La digitalizzazione che sta caratterizzando ogni ambito socio-economico porta con sé un incremento esponenziale dei rischi di attacchi informatici. Stiamo assistendo ad un trend di crescita massiccio e sicuramente allarmante tanto che il World Economic Forum ha collocato i rischi informatici tra i tre più grandi problemi del 2018, assieme ai disastri naturali causati dal riscaldamento globale e al rischio guerra.
Per fare fronte comune contro il cyber crimine, l’Unione europea il 6 luglio 2016 ha adottato la direttiva 2016/1148 (la cosiddetta direttiva NIS), recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. Si tratta della prima iniziativa con la quale le istituzioni europee hanno affrontato le sfide in materia di cyber sicurezza, rivoluzionando la resilienza e la cooperazione in Europa.
Partendo dalla constatazione del ruolo vitale ricoperto dalle reti e dai sistemi e dai servizi informativi nella società, la direttiva riconosce come essenziale che essi siano affidabili e sicuri per le attività economiche e sociali e in particolare ai fini del funzionamento del mercato interno. A tal fine: 1) obbliga gli Stati membri ad adottare una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi; 2) istituisce un gruppo di cooperazione – con l’obiettivo di sostenere e agevolare la cooperazione strategica e lo scambio di informazioni tra Stati membri e di sviluppare la fiducia tra di essi – composto da rappresentanti degli Stati membri, della Commissione e dell’ENISA e che svolge i suoi compiti sulla base di programmi di lavoro biennali; 3) crea una rete di gruppi di intervento per la sicurezza informatica in caso di incidente per contribuire allo sviluppo della fiducia tra Stati membri e promuovere una cooperazione operativa rapida ed efficace; 4) stabilisce obblighi di sicurezza e di notifica per gli operatori di servizi essenziali e per i fornitori di servizi digitali; 5) obbliga gli Stati membri ad individuare autorità nazionali competenti, punti di contatto unici e CSIRT (Computer Security Incident Response Team) con compiti connessi alla sicurezza della rete e dei sistemi informativi.
La strategia nazionale, in particolare, deve affrontare una serie di aspetti ed in particolare gli obiettivi e le priorità, un quadro di governance adeguato, l’individuazione delle misure di preparazione, risposta e recupero, inclusa la collaborazione tra settore pubblico e settore privato, l’indicazione di programmi di formazione, sensibilizzazione ed istruzione, piani di ricerca e sviluppo, un piano di valutazione dei rischi (art. 7). La direttiva NIS richiede altresì agli Stati di designare una o più autorità competenti per il controllo dell’applicazione della direttiva stessa a livello nazionale. Un singolo punto di contatto dovrà essere designato da ognuno degli Stati membri, con il compito di assicurare la cooperazione internazionale e di collegarsi con gli altri Stati attraverso meccanismi di cooperazione identificati della direttiva stessa. Ogni Stato infine deve designare uno o più CSIRT (Computer Security Incident Response Team) responsabili del monitoraggio degli incidenti a livello nazionale, fornendo allarmi tempestivi, avvisi ed annunci con lo scopo di diffondere informazioni su rischi ed incidenti.
Elemento cardine dell’impianto disegnato dalla direttiva è la cooperazione tra i vari enti dei singoli Stati membri. A tal fine è stato individuato un gruppo di cooperazione composto da rappresentati degli Stati membri, dalla Commissione e dall’ENISA con quattro aree di lavoro e, in particolare, pianificazione, guida, segnalazione e condivisione. L’ultimo dei punti principali della direttiva riguarda gli operatori dei servizi essenziali per la Nazione e i fornitori di servizi digitali. Si tratta di aziende pubbliche o private che operano nell’energia, nei trasporti, nel settore bancario e sanitario, nelle infrastrutture dei mercati finanziari, nella fornitura e distribuzione di acqua potabile e nelle infrastrutture digitali sulle quali graverà, ai sensi della direttiva, l’obbligo di dotarsi di misure di sicurezza che comprendono: prevenzione dei rischi; garantire la sicurezza dei sistemi, delle reti e delle informazioni; capacità di gestire gli incidenti. Anche i fornitori di servizi digitali – intendendo per servizi digitali mercato online, motore di ricerca online e servizi nella nuvola (cloud computing) – saranno tenuti, secondo la direttiva NIS, ad attuare misure di sicurezza appropriate e a notificare incidenti rilevanti. Oltre alle misure già previste per gli operatori di servizi essenziali, le misure di sicurezza relative ai fornitori di servizi digitali prevedono alcuni fattori specifici, come ad esempio la sicurezza dei sistemi e degli impianti, la gestione della continuità operativa, il monitoraggio e i test e la conformità a norme internazionali.
