Con la pubblicazione in Gazzetta Ufficiale il 9 giugno del relativo decreto legislativo, l’Italia ha finalmente e formalmente recepito la “Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio del 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”, più comunemente conosciuta come “Direttiva NIS”. Questo atto, giunto praticamente in extremis dopo una tardiva elaborazione ed una tumultuosa serie di rielaborazioni e discussioni snodatesi lungo varie bozze, delinea in maniera definitiva l’assetto istituzionale che l’Italia si è data per attuare i principi previsti dalla Direttiva. Rispetto alle ultime bozze circolate, il testo ufficialmente adottato non ha subito modifiche sostanziali; ma solo ora, ad iter approvativo definitivamente concluso, è possibile commentarne gli aspetti più salienti.

Come oramai noto la Direttiva indirizza la nuova categoria degli “operatori di servizi essenziali”, la quale estende il precedente concetto di “infrastrutture critiche” ricomprendendovi sia nuovi settori quali la sanità e il mondo bancario, ma anche servizi digitali quali l’infrastruttura DNS, i punti di interscambio neutro di connettività Internet fra operatori, i motori di ricerca. A carico di tali operatori la Direttiva impone una serie di obiettivi (non “misure”!) per l’innalzamento dei livelli di sicurezza e protezione contro incidenti e attacchi, mentre a carico dei Governi resta l’onere di creare le necessarie infrastrutture di governance, controllo, coordinamento, nonché di prevenzione e risposta ad incidenti ed attacchi, a supporto della sicurezza dell’intero sistema.

La prima cosa da notare è che l’Italia si è limitata ad una adozione pressoché letterale della Direttiva, senza cioè avvalersi della facoltà di estenderne l’ambito locale di applicazione. In particolare il nostro Paese ha scelto di non inserire la Pubblica amministrazione nel novero degli Operatori di servizi essenziali, optando così per un’attuazione più semplice possibile ma forse perdendo una buona occasione per dare un segnale di forte commitment ed una ulteriore chance per l’innalzamento della responsabilizzazione del settore pubblico sul delicato tema della sicurezza cibernetica.

Sempre a livello macroscopico, va sottolineato come l’Italia abbia optato per una frammentazione dei compiti di governancedistribuendoli su ben cinque Autorità competenti, anziché operare la scelta opposta consistente del designarne una unica per tutti i settori interessati. In particolare le Autorità NIS sono state individuate in: Ministero dello sviluppo economico, per il settore energia, il settore infrastrutture digitali e i servizi digitali; Ministero delle infrastrutture e dei trasporti, per il settore trasporti; Ministero dell’economia e delle finanze per il settore bancario e per il settore infrastrutture dei mercati finanziari (in collaborazione con le autorità di vigilanza di settore, Banca d’Italia e Consob); Ministero della salute, per l’attività di assistenza sanitaria; Ministero dell’ambiente e della tutela del territorio e del mare, assieme alle Regioni, per il settore fornitura e distribuzione di acqua potabile. Tutte queste Autorità dovranno collaborare tra loro e con le opportune strutture territoriali, e per facilitare tale compito è stato creato un apposito Comitato tecnico di raccordo, la cui organizzazione dovrà tuttavia essere definita mediante un DCPM di futura emanazione.

È anche confermato che il ruolo del Punto unico di contatto sarà assunto direttamente dal DIS, scelta sicuramente coerente con il grande quadro di riferimento che l’Italia sta tracciando per la sicurezza cibernetica nazionale.

Sulla nuova figura dello CSIRT italiano sono già state spese molte parole e circolate tante illazioni: il DPCM appena approvato riconferma solo quanto già era trapelato, ossia che sarà istituito presso la Presidenza del Consiglio dei Ministri, svolgerà i compiti e le funzioni attualmente assegnate al CERT Nazionale (Ministero dello sviluppo economico) e al CERT-PA (Agenzia per l’Italia Digitale), e potrà avvalersi dell’Agenzia per l’Italia Digitale per lo svolgimento delle proprie funzioni. Oltre ai propri compiti tradizionali, esso svolgerà anche funzioni di hub in particolare per quanto riguarda le segnalazioni di violazione da parte degli operatori: queste infatti non dovranno essere comunicate direttamente alle Autorità competenti bensì centralmente allo CSIRT, il quale le smisterà poi alle Autorità interessate. Tutti gli altri aspetti operativi, dalle modalità di costituzione all’organizzazione interna, dovranno essere definiti mediante un apposito DPCM da emanarsi, e qui è la novità, al massimo entro il 9 novembre prossimo.

Ultima annotazione, secondaria (ma non tanto): nel testo appena approvato, all’Art.2 comma 1 è rimasto il riferimento al D.Lgs 196/2003 come norma vigente per quanto riguarda il trattamento di dati personali. Ora è vero che alla data di approvazione del decreto (18 maggio 2018) il GDPR non aveva ancora piena efficacia, che avrebbe assunto solo una settimana dopo: tuttavia era già formalmente in vigore da circa due anni, e quindi inserirlo nel riferimento normativo sarebbe stato non solo formalmente corretto ma anche, forse, una scelta più opportuna per non trovarsi il riferimento obsoleto dopo pochi giorni.