Dopo il GDPR, ecco la Direttiva NIS sulla cybersecurity recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nella UE.

Il 9 maggio 2018 è scaduto il termine entro il quale gli Stati membri dell’Unione Europea dovranno dare attuazione alla Direttiva (UE) 2016/1148, (la “Direttiva”).

In Italia la Diretyiva è stata recepita con Decreto Legislativo 65/2018 ed è entrata in vigore il 24 giugno.

Si tratta di un ulteriore sforzo che le aziende, dopo l’applicazione del Regolamento UE 679/2016 (“GDPR“), dovranno fare per adeguarsi alla nuova normativa comunitaria.

I destinatari del provvedimento possono essere suddivisi in due categorie:

a) fornitori di servizi digitali;

b) operatori di servizi essenziali.

I criteri per l’identificazione degli operatori di servizi essenziali di cui all’articolo 4, punto 4 della Direttiva, sono i seguenti:

a) un soggetto fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali;

b) la fornitura di tale servizio dipende dalla rete e dai sistemi informativi; e

c) un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio.

La Direttiva demanda a ciascuno stato membro il compito di identificare in dettaglio l’elenco dei servizi di cui alla lettera a) sopra e di cui all’Allegato II della Direttiva.

Per valutare se un incidente possa avere effetti negativi rilevanti sulla fornitura del servizio, gli Stati membri devono tenere conto almeno dei seguenti fattori intersettoriali:

a) il numero di utenti che dipendono dal servizio fornito dal soggetto interessato;

b) la dipendenza di altri settori di cui all’allegato II della Direttiva dal servizio fornito da tale soggetto;

c) l’impatto che gli incidenti potrebbero avere, in termini di entità e di durata, sulle attività economiche e sociali o sulla pubblica sicurezza;

d) la quota di mercato di detto soggetto;

e) la diffusione geografica relativamente all’area che potrebbe essere interessata da un incidente;

f) l’importanza del soggetto per il mantenimento di un livello sufficiente del servizio, tenendo conto della disponibilità di strumenti alternativi per la fornitura di tale servizio.

Per quanto riguarda, invece, i servizi digitali, essi sono definiti nell’Allegato III della Direttiva e sono:

1. Motori di ricerca;
2. Mercato on line;
3. Servizi di cloud computing (che curiosamente i traduttori della Commissione Europea traducono “Servizi nella Nuvola”)

La definizione esatta dei soggetti a cui la norma verrà applicata, avverrà il 9 novembre 2018 a cura dei Ministeri interessati (Infrastrutture e Trasporti, Sviluppo economico, Salute, Economia e Ambiente).

In effetti alcuni (molti) obblighi previsti sia per i fornitori di servizi digitali che per quelli di servizi essenziali, pare richiamare le prescrizioni del GDPR.

Si noti in particolare, la parte relativa alla sicurezza adeguata al rischio e alla norifica alle autorità competenti senza ingiustificato ritardo, degli incidenti aventi un impatto rilevante.

E’ quindi opportuno affrontare la Direttiva e il GDPR, nonchè la normativa correlata (si veda il Regolamento di esecuzione 2018/151 del 30 gennaio 2018 e le varie norme nazionali di riferimento) con una visione di insieme.

In particolare in Italia, il Parlamento ha attribuito al Governo la delega per l’attuazione della Direttiva con Legge 163/2017 del 25 ottobre 2017.

L’importanza della nuova normativa comunitaria in materia di Cybersecurity, è  ben precisato nei considerando della Direttiva stessa.

La portata, la frequenza e l’impatto degli incidenti a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali sistemi possono inoltre diventare un bersaglio per azioni intenzionalmente tese a danneggiare o interrompere il funzionamento dei sistemi. Tali incidenti possono impedire l’esercizio delle attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all’economia dell’Unione.

Le reti e i sistemi informativi, e in prima linea internet, svolgono un ruolo essenziale nell’agevolare i movimenti transfrontalieri di beni, servizi e persone. Tenendo conto di questa dimensione transnazionale, gravi perturbazioni di tali sistemi, intenzionali o meno e indipendentemente dal luogo in cui si verificano, possono ripercuotersi su singoli Stati membri e avere conseguenze in tutta l’Unione. La sicurezza delle reti e dei sistemi informativi è quindi essenziale per l’armonioso funzionamento del mercato interno.

Le capacità esistenti non bastano a garantire un livello elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. I livelli di preparazione negli Stati membri sono molto diversi tra loro il che ha comportato una frammentazione degli approcci nell’Unione. Ne deriva un livello disomogeneo di protezione dei consumatori e delle imprese che compromette il livello globale di sicurezza delle reti e dei sistemi informativi nell’Unione. La mancanza di obblighi comuni imposti agli operatori di servizi essenziali e ai fornitori di servizi digitali rende inoltre impossibile la creazione di un meccanismo globale ed efficace di cooperazione a livello dell’Unione.

Per una risposta efficace alle sfide in materia di sicurezza delle reti e dei sistemi informativi è pertanto necessario un approccio globale a livello di Unione, che contempli la creazione di una capacità minima comune e disposizioni minime in materia di pianificazione, scambio di informazioni, cooperazione e obblighi comuni di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali.

Nulla osta tuttavia a che gli operatori di servizi essenziali e i fornitori di servizi digitali applichino misure di sicurezza che siano più rigorose di quelle previste ai sensi della presente direttiva.