Recepimento della Direttiva sulla Sicurezza delle reti e dei sistemi informativi nell’Unione (NIS)

SINTESI

ll Consiglio dell’Unione europea ha pubblicato la versione finale della Direttiva sulla Sicurezza delle reti e dei sistemi informativi nell’Unione il 21 aprile 2016. Se, da una parte, questa deve essere formalmente firmata dal Parlamento europeo in estate, dall’altra è vero però che il testo stesso ha già ricevuto il consenso delle tre istituzioni dell’UE e non si prevedono cambiamenti. Gli Stati membri sono ora tenuti a recepire questo testo nella propria legislazione nazionale entro 21 mesi dalla sua adozione. Allo scopo di agevolare questo processo, mettiamo a vostra disposizione nell’Appendice una guida alle migliori prassi che illustrano come recepire gli aspetti rilevanti per l’industria dell’informatica e come riflettere effettivamente le intenzioni di coloro che hanno redatto il testo.

La direttiva NIS dell’Unione europea è la prima legislazione paneuropea sulla sicurezza informatica; si concentra sul rafforzamento delle autorità informatiche, incrementandone il coordinamento, e introduce requisiti di sicurezza per i settori industriali chiave.

Ciascuna legislazione nazionale che la adotti non dovrebbe perdere di vista i due obiettivi principali della Direttiva: (1) garantire un livello elevato di sicurezza informatica delle infrastrutture critiche del paese; (2) porre in essere un meccanismo di cooperazione tra gli Stati membri dell’UE al fine perseguire ulteriormente questo obiettivo. Le risorse dovrebbero essere innanzitutto rivolte al perseguimento di questi due importanti obiettivi.

Per l’industria informatica, le disposizioni relative ai cosiddetti DSP ovvero i fornitori di servizi digitali sono di particolare interesse. La Direttiva stabilisce chiaramente che vi sono differenze fondamentali tra gli operatori di servizi essenziali (OES) ed i fornitori di servizi digitali (DSP). Infatti, questi ultimi non sono da considerare infrastrutture critiche in quanto tali. Come riconosciuto dalla legislazione, un incidente che abbia un impatto su questi servizi digitali apporterebbe un livello di rischio alla sicurezza economica e pubblica di un paese decisamente inferiore. Mantenere la distinzione è fondamentale al fine di utilizzare efficacemente ed efficientemente le scarse risorse a disposizione delle autorità che dovranno controllare l’attuazione delle regole ed applicarle.

Ne consegue che riserviamo una grande attenzione al campo di attuazione dei servizi in questione e chiediamo ai politici di non sottoporre settori diversi da quelli identificati come DSP e OES ai requisiti di sicurezza, nella legislazione nazionale.

In merito alla giurisdizione, i DSP dovrebbero essere in grado di fare riferimento alla legislazione vigente nel paese dove sono insediati in via principale anche nei casi in cui siano coinvolte le autorità competenti di più paesi. In fatto di sorveglianza, le autorità competenti dovrebbero seguire un approccio ex-post invece d’imporre un obbligo generale di supervisione dei DSP. Inoltre, dovrebbero concentrarsi sui risultati e mantenere la distinzione tra OES e DSP non assoggettando questi ultimi a requisiti non previsti dalla Direttiva, quali audit e istruzioni cogenti.

Le misure di sicurezza applicate ai DSP dovrebbero differire da quelle per gli OES, dal momento che la Direttiva afferma che questi rappresentano un rischio di sicurezza considerevolmente inferiore. I decisori dovrebbero raggiungere l’obiettivo di armonizzare questi servizi, riconoscere gli standard internazionali esistenti e portati avanti dalle realtà industriali, evitare mandati sulla tecnologia e rispettare il diritto dei DSP alla definizione delle misure di sicurezza più appropriate per i propri sistemi, come contemplato dalla Direttiva. La segnalazione degli incidenti dovrebbe anch’essa essere armonizzata il più possibile a livello europeo e dovrebbe concentrarsi sugli incidenti che abbiano un impatto sulla continuità del servizio, rispettare la flessibilità in fatto di notifica e creare un ambiente di fiducia che incoraggi la condivisione d’informazioni senza esporre la parte notificante a maggiori responsabilità.

Le misure imposte agli OES avranno anch’esse un impatto su altri settori industriali poiché le misure di sicurezza e le segnalazioni degli incidenti saranno contemplate tra le regole del contratto. Ciò vale particolarmente per i servizi cloud. Ne consegue che i DSP potrebbero essere indirettamente soggetti alle leggi nazionali dei loro clienti; abbiamo pertanto un grande interesse nel vedere misure di sicurezza riconosciute a livello internazionale applicate a questi servizi. Proponiamo inoltre il massimo coordinamento e sinergie possibili tra gli obblighi di segnalazione sia per gli OES che per i DSP, visto che è molto probabile che questi ultimi siano soggetti a doppia notifica.

La Direttiva ambisce a raggiungere un alto livello comune di sicurezza delle reti e sistemi d’informazione al fine di migliorare il funzionamento del mercato interno. Al fine di raggiungere questo ambizioso obiettivo, i recepimenti nazionali dovrebbero concentrarsi su un approccio basato sul rischio, armonizzato ed internazionale che consenta ai privati la flessibilità di adeguarsi ad un ambiente di rischio in continuo mutamento, che consenta alle autorità informatiche di concentrare le limitate risorse sulle sfide più significative, e che riconosca che la soluzione a problemi che non conoscono frontiere debba essere globale. Speriamo che questa guida sia uno strumento utile a questo fine e restiamo a vostra disposizione per qualunque ulteriore domanda che potreste avere in merito.