Il decreto legislativo n. 65 del 2018 in materia di cybersicurezza

 

Premessa

Il decreto legislativo 18 maggio 2018, n.65 è stato introdotto nel nostro ordinamento in attuazione della Direttiva 2016/1148 del Parlamento europeo e del Consiglio recante misure per un livello comune ed elevato di sicurezza delle reti e dei sistemi informativi nell’Unione Europea.

Tale normativa nasce dall’esigenza di adottare una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi con l’obiettivo di attuare un livello comune di sicurezza nell’Unione Europea e garantire un miglior funzionamento del mercato interno.

Il decreto introduce una serie di obblighi di sicurezza a carico degli operatori e fornitori dei servizi digitali nell’adozione di misure di sicurezza e notifica degli incidenti e prevede altresì la creazione di un Gruppo di intervento per la sicurezza informatica in caso di incidente (il CSIRT), la cui partecipazione presuppone la necessità di assicurare maggiore collaborazione e scambio di informazioni tra Stati membri dell’UE.

Il nostro ordinamento, infine, prevede quale Autorità competente NIS (Network and Information Security) l’autorità competente per settore e come autorità di contrasto l’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione.

Le disposizioni normative del Decreto sulla cybersicurezza

Preliminarmente, il Decreto si occupa di stabilire i significati della terminologia utilizzata dal medesimo. In particolare, viene prevista la definizione di rete e di sistema informativo, intesa come una rete di comunicazione elettronica oppure un qualsiasi dispositivo o gruppi di dispositivi interconnessi che esegue, attraverso un programma, un trattamento automatico di dati digitali oppure comunque un insieme di dati digitali trattati o trasmessi per mezzo delle reti o dei dispositivi di comunicazione elettronica. Sono previste inoltre le definizioni: di sicurezza della rete e dei sistemi informativi, intesa come la capacità di resistere ad ogni azione che comprometta la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi o trattati tramite rete o sistemi informativi; di fornitore di servizio digitale, inteso come qualsiasi persona giuridica che fornisca un servizio digitale; di incidente, che si concretizza in ogni evento che pregiudichi la sicurezza della rete e dei sistemi.

L’articolo 4 è dedicato all’identificazione degli operatori dei servizi essenziali ed affida tale compito alle autorità competenti NIS, le quali identificano per ciascun settore e sottosettore detti operatori con una sede nel territorio nazionale.

A tal fine, il decreto individua i criteri per identificare gli operatori dei servizi essenziali, indicandoli come coloro che forniscono un servizio essenziale per mantenere le attività sociali e/o economiche fondamentali, oppure che forniscono un servizio che dipende dalla rete e dai sistemi informativi oppure che comunque forniscono un servizio rispetto al quale un “incidente” avrebbe effetti negativi sulla sua fornitura.

Viene, inoltre, previsto che presso il Ministero dello sviluppo economico è disposto un elenco nazionale degli operatori di servizi essenziali aggiornato almeno ogni due anni a cura delle autorità competenti NIS e che nel caso in cui un soggetto svolga la propria attività fornendo servizi in altri Stati membri, le autorità competenti NIS devono necessariamente consultare l’autorità competente di quest’ultimo.

Viene, inoltre, introdotta la necessità che a livello nazionale venga formulato un piano strategico per la cybersicurezza. In particolare, il Decreto stabilisce che il presidente del Consiglio dei ministri, una volta sentito il Comitato interministeriale per la sicurezza della Repubblica, valuta quale strategia nazionale adottare ai fini di tutelare la sicurezza delle reti e dei sistemi di interesse nazionale. Nella formazione di detto piano si deve avere cura degli obiettivi e delle priorità in materia di sicurezza delle reti e dei sistemi informativi.

Per quanto riguarda gli enti ed uffici deputati ad occuparsi della cybersicurezza nazionale, il Decreto prevede la creazione di appositi Enti.

In primo luogo, viene creato il punto di contatto unico, che rappresenta l’organo incaricato a livello nazionale per coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi e la cooperazione transfrontaliera a livello di Unione europea attraverso la trasmissione alla Commissione europea delle informazioni necessarie per la valutazione di compatibilità.

Il punto di contatto unico partecipa alle attività del gruppo di cooperazione composto da rappresentanti degli Stati membri, dalla Commissione europea e dall’ENISA (Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione) e condivide buone pratiche sullo scambio di informazioni relative alla notifica di incidenti e al supporto per la creazione di capacità in materia di sicurezza delle reti e dei sistemi informativi.

In secondo luogo, presso la presidenza del Consiglio dei ministri, viene istituito il CSIRT italiano, che svolge i compiti e le funzioni del CERT (Computer Emergency Response Team) nazionale.

Per lo svolgimento delle funzioni del CSIRT ci si avvale di un massimo di trenta unità di personale, di cui 15 scelti tra dipendenti di altre amministrazioni pubbliche in posizione di comando o fuori ruolo e quindici da assumere nel limite della dotazione organica vigente.

