Autorità competenti NIS e punto di contatto unico
Vengono individuati all'Articolo 7 le Autorità competenti NIS, che saranno responsabili per l'attuazione del decreto con riguardo al proprio settore di competenza. Tra questi rientrano il Ministero dello Sviluppo Economico per il settore energia, il Ministero delle Infrastrutture e Trasporti per il settore trasporti, il Ministero dell'economia e delle finanze per il settore bancario e per il settore infrastrutture dei mercati finanziari, il Ministero della Salute per l'attività di assistenza sanitaria, ed il Ministero dell'Ambiente per il settore fornitura e distribuzione di acqua potabile.
Inoltre è stato individuato il DIS – il Dipartimento delle informazioni per la sicurezza – quale punto di contatto unico, che dovrà svolgere una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità competenti NIS con le autorità degli altri stati membri.
Obblighi in materia di sicurezza
Il Decreto Legislativo indica inoltre all'Articolo 12 gli obblighi in materia di sicurezza e notifica degli incidenti previsti dalla Direttiva. Gli operatori di servizi essenziali dovranno adottare misure tecnico-organizzative “adeguate e proporzionate” alla gestione dei rischi posti alla sicurezza della rete al fine di prevenire e minimizzare l'impatto degli incidenti informatici.
Va però anche segnalato che il decreto specifica come nell’adottare tali misure gli operatori debbano tenere in considerazione le linee guida (non ancora predisposte) del Gruppo di Cooperazione. Tali linee guida diventano quindi fondamentali nella definizione delle misure di tecnico organizzative.
Le autorità competenti NIS potranno inoltre imporre l’adozione di misure di sicurezza specifiche, sentiti gli operatori di servizi essenziali. È quindi probabile che gli operatori avranno in futuro disposizioni sulle misure di sicurezza da adottare, specifiche in base al proprio settore di competenza.
Fornitori di servizi digitali
Analoghi obblighi in materia di sicurezza sono previsti a carico dei fornitori di servizi digitali di cui all’Allegato III della Direttiva NIS (tra cui rientrano motori di ricerca, fornitori di servizi cloud e piattaforme di commercio elettronico), i quali dovranno adottare misure tecniche-organizzative per la gestione dei rischi e per la riduzione dell’impatto di eventuali incidenti informatici.
A tal proposito, viene in aiuto il regolamento di esecuzione europeo n. 151/2018, recante le modalità di applicazione della direttiva UE 2016/1148 per quanto riguarda la specificazione degli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi alla sicurezza delle reti e dei sistemi informativi, nonché dei parametri per determinare l'eventuale impatto rilevante di un incidente.
In particolare, l'Articolo 2 specifica che la sicurezza dei sistemi e degli impianti dei fornitori di servizi digitali comprende i seguenti elementi:
Per quanto riguarda invece il trattamento degli incidenti, le misure adottate dal fornitore di servizi digitali devono comprendere:
Per quanto riguarda la gestione della continuità operativa dei servizi richiesta dalla Direttiva NIS, è richiesta ai fornitori di servizi digitali:
Il monitoraggio, l'audit ed i test chiesti dalla Direttiva NIS ai fornitori di servizi digitali comprendono invece la definizione e il mantenimento di politiche relative:
Inoltre, i fornitori di servizi digitali devono rendere disponibile la documentazione adeguata per consentire all'autorità competente di verificare la conformità con gli elementi di sicurezza sopra elencati.
Il regolamento di attuazione specifica inoltre all'Articolo 4 che un incidente è considerato avere un impatto rilevante se si verifica almeno una delle seguenti situazioni:
Notifica degli incidenti informatici
Il Decreto Legislativo specifica che gli Operatori di Servizi Essenziali saranno tenuti a comunicare "senza ingiustificato ritardo" al CSIRT (e per conoscenza alla rispettiva Autorità Competente NIS) gli incidenti informatici con impatto rilevante sui servizi forniti. Un obbligo analogo è previso anche a carico dei fornitori di servizi digitali.
Per determinare la rilevanza dell'impatto di un incidente informatico deve tenersi conto, in particolare, del numero di utenti interessati, la durata dell'incidente, e la diffusione geografica relativa all'area interessata dall'incidente.
Anche in questo caso, il Decreto lascia aperta la possibilità per le Autorità Competenti NIS di predisporre specifiche linee guida per la notifica degli incidenti.
Regime sanzionatorio
La Direttiva NIS lascia agli Stati membri un margine di discrezionalità riguardo al tipo e alla natura delle sanzioni applicabili, a condizione che siano "effettive, proporzionate e dissuasive".
A tal proposito, Il governo italiano ha stabilito che le autorità competenti potranno applicare sanzioni amministrative comprese tra un minimo di 12.000 Euro fino ad un massimo 150.000 Euro in caso di violazione da parte degli operatori di servizi essenziali (e dei fornitori di servizi digitali) degli obblighi previsti dal decreto.
Si tratta di un approccio sostanzialmente in linea con quello seguito da altri Stati membri che hanno già attuato la Direttiva: ad esempio la Germania ha previsto sanzioni fino a 100.000 Euro, mentre in Francia è previsto un regime sanzionatorio sostanzialmente analogo a quello italiano (sanzioni fino ad un massimo di 125.000 Euro). Diversamente, in Gran Bretagna, nonostante la sua ormai prossima uscita dall'Unione Europea, si è deciso di adottare comunque la direttiva NIS, prevedendo sanzioni molto dure che possono arrivare ad un massimo di 17 milioni di sterline (poco meno di 20 milioni di Euro).
Identificazione degli operatori di servizi essenziali
Vi è ancora tempo invece per l'identificazione degli operatori di servizi essenziali. Entro il prossimo 9 novembre 2018, infatti, le Autorità Competenti NIS identificheranno ciascuna per il proprio settore di competenza gli operatori di servizi essenziali destinatari della direttiva NIS.