Alert Direttiva NIS

Lo scorso 9 maggio è scaduto il termine per il recepimento della direttiva UE n. 2016/1148 in materia di sicurezza delle reti e dei sistemi informativi nell’Unione (la cosiddetta direttiva NIS-Network and Information Security), che per la prima volta affronta in modo organico e trasversale gli aspetti relativi alla sicurezza informatica, ponendosi quale scopo quello di rafforzare la resilienza e la cooperazione in ambito informatico in Europa.
L'Italia ha approvato, in via preliminare, uno schema di decreto legislativo di recepimento della direttiva NIS lo scorso 8 febbraio, sottoposto successivamente alla valutazione delle Commissioni parlamentari competenti. Da allora, a causa anche della perdurante situazione di instabilità politica, il processo di valutazione dello schema si è fermato.

Nonostante sia uno schema di decreto legislativo non ancora definitivo e come tale ancora passibile di eventuali modifiche, possiamo comunque individuare alcuni punti interessanti della futura normativa.

Strategia nazionale di sicurezza cibernetica
Come richiesto dalla Direttiva NIS, lo schema di decreto legislativo all'art. 6 prevede l’adozione da parte del Presidente del Consiglio dei Ministri di una strategia nazionale di sicurezza cibernetica. Tale strategia dovrà indicare, tra gli altri, gli obiettivi e le priorità in materia di cyber security, il quadro di governance per conseguire tali obiettivi, le misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, i programmi di formazione e sensibilizzazione in materia di sicurezza informatica, e la definizione di un piano di valutazione dei rischi informatici e di programmi di formazione.

Autorità competenti NIS e punto di contatto unico
Vengono poi individuati all'art. 7 le Autorità competenti NIS, che saranno responsabili per l'attuazione del decreto con riguardo al proprio settore di competenza. Tra questi rientrano il Ministero dello Sviluppo economico per il settore energia, il Ministero delle Infrastrutture e Trasporti per il settore trasporti, il Ministero dell'economia e delle finanze per il settore bancario e per il settore infrastrutture dei mercati finanziari, il Ministero della Salute per l'attività di assistenza sanitaria, e il Ministero dell'Ambiente per il settore fornitura e distribuzione di acqua potabile.

Inoltre è stato individuato il DIS – il Dipartimento delle informazioni per la sicurezza – quale punto di contatto unico, che dovrà svolgere una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità competenti NIS con le autorità degli altri stati membri.

Obblighi in materia di sicurezza
Lo schema di Decreto Legislativo indica all'art. 12 gli obblighi in materia di sicurezza previsti dalla Direttiva. Gli operatori di servizi essenziali dovranno adottare misure tecnico-organizzative “adeguate e proporzionate” alla gestione dei rischi posti alla sicurezza della rete al fine di prevenire e minimizzare l'impatto degli incidenti informatici.

Va però anche segnalato che il decreto specifica come nell’adottare tali misure gli operatori debbano tenere in considerazione le linee guida predisposte dal Gruppo di Cooperazione. Tali linee guida diventano quindi fondamentali nella definizione delle misure tecnico organizzative.

Le autorità competenti NIS potranno inoltre imporre l’adozione di misure di sicurezza specifiche, sentiti gli operatori di servizi essenziali. È quindi probabile che tali operatori in futuro dovranno rispettare specifiche disposizioni sulle misure di sicurezza da adottare, espressamente create tenuto conto del proprio settore di competenza.

Analoghi obblighi in materia di sicurezza sono previsti a carico dei fornitori di servizi digitali (servizi cloud, motori di ricerca, ISPs), i quali dovranno adottare specifiche misure tecniche-organizzative per la gestione dei rischi e per la riduzione dell’impatto di eventuali incidenti informatici.

Notifica degli incidenti informatici
Lo schema di Decreto Legislativo specifica che gli Operatori di Servizi Essenziali saranno tenuti a comunicare "senza ingiustificato ritardo" al CSIRT (e per conoscenza alla rispettiva Autorità Competente NIS) gli incidenti informatici con impatto rilevante sui servizi forniti. Un obbligo analogo è previso anche a carico dei fornitori di servizi digitali di cui all’Allegato III della Direttiva (motori di ricerca, servizi cloud e piattaforme di commercio elettronico).

Per determinare la rilevanza dell'impatto di un incidente informatico deve tenersi conto, in particolare, del numero di utenti interessati, la durata dell'incidente, e la diffusione geografica relativa all'area interessata dall'incidente.

Anche in questo caso, lo schema di Decreto lascia aperta la possibilità per le Autorità Competenti NIS di predisporre specifiche linee guida per la notifica degli incidenti.

Regime sanzionatorio
La Direttiva NIS lascia agli Stati membri un margine di discrezionalità riguardo al tipo e alla natura delle sanzioni applicabili, a condizione che siano "effettive, proporzionate e dissuasive".

A tal proposito, il governo italiano ha stabilito che le autorità competenti potranno applicare sanzioni amministrative comprese tra un minimo di 12.000 Euro fino ad un massimo 150.000 Euro in caso di violazione da parte degli operatori di servizi essenziali (e dei fornitori di servizi digitali) degli obblighi previsti dal decreto.

Si tratta di un approccio sostanzialmente in linea con quello seguito da altri Stati membri che hanno già attuato la Direttiva: ad esempio la Germania ha previsto sanzioni fino a 100.000 Euro, mentre in Francia è previsto un regime sanzionatorio sostanzialmente analogo a quello italiano (sanzioni fino ad un massimo di 125.000 Euro). Diversamente, in Gran Bretagna, nonostante la sua ormai prossima uscita dall'Unione Europea, si è deciso di adottare comunque la direttiva NIS, prevedendo sanzioni molto dure che possono arrivare ad un massimo di 17 milioni di sterline (poco meno di 20 milioni di Euro).

Identificazione degli operatori di servizi essenziali
Vi è ancora tempo invece per l'identificazione degli operatori di servizi essenziali. Entro il prossimo 9 novembre 2018, infatti, le Autorità Competenti NIS identificheranno ciascuna per il proprio settore di competenza gli operatori di servizi essenziali destinatari della direttiva NIS.

National Information Security Directive (NISD)
Watch our video about national information security directive NISD

NISD Tracker 
The Network and Information Systems Directive (NISD) was adopted by Member States of the European Union on 9 May 2018. As the underpinning legislation is a directive each Member State has certain discretions as to how the directive is reflected in their national law. The disparity in the adoption of NISD by Member States raises significant compliance challenges for relevant entities who are established in more than one Member State. Bird & Bird's NISD tracker has been designed to allow you to check the current state of implementation of the NISD by country so you can better understand how your business may be impacted. The content of the tracker will be updated periodically. read more