Cybersecurity, il consiglio dei ministri approva il decreto di recepimento

Mercoledì 16 maggio il Consiglio dei Ministri ha approvato in esame definitivo il decreto legislativo che recepisce la direttiva comunitaria sulla sicurezza delle reti e dei sistemi informativi nell’Unione europea, la cosiddetta Direttiva NIS (Network Information System) contenuta nella Legge di delegazione europea 2016-2017.

Il provvedimento proposto dal Presidente del Consiglio Gentiloni e dal Ministro dello Sviluppo economico Calenda è giunto sul tavolo del Governo dopo aver ricevuto i pareri delle Commissioni speciali di Camera e Senato e della Conferenza Unificata, delle cui osservazioni – si legge nel comunicato di Palazzo Chigi – si è tenuto conto nella stesura del testo finale che dovrà ora essere pubblicato sulla Gazzetta Ufficiale.

La NIS prevede l’adozione di una serie di iniziative da parte degli Stati dell’Ue per migliorare le capacità di sicurezza cibernetica e aumentare il livello di collaborazione nella prevenzione delle minacce e nelle misure di risposta ad attacchi informatici. Come si legge nel decreto di recepimento, l’Italia dovrà dotarsi delle cosiddette Autorità competenti NIS da individuare all’interno dei vari ministeri: per esempio presso il MiSE dovrà essere costituita la unit per l’energia e le infrastrutture digitali, presso il MEF l’Autorità per il settore bancario, al Ministero dell’Ambiente andranno gli analoghi compiti in merito alla fornitura di acqua potabile, e così via per tutti i settori interessati dal provvedimento. A coordinarne l’azione sarà il Dipartimento delle informazioni per la sicurezza (DIS) della Presidenza del Consiglio che svolgerà anche il ruolo di garante della cooperazione transfrontaliera tra le strutture italiane e quelle degli altri Paesi membri. A Palazzo Chigi dovrà inoltre essere istituito il Gruppo d’intervento per la sicurezza informatica in caso di incidente (CSIRT): sotto questo profilo, occorre sottolineare che in sede di parere parlamentare sia la Camera che il Senato hanno formulato la richiesta di esplicitarne meglio le modalità di funzionamento, visto che quest’importante organismo avrà il compito precipuo di definire le procedure per la prevenzione e la gestione degli incidenti.

Le potenziali ricadute per il business di chi fa impresa non sono certo trascurabili: infatti, il provvedimento introduce l’obbligo in capo agli operatori economici di attrezzarsi da un punto di vista tecnico e gestionale per contenere il rischio di attacchi cyber ed essere reattivi nel notificare alle autorità gli eventuali incidenti. A tal fine, entro il 9 novembre di quest’anno l’Italia dovrà identificare i cosiddetti Operatori di servizi essenziali, vale a dire quei soggetti pubblici o privati (con una sede nel territorio nazionale) il cui servizio è «essenziale per il mantenimento di attività sociali e/o economiche fondamentali». Per coloro che non adopereranno le misure adeguate sono previste sanzioni sino a 125mila euro: un capitolo, quello delle sanzioni, affrontato anche dalla Commissione speciale del Senato che ha formulato una specifica osservazione circa l’opportunità di innalzarne il limite massimo, in considerazione degli elevati valori di capitalizzazione delle grandi aziende dell’Information Technology.

Public Affairs Advisors è partner di Cyber Security Energia – ConferenzaCSE, l’iniziativa ideata da Energia Media per approfondire il tema della sicurezza informatica, in particolare nel settore energetico.

Per ulteriori approfondimenti visita il portale Cyber Security Energia – ConferenzaCSE