In questo articolo affrontiamo una breve panoramica degli aspetti normativi che insistono sul tema della sicurezza informatica. Partendo dalla Direttiva NIS del lontano 2016, passando per la Strategia Italiana di Cybersicurezza, fino ad arrivare alla recente Direttiva NIS 2.
Pronti ? Partiamo ! Date un breve sguardo all’immagine che segue, rappresenta i punti di riferimento principali che andremo ad approfondire.
Le fondamenta poste dai Regolamenti Europei eIDAS e GDPR
Partiamo dalle fondamenta in ambito informatico poste dal Regolamento eIDAS.
Il Regolamento eIDAS (electronic IDentification Authentication and Signature) è il Regolamento UE n. 910/2014 sull’identità digitale, emanato il 23 luglio 2014 e con piena efficacia dal 1 luglio del 2016.
Il Regolamento nasce con l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri. In particolare, fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche (per intenderci: SPID), stabilisce le norme relative ai servizi fiduciari (in particolare per le transazioni elettroniche) e compone un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato (es: PEC) e i servizi relativi ai certificati di autenticazione di siti web.
Il contraltare in ambito protezione dati personali è rappresentato dal Regolamento GDPR.
Il Regolamento GDPR – dal 25 maggio 2018 divenuto pienamente applicabile in tutti gli Stati membri – è il Regolamento UE n. 2016/679, noto come General Data Protection Regulation da cui l’acronimo GDPR. Relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, il GDPR nasce dalla necessità di garantire certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’UE verso altre parti del mondo.
Dunque: basi delle comunicazioni digitali impostate dal Regolamento eIDAS e fondamenta in materia di protezione dei dati personali definite dal Regolamento GDPR.
Tutto chiaro ? Procediamo con il cammino !
I capisaldi della normativa nazionale: CAD e Codice Privacy
La normativa nazionale ha assorbito la materia disposta dalla legislazione comunitaria attraverso due elementi principali: il CAD ed il Codice Privacy.
Il CAD (Codice dell’Amministrazione Digitale) è il testo unico che riunisce e organizza le norme riguardanti l’informatizzazione della Pubblica Amministrazione nei rapporti con i cittadini e le imprese. Istituito con il decreto legislativo n. 82 del 7 marzo 2005, è stato successivamente modificato e integrato prima con il decreto legislativo n. 179 del 22 agosto 2016 ed ancora con il decreto legislativo n. 217 del 13 dicembre 2017 per promuovere e rendere effettivi i diritti di cittadinanza digitale.
Il CAD, in estrema sintesi, definisce una carta di cittadinanza digitale con disposizioni volte ad attribuire a cittadini e imprese i diritti all’identità e al domicilio digitale, alla fruizione di servizi pubblici online e mobile oriented, a partecipare effettivamente al procedimento amministrativo per via elettronica e a effettuare pagamenti online.
Il Codice Privacy è rappresentato dal testo unico che ha semplificato e ridefinito la materia della protezione dei dati personali nella sua totalità: si tratta del d. lgs. n. 196/2003 recante il Codice in materia di protezione dei dati personali, poi integrato e modificato dal Regolamento generale sulla protezione dei dati GDPR EU 679/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione dei dati, entrato in vigore con il d.lgs. n. 101/2018 rubricato appunto “Adeguamento della normativa nazionale alle disposizioni del regolamento UE in materia di privacy”.
In sintesi: l’Information Technology in Italia parte dai profili espressi attraverso il CAD, la Privacy si definisce dal Codice Privacy.
Semplificare è sempre pericoloso ma osiamo: eIDAS nelle sue vesti tricolore è il CAD, GDPR si tramuta in Codice Privacy.
I profili descritti curano le comunicazioni digitali e la protezione dei dati: ci siamo dimenticati della sicurezza informatica ? Si ! Tranquilli, arriva la NIS ….
La Direttiva NIS del 2016
La Direttiva NIS nasce in un momento storico di crescente aumento degli attacchi informatici: a livello internazionale, il 2016, venne ritenuto l’anno peggiore per la sicurezza informatica e tra i paesi più colpiti figurava l’Italia (il Cybercrime segnava infatti un + 30% nel 2015 rispetto all’anno precedente – Fonte Clusit). Per la prima volta, il nostro Paese presenziava la classifica dei primi dieci attacchi più gravi registrati e per numero di vittime.