In questa lotta al crimine informatico l’Italia che ruolo sta giocando? Nel 2017 sono stati adottati alcuni provvedimenti propedeutici o preparatori all’adozione delle misure prescritte dalla direttiva NIS quali il Decreto del Presidente del Consiglio dei Ministri 17 febbraio 2017 “direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali“ (il cosiddetto “DPCM Gentiloni”), che ha tra l’altro riorganizzato l’architettura per la protezione dello spazio cibernetico nazionale, e il nuovo “Piano nazionale per la protezione cibernetica e la sicurezza informatica” del marzo 2017 che ha aggiornato gli indirizzi e le direttive stabilite col precedente Piano del 2013 proprio in vista delle indicazioni presenti nella direttiva NIS.
L’iter di recepimento della direttiva va completato entro il 9 maggio 2018 e diversamente da Stati come Germania, Repubblica Ceca e Regno Unito, dove il processo di recepimento è già stato completato o è in fase di ultimazione, nel nostro Paese la strada da percorrere è ancora abbastanza lunga. L’8 febbraio scorso, il Consiglio dei Ministri ha finalmente approvato, in via preliminare, lo schema di Decreto Legislativo che dovrebbe attuare in Italia la direttiva NIS. Il testo approvato è stato però reso pubblico solo il 22 febbraio con la trasmissione alle Commissioni parlamentari competenti. Si tratta di un intervento di primaria importanza considerati i tempi ormai strettissimi per completare l’iter di recepimento della direttiva NIS.
Guardando all’ambito applicativo, il primo aspetto che salta all’occhio è che, nonostante la direttiva NIS consenta agli Stati membri di estendere l’ambito di applicazione delle proprie disposizioni anche a settori diversi da quelli dalla stessa elencati, il governo ha scelto di non esercitare tale facoltà, limitandosi a riproporre gli stessi settori previsti dalla direttiva (ossia energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali; nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico). Per quanto attiene l’attuazione dell’art. 7 della direttiva ed in particolare la strategia nazionale di sicurezza cibernetica, lo schema di decreto legislativo prevede l’adozione di una strategia nazionale di sicurezza cibernetica da parte del Presidente del Consiglio dei Ministri che preveda le misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, la definizione di un piano di valutazione dei rischi informatici e programmi di formazione e sensibilizzazione in materia di sicurezza informatica. Si tratta, a ben vedere, di elementi in grande parte già declinati nel Piano nazionale del 2017 il cui testo sarà forse oggetto di aggiornamento così da affrontare dettagliatamente tutti aspetti di cui al citato art. 7.
Per quanto attiene, invece, alla designazione delle autorità nazionali competenti e del punto di contatto unico, il modello prescelto dal governo è di tipo moderatamente decentrato. E infatti, quali “autorità competenti NIS” sono individuati ben 5 Ministeri (sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente). Il Dipartimento delle informazioni per la sicurezza (DIS) è invece incaricato di svolgere le funzioni del punto di contatto unico (art. 7 c.3 dello schema) ai sensi dell’art. 8 della direttiva. Lo schema di decreto legislativo dispone, inoltre, la creazione, presso la Presidenza del Consiglio dei Ministri, di un unico Computer Security Incident Response Team, detto CSIRT italiano, che sostituirà, andandoli ad inglobare, gli attuali CERT Nazionale (operante presso il Ministero dello Sviluppo Economico) e CERT-PA (operante presso l’Agenzia per l’Italia Digitale) – la cui organizzazione e funzionamento saranno disciplinati mediante decreto del Presidente del Consiglio dei Ministri – con compiti “di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con gli altri CSIRT europei” (v. avv. Luca Tosoni, https://www.agendadigitale.eu/sicurezza/attuazione-della-direttiva-nis-lo-lo-schema-decreto-legislativo).
