Il Consiglio dei ministri riunitosi ieri ha approvato due decreti legislativi sulla cybersicurezza. Uno è relativo al recepimento della direttiva europea Nis 2. L’altro al recepimento della direttiva Cer per la resilienza dei soggetti critici. La direttiva deve essere recepita nel diritto nazionale entro il 17 ottobre e le norme dovrebbero applicarsi a partire dal giorno successivo.

La direttiva Nis 2

La Nis 2 aggiorna la Nis 1, che fu il primo atto legislativo a livello europeo in materia di sicurezza informatica. La nuova direttiva, come spiegato su Formiche.net quando fu approvata, stabilisce le misure di gestione dei rischi e gli obblighi di cybersicurezza, le sanzioni per garantirne l’applicazione e gli obblighi di comunicazione in tutti i settori individuati. A tal proposito, la pandemia e le nostre attività, dal telelavoro al delivery, sono state d’insegnamento: oltre ai settori finanziario e delle telecomunicazioni sono stati inseriti logistico e alimentare. Oltre ai settori altamente critici già compresi nella prima Nis – cioè trasporti, banche, infrastrutture del mercato finanziario, salute, acque, infrastruttura digitale – compaiono anche i settori delle acque reflue, la gestione dei servizi Ict, Pubblica amministrazione e Spazio. Inoltre, sono considerati settori critici anche i fornitori digitali (mercati online, motori di ricerca online, piattaforme di servizi di social networking), i gestori di rifiuti, le aree di fabbricazione, produzione e distribuzione di prodotti chimici, quelle di produzione, trasformazione e distribuzione di alimenti, l’area manifatturiera, i servizi postali e i corrieri e le organizzazioni di ricerca.

La direttiva Cer

La direttiva Cer, invece, contempla i soggetti critici in una serie di settori, tra cui energia, trasporti, acque potabili, acque reflue e spazio. Alcune disposizioni della direttiva riguardano anche determinate amministrazioni pubbliche centrali. Agli Stati membri viene richiesto di dotarsi di una strategia nazionale per rafforzare la resilienza dei soggetti critici, effettuare una valutazione dei rischi almeno ogni quattro anni e individuare i soggetti critici che forniscono servizi essenziali. La direttiva stabilisce inoltre norme per l’individuazione dei soggetti critici di particolare rilevanza europea; ovvero quelli che forniscono un servizio essenziale a sei o più Stati membri. In questo caso, gli Stati membri possono invitare la Commissione a organizzare una missione di consulenza o la Commissione stessa può proporre, con l’accordo dello Stato membro interessato, di valutare le misure predisposte dal soggetto interessato per adempiere agli obblighi derivanti dalla direttiva.

Il tempo stringe

Nelle scorse settimane, dopo la pubblicazione in Gazzetta Ufficiale della legge di delega al governo per il recepimento della due direttive, Formiche.net aveva parlato con Alessandro Manfredini, presidente di Aipsa (Associazione italiana professionisti della security aziendale). Manfredini aveva auspicato “un confronto tecnico strutturato con gli operatori e con le associazioni che li rappresentano”. Il tema più urgente è la migrazione dalla Direttiva Nis 1 alla Direttiva Nis 2, che porta i soggetti interessati da un migliaio a decine di migliaia e coinvolgere settori in cui i livelli di maturità sono molto diversi. “È poco realistico immaginare che nei tempi indicati si avranno tutte le misure tecniche e organizzative richieste”, osservava ancora il manager. Quattro sono i punti da lui evidenziati: “Serve una mentalità risk-driven; un approccio per obiettivi di sicurezza in un determinato periodo, con livelli di sicurezza incrementali, sistemi di controlli mitigativi e un piano da notificare all’autorità che poi svolge le opportune verifiche; la legge deve mantenere i requisiti di attualità imposti dalla transizione digitale, ovvero una norma con principi di diritto ma che lasci il compito all’autorità di settore di specificare le misure tecniche che possono cambiare nel tempo; è necessaria una formulazione che rende il fornitore, ovvero le terze parti, assoggettato di default agli obblighi di legge, e non sulla base dei contratti con i soggetti interessati”.