Il CSIRT italiano assicura la conformità ai requisiti previsti dall’UE e definisce le procedure per la prevenzione e la gestione degli incidenti informatici, garantendo una collaborazione effettiva, efficiente e sicura.
La Presidenza del Consiglio dei ministri comunica alla Commissione Europea il mandato del CSIRT e le modalità di trattamento degli incidenti a questo affidati, avendo inoltre la capacità di avvalersi anche dell’Agid.
Infine, viene previsto che le autorità competenti NIS, il punto di contatto unico e il CSIRT collaborano per l’adempimento degli obblighi di tutela della sicurezza della rete e dei sistemi informativi attraverso l’istituzione di un Comitato tecnico di raccordo composto da rappresentanti delle amministratori statali competenti e da rappresentanti delle Regioni e Provincie autonome.

Per quanto concerne, invece, gli obblighi a carico degli operatori che forniscono i servizi telematici, il Decreto stabilisce che gli operatori di servizi essenziali debbono adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti dalla sicurezza della rete e dei sistemi informativi, in virtù delle conoscenze più aggiornate in materia, in modo da prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali.
Gli operatori, poi, devono notificare al CSIRT e all’autorità NIS gli incidenti che hanno un impatto rilevante sulla continuità dei servizi essenziali forniti. Il CISRT provvederà quindi ad inoltrare le notifiche al Dipartimento informazioni per la sicurezza incaricato. Le notifiche da parte degli operatori devono includere delle informazioni che consentono al CSIRT di valutare l’impatto transfrontaliero dell’incidente, in base al numero di utenti interessati dalla perturbazione del servizio essenziale, alla durata dell’incidente e alla diffusione geografica relativamente all’area interessata dall’incidente.

Tra gli obblighi gravanti sugli operatori dei servizi essenziali rientra anche quello di fornire le informazioni necessarie per valutare la sicurezza della loro rete, le prove di attuazione delle politiche di sicurezza e la messa a disposizione dei risultati.

Il rispetto da parte degli operatori dei servizi essenziali degli obblighi di cui sopra previsti dal Decreto è oggetto di controllo da parte delle autorità competenti NIS, le quali sono incaricate altresì di valutare i relativi effetti sulla sicurezza della rete e dei sistemi informativi.

Il Decreto prevede altresì obblighi anche a carico dei fornitori di servizi digitali.

In particolare, viene stabilito che detti fornitori debbano identificare e adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete, tenendo conto della sicurezza dei sistemi e gli impianti, del trattamento degli incidenti, della gestione della fase operativa e della conformità con le norme internazionali.

I fornitori, inoltre, devono adottare misure per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e devono assicurare la continuità di questi servizi.
I fornitori, infine, devono notificare al CSIRT italiano e all’autorità NIS gli incidenti che hanno un impatto sulla fornitura di servizi digitali. Le notifiche devono contenere informazioni rilevanti che tengano conto del numero di utenti interessati dall’incidente, la sua durata, la diffusione geografica, la portata della perturbazione e l’impatto sulle attività economiche e sociali.

Nel caso in cui sia dimostrato il mancato rispetto degli obblighi è possibile adottare misure di vigilanza ex post adeguate alla natura dei servizi e delle operazioni.

In questo caso i fornitori di servizi digitali devono fornire le informazioni necessarie per la valutazione della sicurezza della loro rete internet e porre rimedio ad ogni mancato adempimento.

Infine, per quanto concerne la giurisdizione, il Decreto stabilisce che, ai fini dell’applicazione delle disposizioni di cui al Decreto medesimo, un fornitore di servizi digitali è soggetto alla giurisdizione dello Stato membro in cui ha lo stabilimento principale; mentre i  fornitori di servizi digitali che non sono stabiliti in UE, ma offrono i propri servizi all’interno dei confini di quest’ultima, devono necessariamente nominare un proprio rappresentante all’interno del territorio e conseguentemente il fornitore si considera soggetto alla giurisdizione dello Stato in cui è stabilito il suo rappresentante.

Volume consigliato

Dall’e-commerce al punto vendita on-line – e-Book in pdf

L’ebook affronta la nuova tematica della cybersecurity connessa al mondo privacy in relazione al web, approfondendo sia gli aspetti giuridici che quelli tecnici propri del marketing, offrendo un chiaro quadro della normativa e spunti interessanti per ,muoversi al meglio in rete.   Coordinatore Damiano MarinelliAvvocato cassazionista, mediatore ed arbitro. Già Docente universitario, è Presidente dell’Associazione Legali Italiani (www.associazionelegaliitaliani.it) e Consigliere Nazionale dell’Unione Nazionale Consumatori. Specializzato in Diritto civile e commerciale, è autore di numerose pubblicazioni, nonché relatore in convegni e seminari (www.areaconsulenze.it – marinelli@areaconsulenze.it).

Damiano Marinelli, Chiara Gambelunghe, Daniele Giancola, Michele Spigarelli | 2021 Maggioli Editore

14.90 €  12.67 €

 

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento