Il quarto contributo sulla normativa italiana in materia di cybersecurity. In questo contributo, gli obblighi previsti dalla Direttiva NIS sulla sicurezza delle reti e dei sistemi informativi a carico degli operatori di servizi essenziali e dei fornitori di servizi digitali.
La Direttiva (UE) 2016/1148 sulla sicurezza delle reti e dei sistemi informativi (la “Direttiva NIS”), recepita in Italia ad opera del d.lgs. n. 65/2018, stabilisce misure volte a conseguire un livello elevato in termini di sicurezza delle reti e dei sistemi informativi utilizzati dagli operatori di servizi essenziali (“OSE”) e dai fornitori di servizi digitali (“FSD”).
Gli OSE sono i soggetti che forniscono un servizio essenziale per il mantenimento di attività sociali e/o economiche fondamentali nei settori dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, sanitario, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. Essi sono individuati, con propri provvedimenti, dalle autorità NIS. L’elenco recante i nominativi degli OSE è tenuto presso il Ministero dello Sviluppo Economico ed è aggiornato a cadenza biennale.
Tra gli FSD rientrano invece le imprese che forniscono servizi digitali di e-commerce, cloud computing e motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale.
Ai sensi dell’art. 12 del d.lgs. n. 65/2018, gli OSE sono tenuti a:
a) adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni;
b) adottare misure adeguate per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuita' di tali servizi;
c) notificare al CSIRT gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti.
Analoghi obblighi sono previsti dall’art. 14 del d.lgs. n. 65/2018 a carico dei FSD che devono:
a) identificare e adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano nel contesto dell'offerta dei servizi all'interno dell'Unione Europea;
b) adottare misure per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi del fornitore di servizi digitali sui servizi offerti all'interno dell'Unione europea, al fine di assicurare la continuità di tali servizi;
c) notificare al CSIRT gli incidenti aventi un impatto rilevante sulla fornitura di un servizio che essi offrono all'interno dell'Unione Europea.
Le notifiche degli incidenti rilevanti devono essere effettuate “senza ingiustificato ritardo”, secondo le modalità definite dal CSIRT ed eventualmente da ciascuna autorità NIS di settore con proprie linee guida.
È ammessa inoltre la possibilità per coloro che non rientrano nella definizione di OSE né in quella di FSD di effettuare la notifica su base volontaria secondo le modalità previste dall’art. 17 del d.lgs. n. 65/2018.
Sia gli OSE che gli FSD sono infine tenuti a fornire le informazioni necessarie per valutare la sicurezza della loro rete e dei loro sitemi informativi e a porre rimedio ad ogni mancato adempimento o carenza rilevata.
A vigilare sull’applicazione della Direttiva NIS è l’Agenzia (nella cui struttura – come detto – è inserito il CSIRT), designata dall’art. 7 del d.lgs. n. 65/2018 quale autorità nazionale competente NIS e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi. Sono invece designate quali autorità di settore (che collaborano con l’autorià nazionale competente NIS).
a) il Ministero dello sviluppo economico per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonché per i servizi digitali;
b) il Ministero delle infrastrutture e della mobilità sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d'acqua e su strada;
c) il Ministero dell'economia e delle finanze, per il settore bancario e per il settore infrastrutture dei mercati finanziari;
d) il Ministero della salute, per l'attività di assistenza sanitaria prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso, e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità sanitarie territorialmente competenti, per le attività di assistenza sanitaria prestata dagli operatori autorizzati e accreditati dalle Regioni o dalle Province autonome negli ambiti territoriali di rispettiva competenza;
e) il Ministero della transizione ecologica per il settore energia, sottosettori energia elettrica, gas e petrolio;
f) il Ministero della transizione ecologica e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità territorialmente competenti, in merito al settore fornitura e distribuzione di acqua potabile.
In caso di mancato rispetto degli obblighi previsti dalla Direttiva NIS sono previste sanzioni amministrative fino a euro 150.000 che sono irrogate dall’autorità nazionale competente NIS.
Segnaliamo che alla luce di alcune criticità emerse in questi primi anni di attuazione della Direttiva NIS, la Commissione Europea ha presentato una proposta di revisione della stessa (denominata Direttiva NIS 2), la quale prevede tra le altre cose: notifiche degli incidenti con impatto rilevante entro il termine di 24 ore; estensione dell’ambito soggettivo di applicazione a produttori di dispositivi medici, operatori della gestione dei rifiuti e gestori di servizi postali; OSE identificati direttamente dalla Direttiva e non dagli Stati membri; sanzioni decise dagli Stati membri maggiorate però fino ad un massimo di 10 milioni di euro o al 2% del fatturato totale annuo globale dell’impresa interessata.
Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Paolo Gallarati, Giulio Uras e Marco Cappa.