Seminario seminario di aggiornamento professionale accreditato dall’Ordine degli Avvocati di Ancona e che funge quale esercitazione per il Corso di perfezionamento organizzato dalla Politecnica delle Marche.
Il titolo relazione è: LA DIRETTIVA NIS E LE MISURE DI SICUREZZA AGID PREVISTE PER LE PUBBLICHE AMMINISTRAZIONI.
del 14 Novembre 2017
Oggetto della lezione tenuità dal docente dell’ente Juribit il Dott Giuseppe Gorga Ottobre 2017
Oggetto della lezione:
Il 6 Luglio 2016 il Parlamento Europeo ha adottato la DIRETTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (Direttiva NIS). La direttiva si colloca all’interno di una strategia europea che mira a rafforzare la cybersecurity e la resilienza informatica dell’Unione Europea e muove dalla considerazione che le reti, i sistemi e i servizi informativi svolgono un ruolo vitale nella società e, pertanto, è essenziale che essi siano affidabili e sicuri per le attività economiche e sociali, in particolare ai fini del funzionamento del mercato interno.
Per fare ciò, e per fornire una risposta efficace alle sfide in materia di sicurezza delle reti e dei sistemi informativi, si è reputato necessario un approccio globale a livello di Unione, che contemplasse la creazione di una capacità minima comune e disposizioni minime in materia di pianificazione, scambio di informazioni, cooperazione e obblighi comuni di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali. Nulla impedisce, però, che gli operatori di servizi essenziali e i fornitori di servizi digitali applichino misure di sicurezza più rigorose di quelle previste dalla direttiva.
La Direttiva è entrata in vigore nell’Agosto del 2016 e gli stati membri da allora hanno tempo sino al 9 maggio 2018 per trasporla -attraverso la normativa nazionale- nei rispettivi ordinamenti e altri 6 mesi per identificare gli “operatori dei servizi essenziali”. Fermo il livello di armonizzazione minimo posto dalla direttiva, gli Stati membri sono liberi di adottare norme che garantiscono un livello di protezione più elevato.
Chi sono gli operatori di servizi essenziali?
La Direttiva NIS non identifica direttamente gli “operatori di servizi essenziali” ma detta alcuni criteri per la loro individuazione.
In particolare è tale il soggetto pubblico o privato, che appartiene alle categorie elencate nell’allegato 2 della medesima direttiva (energia, trasporti, settore bancario, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali, infrastrutture dei mercati finanziari), che soddisfa i seguenti criteri:
un soggetto fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali;
la fornitura di tale servizio dipende dalla rete e dai sistemi informativi; e
un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio.
La Direttiva NIS e i fornitori di servizi digitali
La Direttiva NIS non si applica solo ai fornitori di servizi essenziali, ma si applica anche ai cd. “fornitori di servizi digitali”. E’ tale qualsiasi persona giuridica che offra un servizio digitale. Anche i servizi digitali non vengono individuati direttamente ma attraverso un duplice richiamo: il primo alla Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio che prevede una procedura d’informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione, il secondo all’elenco contenuto nell’allegato III della direttiva stessa che riporta :
1. Mercato online (online marketplace)
2. Motore di ricerca online
3. Cloud computing.
Che cosa prevede la direttiva NIS in sintesi
La direttiva NIS è volta ad assicurare un elevato livello comune di sicurezza delle reti e dei sistemi informativi in tutta l’UE.
La direttiva NIS mira a incrementare il livello complessivo di sicurezza informatica assicurando:
che gli Stati Membri si muniscano di strumenti appropriati, ad esempio designando un gruppo di intervento per la sicurezza informatica in caso di incidente («CSIRT») e un’autorità nazionale competente in materia di sicurezza delle reti e dei sistemi informativi;
che gli stati membri cooperino tra loro, istituendo un gruppo di cooperazione – composto da rappresentanti degli Stati membri, dalla Commissione e dall’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA)- al fine di sostenere e agevolare la cooperazione strategica fra gli Stati membri in relazione alla sicurezza delle reti e dei sistemi informativi e facilitare lo scambio di informazioni tra gli stati membri, in modo da accrescere la fiducia. Essi dovranno anche creare una rete di gruppi di intervento per la sicurezza informatica in caso di incidente (rete CSIRT) allo scopo di promuovere una cooperazione operativa rapida ed efficace su specifici incidenti e condividere le informazioni relative ai rischi;
che si sviluppi la cultura della sicurezza nei settori che sono vitali per l’economia e la società, e che si basano profondamente sulle tecnologie dell’informazione e della comunicazione, come ad esempio i trasporti, l’energia, le banche, le infrastrutture dei mercati finanziari, la salute e le infrastrutture digitali. I soggetti pubblici e privati che operino in questi settori e che saranno individuati dagli stati membri come operatori di servizi essenziali dovranno prendere appropriate misure di sicurezza per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura di tali servizi essenziali, al fine di assicurare la continuità di tali servizi e notificare gli incidenti rilevanti all’autorità nazionale competente. Anche i fornitori di servizi digitali (motori di ricerca, cloud computing e online marketplaces) dovranno conformarsi ai requisiti di sicurezza e al regime delle notifiche previsti dalla direttiva.
