Direttiva NIS e perimetro di sicurezza nazionale: le prospettive italiane ed europee
“Poiché la nostra vita quotidiana e le nostre economie diventano sempre più dipendenti dalle soluzioni digitali, abbiamo bisogno di una cultura della sicurezza all’avanguardia in tutti i settori vitali che si affidano alle tecnologie dell’informazione e della comunicazione”: queste le parole di Margrethe Vestager, Vice presidente esecutivo della Commissione Europea.
Proprio in tale ottica, nei mesi precedenti la Commissione Europea ha avviato le consultazioni pubbliche per la revisione della Dir. 2016/1148 (così detta Direttiva NIS), recante misure per un livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione. La Commissione ha rilevato come, nonostante i progressi compiuti con l’implementazione della Direttiva, gli strumenti di sicurezza informatica di cui si sono dotati gli Stati membri siano rimasti diseguali, e il livello di protezione informatica all’interno dell’Unione risulti ancora insufficiente rispetto al sempre crescente numero di attacchi e minacce cyber.
Il progetto di revisione iniziato dalla Commissione – che è stato aperto a tutti i cittadini e gli stakeholder chiave dei settori di riferimento, oltre che agli enti istituzionali dei singoli Stati membri – mira a valutare il livello di funzionamento della Direttiva NIS all’interno dell’Unione Europea attraverso lo studio del livello di sicurezza delle reti e dei sistemi informativi degli Stati membri.
Obiettivo della consultazione è anche quello di determinare l’efficacia, l’efficienza, la coerenza e la pertinenza della Direttiva NIS alla luce dell’evoluzione del panorama tecnologico degli ultimi anni, identificando e quantificando i costi e i benefici, diretti e indiretti, derivanti dall’implementazione della normativa.
La consultazione pubblica è rimasta aperta fino al 2 ottobre 2020 con l’obiettivo di chiudere l’aggiornamento della Direttiva già entro la fine dell’anno, in anticipo di qualche mese rispetto alla scadenza inizialmente fissata per maggio 2021. Quest’operazione si pone come un ulteriore tassello fondamentale per la realizzazione di quella “Europa pronta per l’era digitale e all’avanguardia” annunciata all’inizio dell’anno dalla Commissione europea.
In tale scenario, anche l’Italia ha compiuto importanti passi avanti. Con il decreto legislativo n. 65 del 18 maggio 2018, che ha dettato le misure da predisporre per la sicurezza delle reti e dei sistemi informativi, l’Italia ha recepito la Direttiva NIS. Successivamente è stato delineato il perimetro di sicurezza nazionale cibernetica, con il decreto-legge n. 105 del 2019, al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, con la previsione di misure volte a garantire i necessari standard di sicurezza per minimizzare i rischi.
Il decreto legge detta “modalità e procedure per l’istituzione di tale perimetro, volto ad assicurare la sicurezza di reti, sistemi informativi e servizi informatici necessari allo svolgimento di funzioni o alla prestazione di servizi, dalla cui discontinuità possa derivare un pregiudizio alla sicurezza nazionale“.
Si interviene inoltre sulle procedure, le modalità e i termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT, destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici individuati nell’elenco trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico.
È stato recentemente pubblicato in Gazzetta Ufficiale il decreto del Presidente del Consiglio dei Ministri del 30 luglio 2020 n.131, primo decreto di attuazione del perimetro di sicurezza nazionale cibernetica cui ne seguiranno altri, e in cui si pone l’attenzione sui soggetti coinvolti che entreranno a far parte di tale perimetro.
Si noti come il decreto comprenda un numero di settori maggiore rispetto a quelli individuati dalla Direttiva NIS. Si legge infatti che gli attori saranno quelli che rientrano nei seguenti ambiti: interno, difesa, spazio e aerospazio, energia e telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche (quelle ricomprese nel Regolamento UE 2019/452), enti previdenziali o del lavoro (art. 3).
Il legislatore italiano ha dunque compreso che diversi e vari sono i settori rilevanti per la sicurezza nazionale italiana così da includere non solo gli operatori privati che erogano i servizi essenziali ma anche la pubblica amministrazione e le piccole e medie imprese che operano sul territorio nazionale. In particolare viene specificato che “un soggetto esercita una funzione essenziale dello Stato, di seguito funzione essenziale, laddove l’ordinamento gli attribuisca compiti rivolti ad assicurare la continuità dell’azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti” (art.2). E ancora, che: ”un soggetto, pubblico o privato, presta un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, di seguito servizio essenziale, laddove ponga in essere: attività strumentali all’esercizio di funzioni essenziali dello Stato; attività necessarie per l’esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica; attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale” (art.2).