La Direttiva sulla sicurezza delle reti e dei sistemi informativi dell’Unione (Direttiva UE 2016/1148, c.d. NIS 1), emanata nel 2016, si pone come obiettivo – pertanto – il raggiungimento di un livello comune elevato in materia di sicurezza delle reti e dei sistemi di informazione in tutta l’UE.
Gli Stati membri avevano tempo fino al 9 maggio 2018 per trasporre la Direttiva NIS nel proprio ordinamento nazionale. L’Italia ha adempiuto con il Decreto legislativo n. 65 del 18 maggio 2018 entrato in vigore il 26 giugno 2018, emanazione italiana che non introduce innovazioni rispetto al testo europeo e non estende l’ambito di applicazione a settori diversi da quelli previsti dalla Direttiva.
Il primo passo in ambito Cybersecurity è tutto qui: la Direttiva NIS. Continuiamo il cammino …
Non dimentichiamo la normativa di Settore
Prima di procedere oltre, ricordiamo che la Direttiva NIS lascia strada a normative di settore più stringenti e specifiche. Vediamo rapidamente quali sono.
In materia di requisiti prudenziali del settore bancario, il pacchetto CRD V – Direttiva UE n. 2019/878 (Capital Requirements Directive V) – e CRR II – Regolamento UE n. 2019/876 (Capital Requirements Regulation 2, CRR II) disciplinano la gestione del capitale delle banche.
La Payment Services Directive – PSD 2, Direttiva europea n. 2015/2366, dedicata ai servizi di pagamento nel mercato interno entrata in vigore il 13 gennaio 2016 e recepita dal Parlamento italiano l’11 dicembre 2017.
Solvency II che stabilisce, nel contesto europeo, un set di requisiti di capitale e di gestione del rischio che si sposano con l’obiettivo della tutela del consumatore.
La MiFID II (Acronimo di Markets in Financial Instruments Directive, entrata in vigore il 3 gennaio 2018) che si pone come obiettivo lo sviluppo di un mercato unico dei servizi finanziari in Europa.
Il Digital Operational Resilience Act (DORA) quale regolamento dell’Unione Europea che stabilisce un framework vincolante e completo riguardante la gestione del rischio delle tecnologie di informazione e comunicazione per il settore finanziario dell’UE (il regolamento DORA stabilisce gli standard tecnici che le entità finanziarie e i loro fornitori critici di servizi tecnologici di terze parti devono implementare nei propri sistemi ICT entro il 17 gennaio 2025).
Excursus terminato, basta solo sapere che esistono altre disposizioni legislative per specifici settori. Adesso non perdiamo il bandolo della matassa e restiamo concentrati sulla sicurezza cibernetica.
La Strategia Nazionale di Cybersicurezza
Secondo le indicazioni della Direttiva NIS e come disposto dal d. lgs 65/2018, gli stati membri hanno il compito di adottare una strategia nazionale che definisca:
- gli obiettivi e le priorità in materia di sicurezza delle reti e dei sistemi informativi;
- un quadro di governance per conseguire gli obiettivi e le priorità della strategia nazionale in materia di sicurezza delle reti e dei sistemi informativi, inclusi i ruoli e le responsabilità degli organismi pubblici e degli altri attori pertinenti;
- le misure di preparazione, risposta e recupero, inclusa la collaborazione tra settore pubblico e settore privato;
- un’indicazione di programmi di formazione, sensibilizzazione e istruzione relativi alla strategia in materia di sicurezza delle reti e dei sistemi informativi;
- un’indicazione di piani di ricerca e sviluppo relativi alla strategia in materia di sicurezza delle reti e dei sistemi informativi;
- un piano di valutazione dei rischi per individuare i rischi;
- un elenco dei vari attori coinvolti nell’attuazione della strategia nazionale in materia di sicurezza delle reti e dei sistemi informativi.