Requisiti di sicurezza
Gli Stati membri dovranno provvedere affinché gli operatori di servizi essenziali adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi che usano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente.
Più dettagliate le regole per i fornitori di servizi digitali: gli Stati membri dovranno provvedere affinché questi ultimi identifichino e adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano.
Tenuto conto delle conoscenze più aggiornate in materia, tali misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente e tengono conto dei seguenti elementi:
la sicurezza dei sistemi e degli impianti;
trattamento degli incidenti;
gestione della continuità operativa;
monitoraggio, audit e test;
conformità con le norme internazionali.
La Commissione potrà ulteriormente specificare questi parametri.
Obblighi in materia di sicurezza e notifica degli incidenti
La direttiva NIS definisce incidente “ogni evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi”.
Gli operatori di servizi essenziali e i fornitori di servizi digitali devono notificare all’autorità competente o al CSIRT (non, quindi, alle persone che usufruiscono del servizio) ogni incidente che abbia:
un impatto rilevante sulla continuità dei servizi essenziali prestati (se sono operatori di servizi essenziali) oppure
un impatto sostanziale sulla fornitura di un servizio digitale (nel caso di fornitori di servizi digitali).
La direttiva distingue gli impatti rilevati riferiti ai servizi essenziali, da quelli sostanziali, riferiti, invece, ai servizi digitali.
In particolare per stabilire se un incidente sia rilevante occorrerà tenere conto dei seguenti criteri:
il numero di utenti interessati dalla perturbazione del servizio essenziale;
la durata dell’incidente;
la diffusione geografica relativamente all’area interessata dall’incidente.
Per determinare se un incidente sia sostanziale occorrerà tenere conto:
a) del numero di utenti interessati dall’incidente, in particolare gli utenti che dipendono dal servizio per la fornitura dei propri servizi;
b) della durata dell’incidente;
c) della diffusione geografica relativamente all’area interessata dall’incidente;
d) della portata della perturbazione del funzionamento del servizio;
e) della portata dell’impatto sulle attività economiche e sociali.
Questi parametri possono essere ulteriormente specificati dalla Commissione.
Solo nell’ultimo caso (notifica di incidenti che riguardano servizi digitali) è prevista la possibilità di informare il pubblico: dopo aver consultato il fornitore di servizi digitali interessato, infatti, l’autorità competente o il CSIRT e, se del caso, le autorità o i CSIRT degli altri Stati membri interessati, possono informare il pubblico riguardo ai singoli incidenti o chiedere al fornitore di servizi digitali di provvedervi, qualora sia necessaria la sensibilizzazione del pubblico per evitare un incidente o gestirne uno in corso, o qualora la divulgazione dell’incidente sia altrimenti nell’interesse pubblico.
Nella pratica, nella valutazione operata in ordine alla comunicazione al pubblico, le Autorità o i CSIRT dovranno valutare attentamente i danni commerciali, anche in termini reputazionali, che la diffusione della comunicazione è potenzialmente in grado di arrecare non solo al fornitore ma anche a eventuali soggetti che si basano sul servizio compromesso per fornire i loro servizi.
In ordine alle tempistiche previste per la notifica, questa, in entrambe le ipotesi dovrà avvenire senza ingiustificato ritardo.
E’ altresì prevista una modalità di notifica volontaria che possono effettuare i soggetti che non sono stati identificati come operatori di servizi essenziali e non sono fornitori di servizi digitali; costoro, ferma restando la possibilità degli Stati nazionali di adottare norme che garantiscano un livello di protezione più elevato di quello della direttiva, possono notificare, su base volontaria, gli incidenti aventi un impatto rilevante sulla continuità dei servizi da loro prestati.
Le notifiche volontarie sono trattate soltanto qualora tale trattamento non costituisca un onere sproporzionato o eccessivo per gli Stati membri interessati.
In ogni caso la direttiva stabilisce che la notifica volontaria non può avere l’effetto di imporre al soggetto notificante alcun obbligo a cui non sarebbe stato sottoposto se non avesse effettuato tale notifica
video del corso: https://www.facebook.com/giuseppe.gorga.90/videos/1744537342256811/
