Claudia Cofini questa volta ci porta nel mondo della Direttiva NIS di cui forse molti non conoscono nemmeno l’esistenza e ci rivela l’ennesimo caso di negligenza che, probabilmente, dovrebbe essere affrontato più correttamente a livello istituzionale.
Prologo
A maggio 2018, il Consiglio dei Ministri ha approvato il D. lgs n. 65attuativo della Direttiva 1148/2016(c.d. NIS Network Information Security), del 6 luglio 2016, recante misure sulla sicurezza delle reti e dei sistemi informativi. Scopo della direttiva è quello di creare il primo complesso normativo comune a tutti gli stati dell’UE sulla sicurezza informatica dei sistemi, delle reti e delle informazioni, ma soprattutto, tale cooperazione e condivisione possono portare all’elaborazione di rimedi, sempre più efficaci al fine di garantire una solida strategia di cyber security.
Infatti, lo scorso febbraio, la Presidenza del Consiglio dei Ministri ne ha spiegato gli obiettivi primari ossia:
- promuovere una cultura di gestione del rischio e di segnalazione degli incidenti tra i principali attori economici, in particolare gli operatori che forniscono servizi essenziali per il mantenimento di attività economiche e sociali e i fornitori di servizi digitali;
- migliorare le capacità nazionali di cyber security;
- rafforzare la cooperazione a livello nazionale e in ambito UE.
In linea con la tendenza negativa, riguardo l’aumento sensibile di attacchi informatici (oltre il 200% negli ultimi 7 anni) che hanno avuto conseguenze economiche rilevanti per un consistente numero di target. Il focus principale della Direttiva si pone sull’incremento della cooperazione degli Stati Membri per l’elaborazione di una strategia di cyber security e per l’imposizione, di nuovi requisiti volti ad aumentare il livello di sicurezza dei sistemi introducendo un nuovo regime di notifica degli incidenti informatici al fine di garantire la business continuity dei servizi erogati. Sono due le tipologie di soggetti impattati dalla normativa:
- gli FSD, ossia: “qualsiasi persona giuridica che fornisce qualsiasi servizio della società dell’informazione prestato dietro retribuzione, ovvero qualsiasi servizio a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi, di uno dei seguenti tipi: mercato online, motori di ricerca e servizi di cloud computing” (art 3 D. lgs 65/2108) elencati, in maniera per nulla specifica, dall’Allegato III;
- gli OSE (operatori di servizi essenziali ex art. 4, c.2 d. lgs. 65/2018), sono quei soggetti che forniscono un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali e la cui erogazione dipende dalla rete e dai sistemi informativi, per cui un incidente avrebbe effetti negativi rilevanti (ex art. 5, c.2 del decreto) sulla fornitura. Rientrano in questa definizione le aziende che operano nel settore dell’energia, della sanità, del settore bancario, dei mercati finanziari e della fornitura e distribuzione dell’acqua potabile, tutti riportati nell’Allegato II del decreto.
Questi sono i criteri che le autorità competenti NIS dovranno seguire per identificare gli operatori di servizi essenziali per ciascun settore elencati dall’ Allegato II, entro il 9 novembre 2018. Il decreto precisa però che, nell’individuazione di tali operatori, si dovrà anche tenere conto delle indicazioni del Gruppo di Cooperazione, istituito dall’art 11 della Direttiva (composto da rappresentati degli Stati membri, della Commissione europea e dell’ENISA, European Union for Network and Information Security Agency). Si tratta di un’indicazione importante, volta a garantire un’applicazione armonizzata delle Direttiva ed un trattamento uniforme di quei soggetti che operano in più Stati membri.
Grazie a tale approccio la continuità operativa e il disater recovery acquisiscono una posizione centrale nell’organizzazione aziendale necessario, anche, a garantire e a tutelare i consumatori che non possono fare a meno di servizi che rientrano in settori primari, come ad esempio quello sanitario.