Il DPCM interviene a specificare alcuni concetti: in particolare definisce la compromissione e l’incidente.
La prima viene definita come la perdita di sicurezza o di efficacia dello svolgimento di una funzione essenziale dello Stato o di un servizio essenziale, connessa al malfunzionamento, all’interruzione, anche parziali, ovvero all’utilizzo improprio di reti, sistemi informativi e servizi informatici.
L’incidente è ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici.
Nel caso in cui esso si verifichi, i soggetti coinvolti dovranno rivolgersi al CSIRT (Computer security incident response team), istituito presso il Dis nel maggio scorso, entro sei ore. Il tempo di reazione quindi è ben più rapido di quello previsto dalla Direttiva Nis, 24 ore. Se l’incidente è grave, subentra l’intervento del Nucleo per la sicurezza cibernetica.
L’elenco dei soggetti nominati rimane segreto; questi dovranno poi mettere in atto una serie di adempimenti dal momento in cui sono nominati. Tali soggetti dovranno infatti predisporre con cadenza annuale un elenco delle reti, dei sistemi informativi, dei servizi informatici così come dell’architettura e della componentistica tech.
Il bene ICT come definito dal DPCM n.131/2020 è un insieme di reti, sistemi informativi e servizi informatici, o parti di essi, di qualunque natura, considerato unitariamente ai fini dello svolgimento di funzioni essenziali dello Stato o per l’erogazione di servizi essenziali.
Gli elenchi dovranno poi essere inviati entro sei mesi dalla comunicazione all’autorità competente. Per adempiere a tale obbligo, il soggetto pubblico o privato dovrà anzitutto effettuare un’analisi del rischio per identificare i fattori di pericolo di un incidente, così da valutarne la probabilità e l’impatto potenziale sulla continuità, sulla sicurezza o sulla efficacia della funzione essenziale o del servizio essenziale. Successivamente occorrerà individuare le misure di sicurezza più adatte per trattare tale rischio.
All’esito dell’analisi del rischio, il soggetto dovrà individuare, per ogni funzione o servizio essenziale, i beni ICT necessari a svolgerli, valutando il potenziale impatto di un incidente sul bene ICT, e considerando sia la limitazione dell’operatività del bene stesso, che la compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati.
I soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica inoltre dovranno anche verificare le dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, compresi quelli utilizzati per fini di manutenzione e gestione.
Il secondo adempimento richiesto ai soggetti individuati è quello di descrivere l’architettura e la componentistica relative ai beni ICT individuati, definite come l’insieme delle architetture realizzate e dei componenti usati a livello di rete, dati e software, ivi inclusi la distribuzione su piattaforme di cloud computing, nonché le procedure e i flussi informativi per l’accesso, acquisizione, trasmissione, conservazione, elaborazione e recupero dei dati necessari all’espletamento dei servizi informatici. Anche in questo caso, il termine sarà di sei mesi dal momento in cui vengono nominati.
Possiamo dunque constatare come la cybersecurity inizi ad essere uno degli elementi principali nelle scelte e nelle decisioni europee e nazionali relative al mondo digitale.
Inoltre, per la competitività delle imprese europee sono necessari più elevati requisiti di sicurezza e un approccio uniforme, un’agenzia europea rafforzata per la cibersicurezza che accresca la fiducia nell’economia interconnessa e la resilienza rispetto a tutti i possibili tipi di rischi.
L’auspicio è che l’Europa continui su questa strada con il suo ruolo guida e l’Italia si adegui con normative attuative specifiche.
Articolo a cura di Federica Maria Calì
Nata a Catania, dove nel 2012 ha conseguito la Laurea Magistrale in Giurisprudenza, ha proseguito gli studi con il Diploma di Specializzazione per le professioni legali nel 2014 e nel 2016 ha conseguito l'abilitazione per la professione forense.
Federica ha collaborato con uno studio legale specializzato in diritto civile e tutela dei consumatori; negli ultimi anni ha seguito diversi corsi di formazione in materia di Privacy, Data Protection, Cybercrime e Cybersecurity.
Attualmente riveste il ruolo di Governance, Risk & Compliance Consultant per Inthecyber Group, azienda specializzata in Cybersecurity, Cyberdefense e Cyberintelligence, svolgendo attività di auditing e consulting negli ambiti della Data protection, Cybersecurity e Certificazioni ISO.