Sicurezza tra Direttiva NIS, GDPR e Direttiva n. 680/2016

di Marco Soffientini - Esperto di Privacy e Diritto delle Nuove Tecnologie;  docente Ethos Academy

Il tema della sicurezza informatica, più conosciuto con il termine di cybersecurity e divenuto celebre perché utilizzato dal National Institute for Standards and Technologies (c.d. NIST) degli Stati Uniti nella presentazione dei cybersecurity framework,  riguarda la protezione dei sistemi informativi intesi come sistemi informatici (pc, LAN, device, ecc) e di quelli dell’informazione come i gestionali (gestione ordini, prenotazione biglietti, commercio elettronico, ecc.). È evidente che si tratta di un argomento trasversale, che coinvolge anche la disciplina sulla protezione dei dati personali introdotta dal Regolamento UE 679/2016. Infatti, quest’ultimo all’articolo 32, non solo prevede che le misure di sicurezza debbano “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, par. 1), ma a partire dal 25 maggio 2018 dispone che tutti i titolari debbano notificare all’Autorità Garante per la Protezione Dei Dati Personali le violazioni di dati personali (c.d. data breach) di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, qualora ritengano probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.

Obblighi analoghi sono contenuti nel capo terzo del D.Lgs 51/2018 che ha recepito la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio. 

Sicurezza di reti e sistemi informativi

In tema di sicurezza delle reti e dei sistemi informativi un ruolo cruciale l’ha svolto una Direttiva europea del 2016 denominata Direttiva NIS (Network and Information Security), che ha imposto agli Stati membri l’impiego di misure di sicurezza comuni. L’Italia ha recepito la Direttiva NIS con il D.Lgs 18 Maggio 2018, pubblicata in G.U. il 09 Giugno 2018. Esso si applica ai settori energia,  trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali, nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico. 

A chi si rivolge

I destinatari della Direttiva NIS sono solo due tipologie di operatori nell’ambito delle reti e dei sistemi informativi:

1. Gli OES “operatori di servizi essenziali”. Si tratta di soggetti pubblici o privati che offrono servizi essenziali nel settore sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali.

2. Gli FSD “Fornitori di servizi digitali”. Si tratta di soggetti che forniscono servizi di e-commerce, cloud computing e motori di ricerca ad eccezione di quelle  imprese che la normativa europea definisce “piccole” e “micro”, quelle cioè che hanno meno di 50 dipendenti e un fatturato o bilancio annuo non superiore ai 10 milioni di Euro.

Una strategia nazionale

La disciplina prevede l’adozione di una strategia nazionale di cybersecurity attraverso la designazione delle autorità competenti di vigilanza sul rispetto della normativa. In Italia sono state designate quali autorità di controllo cinque ministeri (sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente).  

Il decreto attuativo ha inoltre istituito, presso la Presidenza del Consiglio dei Ministri, un unico CSIRT (Computer Security Incident Response Team). Si tratta di un gruppo di intervento per la sicurezza informatica in caso di incidente (art. 3 comma, 1, lett. b D.Lgs  n.65/2018). Esso è istituito presso la Presidenza del Consiglio dei ministri e svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale, di cui all’articolo 16-bis del decreto legislativo 1° agosto 2003, n. 259, e del CERT-PA, già operante presso l’Agenzia per l’Italia digitale ai sensi dell’articolo 51 del decreto legislativo 7 marzo 2005, n. 82. 

Obbligo di notifica

Tutti gli OES dovranno inoltrare al CSIRT (e per conoscenza all’autorità competente NIS del proprio settore) le notifiche di incidenti informatici con impatto rilevante sui servizi forniti. Un obbligo analogo è previsto anche a carico degli FSD (motori di ricerca, servizi cloud e piattaforme di commercio elettronico). Il decreto non fissa un limite temporale rigido per le notifiche, ma specifica che le stesse vanno effettuate “senza ingiustificato ritardo”. Va tenuto presente che alcune tipologie di incidenti informatici che coinvolgano violazioni di dati personali potrebbero far scattare contemporaneamente un obbligo di notifica ai sensi dell’Articolo 14 della Direttiva NIS e ai sensi dell’Articolo 33 del GDPR.

Pubbliche Amministrazioni

Un ultimo un accenno lo meritano le Pubbliche Amministrazioni, che rientrano nella Direttiva NIS nel solo caso in cui offrano servizi nei settori suindicati, come può avvenire a titolo esemplificativo nei settori trasporti, sanità e distribuzione di acqua potabile, mentre in tutti gli altri casi rimarranno soggette a quanto disposto dalla Circolare AgID n.2/2017, recante “Misure minime di sicurezza ICT per le pubbliche amministrazioni”. Esse sono un riferimento pratico per valutare e migliorare il livello di sicurezza informatica delle amministrazioni, al fine di contrastare le minacce informatiche più frequenti. 

Tre livelli di attuazione

A seconda della complessità del sistema informativo a cui si riferiscono e della realtà organizzativa dell’Amministrazione, le misure minime possono essere implementate in modo graduale seguendo tre livelli di attuazione.

MINIMO - È quello al quale ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme.

STANDARD - È il livello, superiore al livello minimo, che ogni amministrazione deve considerare come base di riferimento in termini di sicurezza e rappresenta la maggior parte delle realtà della PA italiana.

AVANZATO - Deve essere adottato dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visto come obiettivo di miglioramento da parte di tutte le altre organizzazioni.

La versione integrale dell’articolo riporta tabelle, box o figure, per visualizzarle apri il pdf allegato.