A tutela della continuità operativa il nostro decreto legislativo di attuazione prevede importanti sanzioni di tipo amministrativo che vanno dai 25 ai 150 mila euro, le quali verranno erogate nel momento in cui non verranno assolti i seguenti obblighi:
- Applicazione di misure di sicurezze tecnico-organizzative adeguate a prevenire il rischio di incidente
- Obbligo di notifica degli incidenti al Csirt Nazionale (che andrà a sostituire il Cert-PA e il Cert-N) che a sua volta comunica con il DIS, identificato come punto di contatto unico di raccordo con l’UE e i diversi Ministeri e con i Csirts EU.
- Obblighi informativi che prevedono la redazione di policy dettagliate e di rigorose analisi di audit svolte o dalle autorità competenti NIS o da revisori autorizzati
Per la designazione delle autorità competenti all’attuazione, alla vigilanza e al rispetto della direttiva NIS, il modello istituzionale scelto dal governo è di tipo temperatamente decentrato. Perciò vengono designati in qualità di “autorità competenti NIS” i seguenti Ministeri: sviluppo economico, infrastrutture e trasporti, economia in collaborazione con la Consob e con la Banca d’Italia, salute e ambiente. Ciascuno di essi è responsabile per i settori che rientrano nelle proprie aree di competenza. Questo è un modello a metà tra quello francese centralista che ha un’unica autorità competente, e quello dei paesi del nord Europa decentrato dove, invece, i compiti normativi e di vigilanza in ambito cyber security sono attribuiti ad agenzie pubbliche divise per settori.
Così come stabilito dalle norme ciascun Ministero è responsabile degli ambiti delle aziende rientranti nel proprio settore applicativo e sotto il coordinamento generale del DIS, ai Ministeri è affidato il delicatissimo compito di redigere una lista degli OSE divisi per settore che saranno interessati dalla NIS, entro il 9 novembre 2018.
IL NOCCIOLO DELLA QUESTIONE
Ad oggi, 17 novembre, nessuna lista è stata redatta e pubblicata e cosa ancora più grave siamo nel completo silenzio delle istituzioni che nulla dicono in proposito, non si parla né di ritardi né di proroghe. Silenzio e ancora silenzio e intanto le aziende, dalle più grandi alle più piccole, pubbliche e private, già sovraccaricate da più di 30 controlli annuali previsti a seguito del GDPR, restano in attesa di conoscere il loro destino sul fronte NIS. Non bisogna sottovalutare il fatto che per un’azienda rafforzare le proprie misure tecniche-organizzative e implementare una procedura per la comunicazione degli incidenti di sicurezza significa aumento dei costi e delle risorse da utilizzare, perciò da una parte può sembrare comodo questo ritardo che dovrebbe dissipare ogni dubbio sui soggetti coinvolti dalla NIS, dall’altra c’è il rischio che le aziende arrivino di nuovo con l’acqua alla gola a doversi adeguare in fretta e furia e in maniera grossolana, come meglio possono, un po’ come già accaduto per il GDPR, per non rischiare di essere sanzionate.
E I CITTADINI CHE USUFRUISCONO DEI SERVIZI INVECE?
La direttiva NIS, in teoria, richiede questo sforzo di sicurezza, di comunicazione, di implementazione delle risorse ad OSE e FSD, che devono coordinarsi a livello europeo, affinché venga garantita la continuità operativa dei servizi essenziali e digitali di cui i cittadini, che si trovano in una posizione ambivalente, come consumatori nel privato e come contribuenti nel pubblico, usufruiscono.
Ancora una volta la tutela dei consumatori per le nostre istituzioni può passare in secondo piano, ancora una volta probabilmente saremo sanzionati dall’UE, ancora una volta l’omertà la fa da padrone, ancora una volta l’attenzione del pubblico è dirottata sulle bagarre inscenate da Salvini e di Maio, o dal pugno alzato di Toninelli, ed infine ancora una volta tutto questo passerà inosservato.
Concludendo si rende necessario ricordare quanto dichiarato da ultimo dal Garante: “la negligenza rispetto alla sicurezza informatica e cibernetica non è più tollerabile”.