Il Cdm approva in via preliminare lo schema di decreto legislativo che recepisce la Direttiva Nis 2

La Direttiva NIS2 (UE) 2022/2555 (NIS 2) (Network and Information Systems Directive) è una normativa europea che mira a garantire un elevato livello di sicurezza delle reti e dei sistemi informatici nell’Unione Europea.

Originariamente la Direttiva è stata adottata nel 2016, (UE) 2016/1148 (NIS), tuttavia, per rispondere alle nuove sfide digitali e migliorare la protezione delle infrastrutture critiche, è stata recentemente rivista.

In particolare, la nuova Direttiva (NIS 2), che abroga la precedente (NIS), è stata adottata al fine di rafforzare il quadro della sicurezza cibernetica a livello europeo, aumentando la sicurezza delle infrastrutture tecnologiche e combattendo in maniera efficace i rischi causati dal cosiddetto cyber crime .

Per il suo sviluppo sono stati individuati quattro principi chiave:

• Protezione dei dati personali

• Diritti fondamentali

• Safety

• Cybersecurity

A livello europeo si riconosce che la sicurezza delle reti e dei sistemi informatici è fondamentale per il funzionamento di settori chiave come energia, trasporti, servizi finanziari, sanità e telecomunicazioni, posto che un attacco informatico a una di queste infrastrutture critiche potrebbe avere conseguenze disastrose per l’economia e la società nel suo complesso.

La NIS 2 introduce una serie di obblighi per gli Stati membri dell’UE e per gli operatori di infrastrutture critiche al fine di garantire la sicurezza dei sistemi informatici.

Questi obblighi includono:

1. Identificazione delle infrastrutture critiche: gli Stati membri devono identificare le infrastrutture critiche presenti sul loro territorio, ad esempio le reti energetiche, i sistemi sanitari o le reti di comunicazione;

2. Adozione di misure di sicurezza adeguate: gli operatori di infrastrutture critiche devono adottare misure di sicurezza adeguate a proteggere i loro sistemi informatici da attacchi informatici. Queste misure devono includere la gestione dei rischi, la prevenzione degli attacchi e la reazione agli incidenti di sicurezza.

3. Segnalazione di incidenti di sicurezza: gli operatori di infrastrutture critiche devono segnalare gli incidenti di sicurezza alle autorità competenti degli Stati membri. Questo permette di monitorare e rispondere in modo tempestivo agli attacchi informatici.

4. Cooperazione tra gli Stati membri: la NIS 2 promuove la cooperazione tra gli Stati membri dell’UE per affrontare le minacce informatiche transfrontaliere. Gli Stati membri devono condividere informazioni e buone pratiche per migliorare la sicurezza delle reti e dei sistemi informatici. 

Alla luce di quanto sopra indicato, si rileva come la NIS 2 rappresenta un importante passo avanti nella protezione delle infrastrutture critiche dell’UE da attacchi informatici.

Tuttavia, è importante sottolineare che la sicurezza informatica è un processo continuo e in continua evoluzione. Gli Stati membri e gli operatori di infrastrutture critiche devono rimanere vigili e adottare misure di sicurezza sempre più sofisticate per far fronte alle minacce emergenti nel mondo digitale.

Dalla lettura dello schema di decreto legislativo approvato in via preliminare dal Consiglio dei ministri per il recepimento a livello nazionale della NIS 2 si rappresentano le seguenti considerazioni.

Nel rispetto della volontà europea è stata condivisa la volontà di elevare il livello di sicurezza informatica e di assicurare una resilienza ottimale di fronte alle minacce cibernetiche.

Vengono implementati specifici obblighi in merito alla predisposizione di strumenti idonei a consentire agli enti e alle imprese di mappare le proprie vulnerabilità e di conoscere da dove possono venire le minacce, con l’obiettivo di fornire una guida concreta per la prevenzione, il rilevamento precoce, la risposta efficace e la ripresa rapida in caso di attacchi informatici.

