà identificare, entro il 9 novembre 2018, gli operatori di servizi essenziali a cui si applicheranno gli obblighi di sicurezza e di notifica degli incidenti previsti dal decreto NIS: una scelta di fondamentale importanza per cui si attendono indicazioni specifiche da parte del Gruppo di Cooperazione (istituito dall’Articolo 11 della Direttiva NIS, e composto da rappresentati degli Stati membri, della Commissione europea e dell’ENISA).
Insomma, il lavoro da fare per rafforzare la sicurezza cibernetica italiana è solo all’inizio, e c’è da sperare che il nuovo governo continui a considerarlo una priorità.