Il 6 luglio 2016, il Parlamento europeo ha adottato la Direttiva (UE) 2016/1148 “Recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione” (Direttiva NIS – Network Information Security). Tramite la Direttiva, l’Unione Europea intende conseguire un livello comune di sicurezza delle reti e dei sistemi informativi, imponendo un approccio uniforme negli Stati membri in materia di pianificazione, scambio di informazioni, cooperazione e obblighi comuni di sicurezza per gli operatori di servizi essenziali (per esempio, energia elettrica, petrolio, gas, fornitura e distribuzione di acqua potabile, ecc.) e i fornitori di servizi digitali. La Direttiva, entrata in vigore nell’agosto 2016, dovrà essere recepita dagli Stati membri entro il prossimo 9 maggio.

Ai sensi della Direttiva, i singoli Stati membri dovranno provvedere a:

  1. adottare una strategia nazionale che definisca misure e obiettivi strategici per il conseguimento e mantenimento di un livello elevato di sicurezza informatica; e
  2. designare (i) l’autorità preposta alla vigilanza sull’applicazione della Direttiva, (ii) un punto di contatto unico per garantire la cooperazione transfrontaliera, e (iii) un gruppo di intervento (CSIRT – Computer Security Incident Response Team) per la gestione degli incidenti informatici.

La Direttiva, inoltre, intende promuovere la cooperazione strategica e lo scambio di informazioni a livello europeo tramite l’istituzione di un gruppo di cooperazione, composto dai rappresentanti degli Stati membri, della Commissione e dell’Agenzia Europea per la sicurezza delle reti e dell’informazione (ENISA). Per le stesse finalità, è prevista l’istituzione di una rete di cooperazione tra le diverse CSIRT nazionali.

Ciascuno Stato membro dovrà identificare entro il 9 novembre 2018 (in base ad una serie di criteri elencati dalla Direttiva) gli operatori di servizi essenziali, che, nel settore dell’energia e delle utilities, sono: i fornitori e i gestori di sistemi di distribuzione e trasmissione di energia elettrica, i gestori di oleodotti e di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio, i fornitori e i gestori di impianti e sistemi di stoccaggio, raffinazione, trattamento, distribuzione e trasmissione di gas naturale, nonché i fornitori e distributori di acqua potabile.

Gli operatori di servizi essenziali dovranno, in primis, adottare misure tecniche ed organizzative adeguate per la gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi, nonché per la prevenzione e minimizzazione dell’impatto di incidenti a carico delle reti e dei sistemi informativi. In secondo luogo, gli stessi avranno l’obbligo di notificare senza indebito ritardo all’autorità nazionale competente o al CSIRT gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali prestati, da valutare in base al numero di utenti interessati, durata e diffusione geografica.

Lo scorso 8 febbraio il Consiglio dei Ministri ha approvato, in via preliminare, lo schema di decreto legislativo per l’attuazione della Direttiva NIS che, successivamente, è stato sottoposto all’esame delle Commissioni speciali istituite presso Camera e Senato.

Lo schema di decreto affida al Presidente del Consiglio dei Ministri l’adozione della strategia nazionale di sicurezza cibernetica che, con tutta probabilità, andrà ad integrare il Piano nazionale per la protezione cibernetica e la sicurezza informatica varato nel 2017. Quali autorità competenti NIS sono stati designati i Ministeri relativi ai settori interessati dalla Direttiva (sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente); come punto di contatto unico è stato designato il Dipartimento delle informazioni per la sicurezza (DIS) — struttura già detentrice della governance in ambito di protezione cibernetica nazionale, mentre il CSIRT sarà istituito presso la Presidenza del Consiglio dei Ministri mediante apposito decreto, andando a sostituire, fondendoli, gli attuali CERT governativi.

Per quanto concerne l’identificazione degli operatori dei servizi essenziali, lo schema di decreto precisa che le autorità competenti NIS dovranno seguire non solo i criteri indicati nella Direttiva, ma anche le indicazioni che saranno fornite dal gruppo di cooperazione. Sempre il gruppo di cooperazione, inoltre, detterà le linee guida per l’adozione da parte degli operatori dei servizi essenziali delle misure tecnico-organizzative adeguate alla gestione dei rischi e alla prevenzione di incidenti informatici, mentre le autorità competenti NIS potranno imporre agli stessi operatori l’adozione di specifiche misure di sicurezza. Lo schema di decreto, infine, attribuisce alle autorità competenti NIS la facoltà di predisporre delle linee guida per la notifica degli incidenti, che gli operatori di servizi essenziali dovranno inoltrare al CSIRT e all’autorità competente NIS del proprio settore.

A breve, pertanto, gli operatori dovrebbero essere in grado di conoscere con più precisione le misure da implementare per conformarsi alle prescrizioni del legislatore europeo ed italiano in materia di cybersecurity, la cui violazione — ai sensi dello schema di decreto — esporrebbe gli stessi a sanzioni amministrative fino a 150.000 euro. Resta da vedere se e come lo schema di decreto sarà modificato dalle Commissioni parlamentari.