Scade il 9 maggio 2018 il termine entro il quale gli Stati membri dovranno dare attuazione alla Direttiva (UE) 2016/1148, primo atto di armonizzazione adottato dall’Unione europea in materia di cybersecurity, recante misure per un livello comune elevato di sicurezza delle “reti e dei sistemi informativi” (“Network and Information Systems” da cui l’acronimo “NIS”).
Anche l’Italia si sta muovendo in tal senso, avendo recentemente attribuito con legge 163/2017 al Governo la delega per l’attuazione della Direttiva NIS.
Ad aiutare gli Stati membri nel percorso che si concluderà nel 2018 è intervenuta la Commissione europea, che lo scorso ottobre ha pubblicato una Comunicazione[1], corredata da un Allegato, allo scopo di chiarire gli obblighi contenuti nella Direttiva ed assicurare maggiore “certezza giuridica” ed omogeneità di interpretazione delle nuove norme per tutti gli attori coinvolti. Proprio in considerazione della dimensione transnazionale delle reti, dei sistemi e delle relative minacce alla sicurezza, nella citata Comunicazione la Commissione riconosce che, per l’efficacia della Direttiva NIS, risulta particolarmente importante il pieno coinvolgimento di tutti i Paesi membri in fase di attuazione, per l’instaurazione di un sistema di tutela veramente uniforme su scala europea[2].
Per capire quali vincoli gravano sugli Stati membri in sede di attuazione, bisogna innanzitutto ricordare che la Direttiva NIS è una Direttiva di “armonizzazione minima” (art. 3): gli Stati membri restano pertanto liberi di introdurre misure più stringenti, atte a conseguire un livello più elevato di sicurezza, fatta salva la limitazione di tale facoltà prevista per i “fornitori di servizi digitali” (art. 16, co. 10, sul quale si dirà infra).
Autorità e punti di contatto nazionali
L’applicazione delle norme nazionali di trasposizione della Direttiva dovrà essere affidata ad una o più autorità nazionali competenti e ad un “punto di contatto unico” (art. 8)[3]. Ogni Stato dovrà altresì designare uno o più CSIRT (“Computer Security Incident Response Team”), incaricati di monitorare gli incidenti a livello nazionale. I CSIRT opereranno in network con gli analoghi team presenti negli altri Stati membri (art. 12), sotto il coordinamento di un “gruppo di cooperazione” composto dai rappresentanti degli Stati membri, della Commissione europea e dell’ENISA (art. 11).
In merito all’estensione delle competenze dei CSIRT, la Comunicazione auspica che vengano loro attribuite competenze aggiuntive rispetto a quelle indicate dalla Direttiva NIS, posto che “una scelta in tal senso consentirebbe ai CSIRT nazionali di fornire sostegno operativo in caso di ciberincidenti che si verificano presso imprese e organizzazioni che non rientrano nel campo di applicazione della direttiva ma che sono comunque importanti per la società e l’economia”[4].
Servizi essenziali
In attuazione della Direttiva NIS, entro il 9 novembre 2018 gli Stati membri dovranno individuare gli operatori di servizi essenziali nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile ed infrastrutture digitali[5] (Allegato II alla Direttiva). Le relative informazioni, in merito ai criteri di individuazione degli operatori, dovranno essere trasmesse periodicamente alla Commissione europea ai sensi dell’art. 5, co. 7 della Direttiva. Secondo quanto suggerito nella Comunicazione, “[g]li Stati membri potrebbero altresì prendere in considerazione la possibilità di condividere con la Commissione l’elenco degli operatori di servizi essenziali identificati, se necessario in via riservata, poiché questo contribuirebbe a migliorare l’accuratezza e la qualità della valutazione della Commissione”[6] in merito alla corretta applicazione della Direttiva NIS a livello nazionale.
In sede di attuazione della Direttiva, ciascuno Stato dovrà porre in capo agli operatori dei servizi essenziali individuati particolari obblighi – sotto la vigilanza delle autorità competenti designate – in materia di prevenzione e gestione dei rischi e di notifica degli incidenti aventi un impatto rilevante sulla continuità dei servizi (art. 14).
Quanto all’individuazione degli operatori di servizi essenziali, nella Comunicazione la Comunicazione suggerisce agli Stati di “prendere in considerazione un’estensione dell’ambito di applicazione della direttiva NIS alle amministrazioni pubbliche, visto il ruolo che rivestono per la società e per l’economia nel complesso”[7].
Nella delimitazione della categoria dei servizi essenziali ai fini della Direttiva, sarà inoltre assai importante – secondo la Commissione – “allineare al massimo gli approcci nazionali […] in particolare seguendo gli orientamenti elaborati dal gruppo di cooperazione” previsto all’art. 11. Ciò presenterebbe il vantaggio di ridurre il rischio di frammentazione del mercato e le incoerenze, particolarmente negative sotto il profilo competitivo per quegli operatori attivi in più Paesi membri[8].
