Cybersecurity: la NIS arriva in Italia, un passo avanti nella lotta europea contro gli it-breach

Corporate criminal liability

Il 16 maggio 2018 il Consiglio dei Ministri ha finalmente varato il decreto che ha recepito in via definitiva la Direttiva (UE) 2016/1148 (c.d. Direttiva NIS, Network and Information Security) sulla sicurezza delle reti e dei sistemi informativi nell’Unione Europea. La Direttiva NIS è in vigore da agosto 2016: gli Stati membri avevano 21 mesi per provvedere all’adeguamento dei rispettivi sistemi normativi nazionali e 6 mesi supplementari per identificare gli operatori delle infrastrutture critiche nazionali. La scadenza per il recepimento delle disposizioni europee era dunque il 9 maggio 2018.

Il decreto adottato persegue tre obiettivi principali:

  1. promuovere una cultura di gestione del rischio e di segnalazione degli incidenti tra i principali attori economici, in particolare gli operatori che forniscono servizi essenziali per il mantenimento di attività economiche e sociali e i fornitori di servizi digitali;
  2. migliorare le capacità nazionali di cybersecurity;
  3. rafforzare la cooperazione a livello nazionale e in ambito UE.Il testo si pone in linea con le finalità perseguite dalla Commissione Europea attraverso l’emanazione della direttiva NIS, ossia delineare (entro giugno 2018) la struttura ed i compiti che l’organizzazione difensiva di ciascuno Stato membro deve realizzare in maniera unitaria e in stretto collegamento con il centro europeo per la difesa e protezione dalle minacce cibernetiche.
  4. Una volta realizzato tale sistema, l’UE disporrà di una difesa unitaria ed integrata per la difesa ed il contrasto nei confronti della minaccia cyber, cioè di quella minaccia ormai sempre più pericolosa e tuttora massicciamente operante nei confronti degli Stati membri.

Scopo del decreto è assicurare la continuità dei servizi essenziali (energia, trasporti, salute, finanza, ecc.) e dei servizi digitali (motori di ricerca, servizi cloud, piattaforme di commercio elettronico). Per raggiungere tale obiettivo la nuova normativa prevede l’adozione di misure tecnico-organizzative per ridurre il rischio e limitare l’impatto di IT-breach e l’obbligo di notifica di incidenti con impatto rilevante sulla fornitura dei servizi. Parallelamente, il testo individua l’architettura NIS europea, ossia le autorità competenti “in ambito NIS” con i rispettivi compiti, che verranno svolti in cooperazione con le omologhe autorità degli altri Stati membri, nonché il Computer Security Incident Response Team (CSIRT) nazionale, con funzioni di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con gli altri CSIRT europei.

Rif. Comunicato stampa del Consiglio dei Ministri n. 84 del 16 maggio 2018