Resta inteso che il presente decreto lascia impregiudicata la responsabilità dello Stato italiano di tutelare la sicurezza nazionale e il suo potere di salvaguardare altre funzioni essenziali dello Stato, tra cui la garanzia dell’integrità territoriale dello Stato e il mantenimento dell’ordine pubblico.

Il decreto definisce il relativo ambito di applicazione il quale è rivolto ai medesimi destinatari individuati dalla NIS 2 e predispone gli adempimenti insistenti su questi ultimi.

Restano esclusi dal suo ambito di applicazione gli enti della pubblica amministrazione che operano nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati; inoltre, prevede la possibilità di escludere specifici soggetti critici che svolgono attività di tali settori ovvero che forniscono servizi esclusivamente agli enti della pubblica amministrazione sopra citati.

Con riferimento ai previsti adempimenti, nel periodo intercorrente dal 1° gennaio al 28 febbraio di ogni anno (prima scadenza 2025), i soggetti destinatari sono tenuti alla registrazione, con successivo aggiornamento, della propria registrazione sulla piattaforma digitale, resa disponibile dall’Autorità nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite all’Agenzia per la cybersicurezza nazionale.

Tramite la valutazione dei dati raccolti nella piattaforma digitale, l’Autorità nazionale competente NIS comunica ai soggetti registrati l’inserimento, la permanenza o l’eliminazione dall’elenco dei soggetti essenziali o importanti.

Il decreto individua i c.d. soggetti critici almeno nei seguenti settori: energia, trasporti, bancario, acque potabili, acque reflue, produzione, trasformazione e distribuzione di alimenti, salute, spazio, infrastrutture dei mercati finanziari e infrastrutture digitali, nonché alcuni enti della pubblica amministrazione. 

I soggetti sopra individuati dovranno effettuare una valutazione del rischio, adottare misure tecniche, di sicurezza e organizzative, adeguate e proporzionate per garantire la propria resilienza, nonché ripristinare le proprie capacità operative in caso di incidenti.

Sono tenuti a notificare senza indebito ritardo all’autorità competente gli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali.

Conformemente alle indicazioni europee è stata predisposta l’adozione di una strategia contenente le misure volte a consentire di reagire rapidamente e adeguatamente agli incidenti (di carattere fisico).

Vengono stabilite procedure comuni di cooperazione e comunicazione sull’applicazione della direttiva, posto che deve essere assicurato il coordinamento con la normativa in materia di sicurezza cibernetica di cui alla NIS 2.

Si evidenzia l’interessante tratto collaborativo che il decreto si propone di realizzare tra i soggetti destinatari dello stesso ed eventuali ulteriori soggetti, nella considerazione che quest’ultimi, mediante la conclusione di accordi di condivisione delle informazioni sulla sicurezza informatica che tengono conto della natura potenzialmente sensibile delle informazioni condivise, possono scambiarsi, su base volontaria, pertinenti informazioni sulla sicurezza informatica, al fine di prevenire o rilevare gli incidenti o mitigarne l’impatto, nonché aumentare il livello di sicurezza informatica.

Resta in capo all’Autorità nazionale competente NIS l’attività di monitoraggio sull’attuazione degli obblighi di cui al presente decreto da parte dei soggetti che rientrano nel suo ambito di applicazione, implementando, altresì, interventi di supporto per i soggetti medesimi.

La suddetta attività risulta essere preliminare e necessaria ai fini dell’esercizio dei poteri sanzionatori riconosciuti alla predetta Autorità.

Alla luce delle suesposte considerazioni, si ritiene che il nostro paese, nell’attività di recepimento delle indicazioni europee, abbia inteso adottare tutti gli strumenti idonei e necessari per garantire un elevato livello di cybersicurezza.

Resta inteso, apparendo a tratti una raccomandazione, che l’esaustivo raggiungimento di tale obiettivo è possibile attraverso una fattiva e positiva collaborazione tra tutte le parti cui tale preliminare disegno di decreto è rivolto.

_______
*A cura dell’Avv. Vincenzo Gallotto, Studio Legale Gallotto

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più