La tua ricerca

    27.04.2022

    La Direttiva NIS e gli obblighi a carico degli operatori di servizi essenziali e dei fornitori di servizi digitali


    Il quarto contributo sulla normativa italiana in materia di cybersecurity. In questo contributo, gli obblighi previsti dalla Direttiva NIS sulla sicurezza delle reti e dei sistemi informativi a carico degli operatori di servizi essenziali e dei fornitori di servizi digitali.

     

     

     

    La Direttiva (UE) 2016/1148 sulla sicurezza delle reti e dei sistemi informativi (la “Direttiva NIS”), recepita in Italia ad opera del d.lgs. n. 65/2018, stabilisce misure volte a conseguire un livello elevato in termini di sicurezza delle reti e dei sistemi informativi utilizzati dagli operatori di servizi essenziali (“OSE”) e dai fornitori di servizi digitali (“FSD”).

     

    Gli OSE sono i soggetti che forniscono un servizio essenziale per il mantenimento di attività sociali e/o economiche fondamentali nei settori dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, sanitario, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. Essi sono individuati, con propri provvedimenti, dalle autorità NIS. L’elenco recante i nominativi degli OSE è tenuto presso il Ministero dello Sviluppo Economico ed è aggiornato a cadenza biennale.

     

    Tra gli FSD rientrano invece le imprese che forniscono servizi digitali di e-commerce, cloud computing e motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale.

     

    Ai sensi dell’art. 12 del d.lgs. n. 65/2018, gli OSE sono tenuti a:

    a) adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni;

    b) adottare misure adeguate per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuita' di tali servizi;

    c) notificare al CSIRT gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti.

    Analoghi obblighi sono previsti dall’art. 14 del d.lgs. n. 65/2018 a carico dei FSD che devono:

    a) identificare e adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano nel contesto dell'offerta dei servizi all'interno dell'Unione Europea;

    b) adottare misure per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi del fornitore di servizi digitali sui servizi offerti all'interno dell'Unione europea, al fine di assicurare la continuità di tali servizi;

    c) notificare al CSIRT gli incidenti aventi un impatto rilevante sulla fornitura di un servizio che essi offrono all'interno dell'Unione Europea.

    Le notifiche degli incidenti rilevanti devono essere effettuate “senza ingiustificato ritardo”, secondo le modalità definite dal CSIRT ed eventualmente da ciascuna autorità NIS di settore con proprie linee guida.

     

    È ammessa inoltre la possibilità per coloro che non rientrano nella definizione di OSE né in quella di FSD di effettuare la notifica su base volontaria secondo le modalità previste dall’art. 17 del d.lgs. n. 65/2018.

     

    Sia gli OSE che gli FSD sono infine tenuti a fornire le informazioni necessarie per valutare la sicurezza della loro rete e dei loro sitemi informativi e a porre rimedio ad ogni mancato adempimento o carenza rilevata.

     

    A vigilare sull’applicazione della Direttiva NIS è l’Agenzia (nella cui struttura – come detto – è inserito il CSIRT), designata dall’art. 7 del d.lgs. n. 65/2018 quale autorità nazionale competente NIS e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi. Sono invece designate quali autorità di settore (che collaborano con l’autorià nazionale competente NIS).

    a) il Ministero dello sviluppo economico per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonché per i servizi digitali;

    b) il Ministero delle infrastrutture e della mobilità sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d'acqua e su strada;

    c) il Ministero dell'economia e delle finanze, per il settore bancario e per il settore infrastrutture dei mercati finanziari;

    d) il Ministero della salute, per l'attività di assistenza sanitaria prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso, e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità sanitarie territorialmente competenti, per le attività di assistenza sanitaria prestata dagli operatori autorizzati e accreditati dalle Regioni o dalle Province autonome negli ambiti territoriali di rispettiva competenza;

    e) il Ministero della transizione ecologica per il settore energia, sottosettori energia elettrica, gas e petrolio;

    f) il Ministero della transizione ecologica e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità territorialmente competenti, in merito al settore fornitura e distribuzione di acqua potabile.

    In caso di mancato rispetto degli obblighi previsti dalla Direttiva NIS sono previste sanzioni amministrative fino a euro 150.000 che sono irrogate dall’autorità nazionale competente NIS.

     

    Segnaliamo che alla luce di alcune criticità emerse in questi primi anni di attuazione della Direttiva NIS, la Commissione Europea ha presentato una proposta di revisione della stessa (denominata Direttiva NIS 2), la quale prevede tra le altre cose: notifiche degli incidenti con impatto rilevante entro il termine di 24 ore; estensione dell’ambito soggettivo di applicazione a produttori di dispositivi medici, operatori della gestione dei rifiuti e gestori di servizi postali; OSE identificati direttamente dalla Direttiva e non dagli Stati membri; sanzioni decise dagli Stati membri maggiorate però fino ad un massimo di 10 milioni di euro o al 2% del fatturato totale annuo globale dell’impresa interessata.

     

     

     

    Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Paolo GallaratiGiulio Uras e Marco Cappa.

    Italian Insurtech Summit 2024
    21-22 novembre 202409.00-21.00Milano LUISS Hub Jacopo Arnaboldi parteciperà all…
    Approfondisci
    30° convegno RIB - Assigeco
    Venerdì 18 ottobre 202411.30 - 12.30 Antonia Di Bella parteciperà al 30° conveg…
    Approfondisci
    Canada, per le Pmi un territorio da esplorare. Ma promettente
    Il commento di Paolo Quattrocchi su Il Sole 24 Ore.
    Approfondisci
    Cresce il numero dei Partner in ADVANT Nctm con 4 nuove promozioni
    ADVANT Nctm rafforza la compagine societaria con la nomina di Roberto de Nardis …
    Approfondisci
    Artificial Intelligence Act – una panoramica
    1.Introduzione Nel mese di aprile 2021 la Commissione europea ha avanzato una proposta di regolamento sull'Intelligenza Artificiale (di seguito, “Artificial Intelligence Act” o “AIA”). L’AIA si propone…
    Approfondisci
    Crisi Ucraina | Le misure sanzionatorie (aggiornato al 7 agosto 2023)
    Il presente memorandum non ha pretesa di esaustività ed ha il solo scopo di fornire una panoramica preliminare in merito alle sanzioni imposte e in via di imposizione nei confronti della Russia, con partic…
    Approfondisci
    ADVANT Nctm rafforza la compagine societaria con l’ingresso di Piero Francesco Viganò
    ADVANT Nctm rafforza la compagine societaria con l’ingresso di Piero Francesco Viganò, proveniente da Gitti and Partners, in cui ha ricoperto per diversi anni il ruolo di esperto nel settore Energy & Utili…
    Approfondisci
    ADVANT Nctm rafforza la compagine societaria con l’ingresso di Piero Francesco Viganò
    ADVANT Nctm rafforza la compagine societaria con l'ingresso di Piero Francesco Viganò, proveniente da Gitti and Partners, in cui ha ricoperto per diversi anni il ruolo di esperto nel settore Energy & Utili…
    Approfondisci
    ADVANT Nctm rafforza la compagine societaria con 3 nuove promozioni
    ADVANT Nctm rafforza la compagine societaria con la nomina di  Jacopo Arnaboldi, Miranda Cellentani, ed Eleonora Parrocchetti come Equity Partner dello Studio, nelle sedi di Milano e Roma. La promozione…
    Approfondisci