Strategia nazionale e Connecting Europe Facility
Ai sensi dell’art. 7, ciascuno Stato membro è inoltre tenuto ad adottare una strategia nazionale contenente gli obiettivi strategici, i processi di governance e le relative misure di sicurezza applicabili “almeno” ai settori già citati di cui all’Allegato II ed ai servizi digitali indicati nell’Allegato III della Direttiva (ossia marketplace, motori di ricerca e servizi di cloud computing). In merito alla portata delle strategie nazionali, la Comunicazione auspica che i piani nazionali assumano portata generale e vadano oltre i requisiti minimi previsti dalla Direttiva. L’auspicio rivolto ai Governi nazionali è quello di affrontare il tema della cybersecurity, in sede di redazione della strategia, con riferimento alla complessiva realtà dei sistemi economici e sociali nazionali, assicurando le adeguate risorse finanziarie ed umane alle autorità incaricate dell’implementazione delle norme nell’ordinamento interno[9].
Proprio per sostenere gli sforzi anche economici richiesti agli Stati membri nell’implementazione della Direttiva NIS, nella Comunicazione la Commissione europea si dichiara pronta ad estendere l’impiego dei finanziamenti assegnati alla Connecting Europe Facility “anche a vantaggio delle autorità nazionali competenti, degli operatori di servizi essenziali e dei fornitori di servizi digitali”[10].
Servizi digitali
Con riferimento ai fornitori di servizi digitali, come anticipato, la Direttiva configura una misura di “armonizzazione massima” in forza dell’art. 16, co. 10, ai sensi del quale “gli Stati membri non impongono ulteriori obblighi in materia di sicurezza o di notifica ai fornitori di servizi digitali”: in capo a tali soggetti, dunque, gli Stati non potranno introdurre obblighi più stringenti rispetto a quanto stabilito dalla Direttiva, che rimane per il resto una misura di “armonizzazione minima”.
Nei confronti dei fornitori dei servizi digitali rientranti nell’Allegato III della Direttiva (marketplace, motori di ricerca e servizi di cloud computing), gli Stati membri dovranno introdurre particolari obblighi in tema di gestione dei rischi e di notifica degli incidenti aventi un “impatto rilevante” sui servizi erogati (art. 16). Tali obblighi si applicheranno anche nei confronti dei fornitori di servizi digitali non stabiliti all’interno dell’UE, i quali dovranno designare un loro rappresentante, ai fini dell’applicazione della Direttiva, in uno degli Stati membri in cui erogano i servizi (art. 18).
Gli obblighi gravanti sui fornitori dei servizi digitali rientranti nell’Allegato III saranno ulteriormente precisati dalla Commissione in un regolamento di prossima adozione[11] .
Notifiche volontarie e sanzioni
I soggetti che non forniscono né servizi essenziali né servizi digitali potranno comunque notificare su base volontaria alle autorità competenti gli incidenti aventi un impatto rilevante sulla continuità dei servizi erogati (art. 20). Nel suo complesso, il sistema delle notifiche, volontarie (art. 20) ed obbligatorie (artt. 14 e 16), risulta essenziale in caso di incidenti “su larga scala” che colpiscano più Stati membri. A tale riguardo la Comunicazione auspica infatti che “[i]n linea con la Raccomandazione della Commissione relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala[12], gli Stati membri [prendano] in considerazione l’allineamento dei rispettivi approcci nazionali in modo da poter fornire il prima possibile informazioni pertinenti basate su tali notifiche alle autorità competenti o al CSIRT degli Stati membri interessati”[13].
Per l’effettività degli obblighi previsti dalla Direttiva, gli Stati membri dovranno infine stabilire sanzioni effettive, proporzionate e dissuasive in caso di violazione delle norme nazionali di trasposizione (art. 21). Come indicato nell’Allegato alla Comunicazione, sul punto gli Stati membri restano pertanto liberi di stabilire l’importo massimo delle sanzioni previste, “ma l’importo o la percentuale fissati dovrebbero consentire alle autorità nazionali, in ciascun caso concreto, d’infliggere una sanzione effettiva, proporzionata e dissuasiva in considerazione di diversi fattori, quali la gravità o la frequenza della violazione”[14].
[1] Com (2017) 476 final, Sfruttare al meglio le reti e i sistemi informativi – verso l’efficace attuazione della direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione del 4.10.2017. La Comunicazione è stata redatta sulla base dei lavori preparatori, sulle analisi della Commissione riguardanti il processo di attuazione intrapreso sino ad oggi dagli Stati membri, sul contributo fornito dall’ENISA e sulle discussioni svolte con gli Stati membri nell’ambito del gruppo di cooperazione previsto dall’art. 11 della Direttiva NIS (si veda in tal senso Comunicazione p. 2).
[2] Comunicazione, p. 3.
[3] Nell’individuazione delle autorità gli Stati membri sono liberi di seguire approcci centralizzati o decentrati. Nel caso in cui sia adottato un approccio decentrato, con l’individuazione di più autorità “periferiche”, è essenziale garantire una precisa cooperazione tra le autorità individuate ed il punto di contatto unico. In tal senso, Comunicazione p. 4.
[4] Comunicazione, p. 5.
[5] Nell’ambito delle infrastrutture digitali rientrano i punti di interscambio internet IXP, i sistemi dei nomi di domino DNS, i registri dei nomi di dominio di primo livello TLD, come definiti all’art. 2 della Direttiva.
[6] Comunicazione, p. 6.
[7] Ibidem, p. 5.
[8] Ibidem.
[9] Ibidem, p. 4.
[10] Comunicazione, pp. 6-7.
[11] Ares(2017)4460501 sul quale la consultazione si è chiusa l’11 ottobre 2017.
[12] C(2017) 6100 final.
[13] Comunicazione, p. 6.
[14] Allegato alla Comunicazione, p. 20.