Alert Direttiva NIS - giugno 2018

Lo scorso 16 Maggio il Consiglio dei Ministri ha approvato il testo definitivo del Decreto Legislativo n. 65 avente ad oggetto il recepimento della direttiva UE n. 2016/1148 in materia di sicurezza delle reti e dei sistemi informativi nell’Unione (la cosiddetta direttiva NIS-Network and Information Security), che per la prima volta affronta in modo organico e trasversale gli aspetti relativi alla sicurezza informatica, ponendosi quale scopo quello di rafforzare la resilienza e la cooperazione in Europa.

Nonostante rimangano ancora aperti punti importanti quali le definizioni degli operatori dei servizi essenziali destinatari della normativa, o le linee guida per la notifica degli incidenti, il decreto legislativo n. 65/2018 contiene al suo interno molti spunti interessanti.

Autorità competenti NIS e punto di contatto unico
Vengono individuati all'Articolo 7 le Autorità competenti NIS, che saranno responsabili per l'attuazione del decreto con riguardo al proprio settore di competenza. Tra questi rientrano il Ministero dello Sviluppo Economico per il settore energia, il Ministero delle Infrastrutture e Trasporti per il settore trasporti, il Ministero dell'economia e delle finanze per il settore bancario e per il settore infrastrutture dei mercati finanziari, il Ministero della Salute per l'attività di assistenza sanitaria, ed il Ministero dell'Ambiente per il settore fornitura e distribuzione di acqua potabile.

Inoltre è stato individuato il DIS – il Dipartimento delle informazioni per la sicurezza – quale punto di contatto unico, che dovrà svolgere una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità competenti NIS con le autorità degli altri stati membri.

Obblighi in materia di sicurezza
Il Decreto Legislativo indica inoltre all'Articolo 12 gli obblighi in materia di sicurezza e notifica degli incidenti previsti dalla Direttiva. Gli operatori di servizi essenziali dovranno adottare misure tecnico-organizzative “adeguate e proporzionate” alla gestione dei rischi posti alla sicurezza della rete al fine di prevenire e minimizzare l'impatto degli incidenti informatici.

Va però anche segnalato che il decreto specifica come nell’adottare tali misure gli operatori debbano tenere in considerazione le linee guida (non ancora predisposte) del Gruppo di Cooperazione. Tali linee guida diventano quindi fondamentali nella definizione delle misure di tecnico organizzative.

Le autorità competenti NIS potranno inoltre imporre l’adozione di misure di sicurezza specifiche, sentiti gli operatori di servizi essenziali. È quindi probabile che gli operatori avranno in futuro disposizioni sulle misure di sicurezza da adottare, specifiche in base al proprio settore di competenza.

Fornitori di servizi digitali
Analoghi obblighi in materia di sicurezza sono previsti a carico dei fornitori di servizi digitali di cui all’Allegato III della Direttiva NIS (tra cui rientrano motori di ricerca, fornitori di servizi cloud e piattaforme di commercio elettronico), i quali dovranno adottare misure tecniche-organizzative per la gestione dei rischi e per la riduzione dell’impatto di eventuali incidenti informatici.

A tal proposito, viene in aiuto il regolamento di esecuzione europeo n. 151/2018, recante le modalità di applicazione della direttiva UE 2016/1148 per quanto riguarda la specificazione degli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi alla sicurezza delle reti e dei sistemi informativi, nonché dei parametri per determinare l'eventuale impatto rilevante di un incidente.

In particolare, l'Articolo 2 specifica che la sicurezza dei sistemi e degli impianti dei fornitori di servizi digitali comprende i seguenti elementi:

1. la gestione sistematica delle reti e dei sistemi informativi, ossia la mappatura dei sistemi informativi e la definizione di una serie di politiche adeguate in materia di gestione della sicurezza informatica;
2. la sicurezza fisica e dell'ambiente, ossia la disponibilità di una serie di misure volte a proteggere le reti e i sistemi informativi dei fornitori di servizi digitali da eventuali danni da attacco informatico;
3. la sicurezza delle forniture, ossia la definizione e il mantenimento di politiche adeguate al fine di assicurare l'accessibilità e, se del caso, la tracciabilità delle forniture critiche utilizzate nella prestazione dei servizi;
4. i controlli dell'accesso alle reti e ai sistemi informativi, ossia la disponibilità di una serie di misure volte ad assicurare che l'accesso fisico e logico alle reti e ai sistemi informativi sia autorizzato e limitato sulla base di esigenze aziendali e di sicurezza.

Per quanto riguarda invece il trattamento degli incidenti, le misure adottate dal fornitore di servizi digitali devono comprendere:

1. il mantenimento e la prova di processi e procedure per l'individuazione tempestiva e idonea degli eventi anomali;
2. i processi per la segnalazione degli incidenti e l'individuazione delle debolezze e vulnerabilità nei propri sistemi informativi;
3. una risposta conforme alle procedure stabilite e la comunicazione dei risultati ottenuti con la misura adottata;
4. la valutazione della gravità dell'incidente, la documentazione delle conoscenze acquisite grazie all'analisi dell'incidente e la raccolta di informazioni pertinenti per sostenere un processo di costante miglioramento.

Per quanto riguarda la gestione della continuità operativa dei servizi richiesta dalla Direttiva NIS, è richiesta ai fornitori di servizi digitali:

1. la definizione e l'uso di piani di emergenza volti a garantire la continuità dei servizi erogati;
2. la capacità di ripristino di emergenza.

Il monitoraggio, l'audit ed i test chiesti dalla Direttiva NIS ai fornitori di servizi digitali comprendono invece la definizione e il mantenimento di politiche relative:

1. alla conduzione di una sequenza pianificata di osservazioni per valutare il funzionamento di reti e sistemi informativi;
2. all'ispezione e alla verifica dell'applicazione di norme o orientamenti e se gli obiettivi di efficienza ed efficacia sono raggiunti;
3. a un processo finalizzato a rivelare i difetti dei meccanismi di sicurezza di una rete o di un sistema informativo.

Inoltre, i fornitori di servizi digitali devono rendere disponibile la documentazione adeguata per consentire all'autorità competente di verificare la conformità con gli elementi di sicurezza sopra elencati.

Il regolamento di attuazione specifica inoltre all'Articolo 4 che un incidente è considerato avere un impatto rilevante se si verifica almeno una delle seguenti situazioni:

1. il servizio fornito da un fornitore di servizi digitali non è stato disponibile per oltre 5.000.000 di ore utente, dove per ore utente si intende il numero di utenti interessati nell'Unione per una durata di sessanta minuti;
2. l'incidente ha provocato una perdita di integrità, autenticità o riservatezza dei dati conservati, trasmessi o trattati o dei relativi servizi offerti o accessibili tramite una rete ed un sistema informativo del fornitore di servizi digitali che ha interessato oltre 100.000 utenti nell'Unione;
3. l'incidente ha generato un rischio per la sicurezza o l'incolumità pubblica, o in termini di perdite di vite umane;
4. l'incidente ha provocato danni materiali superiori a 1.000.000 di Euro per almeno un utente nell'Unione.

Notifica degli incidenti informatici
Il Decreto Legislativo specifica che gli Operatori di Servizi Essenziali saranno tenuti a comunicare "senza ingiustificato ritardo" al CSIRT (e per conoscenza alla rispettiva Autorità Competente NIS) gli incidenti informatici con impatto rilevante sui servizi forniti. Un obbligo analogo è previso anche a carico dei fornitori di servizi digitali.

Per determinare la rilevanza dell'impatto di un incidente informatico deve tenersi conto, in particolare, del numero di utenti interessati, la durata dell'incidente, e la diffusione geografica relativa all'area interessata dall'incidente.

Anche in questo caso, il Decreto lascia aperta la possibilità per le Autorità Competenti NIS di predisporre specifiche linee guida per la notifica degli incidenti.

Regime sanzionatorio
La Direttiva NIS lascia agli Stati membri un margine di discrezionalità riguardo al tipo e alla natura delle sanzioni applicabili, a condizione che siano "effettive, proporzionate e dissuasive".

A tal proposito, Il governo italiano ha stabilito che le autorità competenti potranno applicare sanzioni amministrative comprese tra un minimo di 12.000 Euro fino ad un massimo 150.000 Euro in caso di violazione da parte degli operatori di servizi essenziali (e dei fornitori di servizi digitali) degli obblighi previsti dal decreto.

Si tratta di un approccio sostanzialmente in linea con quello seguito da altri Stati membri che hanno già attuato la Direttiva: ad esempio la Germania ha previsto sanzioni fino a 100.000 Euro, mentre in Francia è previsto un regime sanzionatorio sostanzialmente analogo a quello italiano (sanzioni fino ad un massimo di 125.000 Euro). Diversamente, in Gran Bretagna, nonostante la sua ormai prossima uscita dall'Unione Europea, si è deciso di adottare comunque la direttiva NIS, prevedendo sanzioni molto dure che possono arrivare ad un massimo di 17 milioni di sterline (poco meno di 20 milioni di Euro).

Identificazione degli operatori di servizi essenziali
Vi è ancora tempo invece per l'identificazione degli operatori di servizi essenziali. Entro il prossimo 9 novembre 2018, infatti, le Autorità Competenti NIS identificheranno ciascuna per il proprio settore di competenza gli operatori di servizi essenziali destinatari della direttiva NIS.