Quanto all’identificazione degli operatori di servizi essenziali – da effettuarsi ad opera dei Ministeri sopra indicati entro il 9 novembre 2018 – lo schema di decreto legislativo ripropone gli stessi criteri di cui all’art. 5 della direttiva e dunque: 1) fornitura di un servizio essenziale per il mantenimento di attività sociali e/o economiche fondamentali; 2) dipendenza di tale servizio dalla rete e dai sistemi informativi; 3) effetti negativi rilevanti sulla fornitura di tale servizio in caso di incidente informatico, da valutarsi secondo i parametri indicati all’art. 6 della direttiva. Molto importante evidenziare come lo schema, al fine di assicurare un’applicazione armonizzata delle direttiva ed un trattamento uniforme di quei soggetti che operano in più Stati membri, precisi che, nell’individuazione di tali operatori, le autorità competenti NIS dovranno anche tenere conto delle indicazioni del Gruppo di Cooperazione, istituito dall’art. 11 della direttiva. Anche con riguardo all’individuazione degli obblighi in materia di sicurezza gravanti sugli operatori di servizi essenziali lo schema di decreto legislativo non si spinge oltre i generici obblighi di sicurezza previsti dalla direttiva all’articolo 14 per cui gli operatori di servizi essenziali dovranno adottare misure tecnico-organizzative “adeguate” alla gestione dei rischi e alla prevenzione degli incidenti informatici con la specifica indicazione di tenere in debita considerazione le linee guida che verranno predisposte dal Gruppo di Cooperazione. Le autorità competenti NIS potranno tuttavia imporre l’adozione di misure di sicurezza specifiche, sentiti gli operatori di servizi essenziali. È quindi probabile la formulazione, a breve, di indicazioni più puntali riguardo alle misure di sicurezza da adottare. Analoghi obblighi in materia di sicurezza sono previsti a carico dei fornitori di servizi digitali. Per quanto concerne gli obblighi di notifica, lo schema di decreto legislativo dispone, operando una scelta senza dubbio ispirata ad efficienza, che gli operatori di servizi essenziali inoltrino al CSIRT (e per conoscenza all’ autorità competente NIS del proprio settore) le notifiche di incidenti informatici con impatto rilevante sui servizi forniti (analogo obbligo è previsto anche a carico dei fornitori di servizi digitali) “senza ingiustificato ritardo”, rinunciando dunque alla fissazione di un termine perentorio. A tale riguardo lo schema di decreto prevede anche che le autorità competenti NIS possano predisporre linee guida per la notifica degli incidenti. Con riguardo, infine, al regime sanzionatorio, premesso che la direttiva NIS garantisce agli Stati ampia discrezionalità riguardo al tipo e alla natura delle sanzioni applicabili, ferma restando la necessità che esse siano effettive, proporzionate e dissuasive (art. 21 della direttiva), il governo ha stabilito che le autorità competenti potranno applicare sanzioni amministrative fino a 150.000 euro in caso di violazione da parte degli operatori di servizi essenziali (e dei fornitori di servizi digitali) degli obblighi previsti dal decreto adeguandosi, di fatto, a quanto già previsto da altri Stati membri che hanno già attuato la direttiva. Infatti, la Germania ha previsto sanzioni fino a 100.000 Euro, mentre in Repubblica Ceca le sanzioni salgono fino a circa 200.000 Euro (5 milioni di corone ceche).
Siamo dunque di fronte ad un momento importante. Il Governo ha fatto il suo, non operando innesti rivoluzionari rispetto a quanto previsto dalla direttiva. Ora la parola al Parlamento.