La definizione ed attuazione della Strategia Nazionale per la Cybersecurity, in Italia, è competenza dell’Agenzia Nazionale per la Cybersicurezza (ACN), quale Autorità competente NIS e Punto unico di contatto per la sicurezza delle reti e dei sistemi informativi.
Attualmente la Strategia Nazionale per La Cybersecurity riguarda il quinquennio 2022-2026 e si propone quale obiettivo strategico la pianificazione, il coordinamento e l’attuazione di misure tese a rendere il Paese più sicuro e resiliente, garantendo, nell’alveo del percorso comunitario, l’aderenza ai principi della Strategia di Cybersecurity Europea, della Bussola Strategica per la sicurezza e la difesa dell’UE e degli indirizzi strategici della NATO.
La strategia prevede il raggiungimento di 82 misure entro l’anno 2026 e rappresenta un percorso all’insegna dell’innovazione pianificato, definito e monitorato dalla stessa Agenzia per la cybersicurezza nazionale, che si occuperà di controllare che gli obiettivi preposti vengano raggiunti. Essa contiene, infatti, la definizione di metriche e Key Performance Indicator (KPI) per registrare il percorso attuativo delle misure della Strategia nazionale e valutare costantemente l’andamento dei percorsi di realizzazione.
Suggerimento: leggete la prefazione del Prof. Mario Draghi, sarà più chiaro l’orizzonte di questo percorso.
La Direttiva NIS 2 del 2022
Ci siamo. Arriviamo ai giorni nostri.
La Direttiva UE n. 2022/2555 del Parlamento Europeo e del Consiglio del 14 dicembre 2022, meglio nota come NIS 2, nasce con l’intento di garantire un livello comune elevato di cibersicurezza nell’Unione in modo da migliorarne il funzionamento del mercato interno e di armonizzare le normative degli stati membri definendone i requisiti minimi.
Essa introduce le considerazioni preliminari del proprio impianto normativo riconoscendo al testo predecessore (la Direttiva NIS) diversi meriti e traguardi raggiunti. La Direttiva NIS è riconosciuta, infatti, quale catalizzatore normativo che ha incentivato le istituzioni europee a normare e definire il tessuto legislativo di supporto al percorso di cybersicurezza comunitario; allo stesso tempo, la Direttiva n. 1148 del 2016, ha indubbiamente rappresentato l’elemento trainante nel percorso di completamento dei quadri strategici nazionali e delle relative misure applicative in tema di sicurezza informatica nonché ha contribuito alla definizione di una governance europea attraverso l’istituzione di gruppi di cooperazione e reti internazionali di collaborazione.
Nonostante il doveroso tributo, la Direttiva NIS 2, analizza al contempo i numerosi limiti ed obiettivi non conseguiti a causa di carenze intrinseche nella precedente disposizione normativa che hanno impedito di affrontare con efficacia le sfide cibernetiche: non a caso la NIS 2 rinnova molti dei principi già enuncianti nella versione del 2016 ma abroga il precedente testo normativo riscrivendone interamente le disposizioni.
Seguendo tale finalità, la Direttiva si prepone l’obiettivo di esporre una chiara ed univoca definizione dei principi che determinano la pluralità dei soggetti coinvolti dal suo ambito di applicazione. Essa introduce due categorie per la classificazione: i “Soggetti essenziali” ed i “Soggetti importanti” precisando l’importanza di costituire oneri differenziati e proporzionali per garantire un giusto equilibrio tra i requisiti e gli obblighi basati sui rischi, da un lato, e gli oneri amministrativi derivanti dalla vigilanza della conformità, dall’altro.
Come in passato, delineati i criteri ed i principi di massima, la Direttiva impone la definizione di un elenco esplicito dei soggetti interessati agli stati membri allo scopo di garantire una panoramica chiara dei soggetti che rientrano nell’ambito di applicazione della presente direttiva.
Cosa impone la Direttiva NIS 2 ? Beh, questo lo vedremo nei prossimi post.
Concludendo
eIDAS, GDPR: in Italia CAD e Codice Privacy.
NIS ora NIS 2: voilà la cybersicurezza !
Non ci sono più scuse: il decreto legislativo n. 138/2024 ha recepito la Direttiva NIS 2. Si parte !