Il 19 luglio scorso il Consiglio dei Ministri ha approvato il disegno di legge in materia di perimetro di sicurezza nazionale. Si tratta di un nuovo, necessario, passo  per l’implementazione della strategia nazionale in materia di cybersecurity.

Come noto, l’Unione Europea, il 6 Luglio 2016, ha adottato la direttiva 2016/1148, la c.d.  Direttiva NIS, Network and Information Security, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione sulla sicurezza delle reti e dei sistemi informativi.

Con la Direttiva, l’Unione Europea ha imposto a tutti gli Stati Membri precisi obblighi che pare utile ripercorrere per correttamente collocare il disegno di legge in commento.

La Direttiva Network and Information Security

La Direttiva, dopo aver preso atto del ruolo essenziale che le reti e i servizi informativi svolgono, ha ritenuto necessario fornire un quadro normativo di riferimento, affinché tali reti e servizi siano affidabili e sicuri. Al contempo, con la Direttiva si istituisce un coordinamento tra gli Stati membri in ragione della potenzialità lesiva transfrontaliera di ogni incidente sulle reti.

A tal fine, e in estrema sintesi, è stato fatto obbligo a tutti gli Stati Membri di:

• adottare una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi che definisca obiettivi, priorità e il quadro di governance necessario per il loro conseguimento, un piano di valutazione dei rischi e un elenco dei vari attori coinvolti;

• identificare i c.d. operatori di servizi essenziali ovvero i soggetti pubblici o privati attivi in specifici settori che forniscono un servizio essenziale per il mantenimento di attività sociali e/o economiche fondamentali, la cui fornitura dipende dalla rete e dai sistemi informativi, e in cui un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio;

• designare:

• una o più autorità nazionali competenti in materia di sicurezza delle reti e dei sistemi informativi per i settori in cui sono attivi gli operatori di servizi essenziali, nonché per i servizi digitali (mercato online, motore di ricerca online e cloud computing)

• un punto di contatto unico, con funzione di collegamento per garantire la citata cooperazione transfrontaliera delle autorità degli Stati membri con le autorità competenti negli altri Stati membri;  nonché

• uno o più gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT).

La cybersecurity in Italia

L’Italia ha dato implementazione alla Direttiva con il decreto legislativo n. 65 del 18 maggio 2018, entrato in vigore il 24 giugno 2018. In particolare, il Decreto ha:

• attribuito al Presidente del Consiglio dei Ministri, sentito il Comitato interministeriale per la sicurezza della Repubblica (CISR), l’adozione della strategia nazionale di sicurezza cibernetica per la tutela della sicurezza delle reti e dei sistemi di interesse nazionale;

• designato come autorità c.d. NIS, per i rispettivi settori di competenza, il Ministero dello Sviluppo Economico, il Ministero delle Infrastrutture e dei Trasporti, il Ministero dell’economia e delle finanze, il Ministero della salute, il Ministero dell’ambiente e della tutela del territorio e del mare e le Regioni e le Province autonome di Trento e di Bolzano;
• investito il Dipartimento delle informazioni per la sicurezza (DIS) della funzione di punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi;
• individuato i criteri per l’identificazione degli operatori di servizi essenziali.

A seguire, il 28 dicembre scorso, il Ministero dello Sviluppo Economico ha annunciato di aver individuato 465 operatori di servizi essenziali.

Il 4 luglio, invece, sono state elaborate le linee guida, da condividere con i suddetti operatori, per la gestione dei rischi e la prevenzione e mitigazione degli incidenti che hanno un impatto rilevante sulla continuità e sulla fornitura dei servizi essenziali.

Il disegno di legge approvato il 19 Luglio, quindi, rappresenta un nuovo tassello del percorso europeo e nazionale in materia di cybersecurity. Infatti, esso si propone di istituire il perimetro di sicurezza nazionale mediante la definizione dei soggetti che ne fanno parte e dei relativi obblighi, delle procedure di notifica degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici, nonché regole per l’eventuale affidamento a terzi di forniture di beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti. 

Osservazioni conclusive

Il “digitale”, per quanto il termine possa avere significato viste le molteplici sfumature che ad esso si accompagnano, sta richiedendo uno sforzo normativo e regolamentare significativo.

La necessità di tutelare le esigenze di sicurezza tecniche, strategiche, geopolitiche e di governane si scontra inevitabilmente con le attuali e potenziali evoluzioni tecnologiche.

Basti pensare, per guardare al nostro Paese, al recente decreto legge 22/2019, che estende alla tecnologia 5G l’applicazione della disciplina in materia di golden powers, e al successivo decreto legge n. 64/2019, che estende i poteri circa le prerogative del Governo di esercizio dei poteri speciali anche al fine di fornire tempi adeguati per una ponderata valutazione dei diversi interessi in gioco.

Nei prossimi mesi si assisterà evidentemente a nuovi interventi, evidentemente non solo in materia di cybersecurity.

La materia è delicata e le sfide significative, il che non può evidentemente impedire di proseguire in un percorso avviato in continuità con l’Unione Europea e sulla base di un’esigenza comune.

Francesca Zambuco
 Socio AIDR