[:it]Il 9 maggio 2018 scade il termine entro il quale gli Stati membri dell’Unione Europea dovranno dare attuazione alla Direttiva (UE) 2016/1148, (la “Direttiva”).
In Italia è stata recepita con Decreto Legislativo 65/2018 ed è entrata in vigore il 24 giugno.
Si tratta di un ulteriore sforzo che le aziende, dopo l’applicazione del Regolamento UE 679/2016 (“GDPR“), dovranno fare per adeguarsi alla nuova normativa comunitaria.
I destinatari del provvedimento possono essere suddivisi in due categorie:
a) fornitori di servizi digitali;
b) operatori di servizi essenziali.
I criteri per l’identificazione degli operatori di servizi essenziali di cui all’articolo 4, punto 4 della Direttiva, sono i seguenti:
a) un soggetto fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali;
b) la fornitura di tale servizio dipende dalla rete e dai sistemi informativi; e
c) un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio.
La Direttiva demanda a ciascuno stato membro il compito di identificare in dettaglio l’elenco dei servizi di cui alla lettera a) sopra e di cui all’Allegato II della Direttiva.
Per valutare se un incidente possa avere effetti negativi rilevanti sulla fornitura del servizio, gli Stati membri devono tenere conto almeno dei seguenti fattori intersettoriali:
a) il numero di utenti che dipendono dal servizio fornito dal soggetto interessato;
b) la dipendenza di altri settori di cui all’allegato II della Direttiva dal servizio fornito da tale soggetto;
c) l’impatto che gli incidenti potrebbero avere, in termini di entità e di durata, sulle attività economiche e sociali o sulla pubblica sicurezza;
d) la quota di mercato di detto soggetto;
e) la diffusione geografica relativamente all’area che potrebbe essere interessata da un incidente;
f) l’importanza del soggetto per il mantenimento di un livello sufficiente del servizio, tenendo conto della disponibilità di strumenti alternativi per la fornitura di tale servizio.
Per quanto riguarda, invece, i servizi digitali, essi sono definiti nell’Allegato III della Direttiva e sono:
- Motori di ricerca;
- Mercato on line;
- Servizi di cloud computing (che curiosamente i traduttori della Commissione Europea traducono “Servizi nella Nuvola”)
La definizione esatta dei soggetti a cui la norma verrà applicata, avverrà il 9 novembre 2018 a cura dei Ministeri interessati (Infrastrutture e Trasporti, Sviluppo economico, Salute, Economia e Ambiente).
In effetti alcuni (molti) obblighi previsti sia per i fornitori di servizi digitali che per quelli di servizi essenziali, pare richiamare le prescrizioni del GDPR.
Si noti in particolare, la parte relativa alla sicurezza adeguata al rischio e alla norifica alle autorità competenti senza ingiustificato ritardo, degli incidenti aventi un impatto rilevante.
E’ quindi opportuno affrontare la Direttiva e il GDPR, nonchè la normativa correlata (si veda il Regolamento di esecuzione 2018/151 del 30 gennaio 2018 e le varie norme nazionali di riferimento) con una visione di insieme.
In particolare in Italia, il Parlamento ha attribuito al Governo la delega per l’attuazione della Direttiva con Legge 163/2017 del 25 ottobre 2017.
L’importanza della nuova normativa comunitaria in materia di Cybersecurity, è ben precisato nei considerando della Direttiva stessa.
La portata, la frequenza e l’impatto degli incidenti a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali sistemi possono inoltre diventare un bersaglio per azioni intenzionalmente tese a danneggiare o interrompere il funzionamento dei sistemi. Tali incidenti possono impedire l’esercizio delle attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all’economia dell’Unione.
Le reti e i sistemi informativi, e in prima linea internet, svolgono un ruolo essenziale nell’agevolare i movimenti transfrontalieri di beni, servizi e persone. Tenendo conto di questa dimensione transnazionale, gravi perturbazioni di tali sistemi, intenzionali o meno e indipendentemente dal luogo in cui si verificano, possono ripercuotersi su singoli Stati membri e avere conseguenze in tutta l’Unione. La sicurezza delle reti e dei sistemi informativi è quindi essenziale per l’armonioso funzionamento del mercato interno.
Le capacità esistenti non bastano a garantire un livello elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. I livelli di preparazione negli Stati membri sono molto diversi tra loro il che ha comportato una frammentazione degli approcci nell’Unione. Ne deriva un livello disomogeneo di protezione dei consumatori e delle imprese che compromette il livello globale di sicurezza delle reti e dei sistemi informativi nell’Unione. La mancanza di obblighi comuni imposti agli operatori di servizi essenziali e ai fornitori di servizi digitali rende inoltre impossibile la creazione di un meccanismo globale ed efficace di cooperazione a livello dell’Unione.
Per una risposta efficace alle sfide in materia di sicurezza delle reti e dei sistemi informativi è pertanto necessario un approccio globale a livello di Unione, che contempli la creazione di una capacità minima comune e disposizioni minime in materia di pianificazione, scambio di informazioni, cooperazione e obblighi comuni di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali.
Nulla osta tuttavia a che gli operatori di servizi essenziali e i fornitori di servizi digitali applichino misure di sicurezza che siano più rigorose di quelle previste ai sensi della presente direttiva.[:]