Conferenza CSE

Artini sulla NIS: aspetti vitali da chiarire, recepimento occasione da non perdere

1.358

Il commento dell’on. Massimo Artini, Vice presidente della Commissione Difesa della Camera ed esperto cyber, sullo schema di recepimento della Direttiva europea NIS

Il decreto legislativo per il recepimento nell’ordinamento italiano della direttiva europea NIS (Network and Information Security) giunge all’“ultimo tuffo”, a Camere ormai sciolte. Il tempo non sarebbe mancato, visto che la direttiva europea è stata emessa a luglio 2016, ma evidentemente il tema della sicurezza cibernetica non è stato tra le priorità del governo italiano.

Ciò nonostante, grazie proprio alla necessità di recepire la normativa europea, finalmente si adotta una dettagliata normativa nazionale che identifica le aree di interesse cyber in tutti gli ambiti di fornitura di servizi essenziali e digitali, e si identificano le infrastrutture critiche, intervento “strategico” per la sicurezza nazionale che avrebbe dovuto essere completato molto tempo fa, ma che fino ad oggi è sempre stato svolto solo parzialmente.

Un altro elemento positivo stimolato dalla direttiva NIS e attuato con il Dlgs riguarda l’accorpamento del CERT Nazionale e del CERT-PA, in un unico CSIRT (Computer Security Incident Response Team).

Purtroppo, anziché ristrutturare dalle fondamenta l’attuale debole architettura nazionale di sicurezza cibernetica alla direttiva NIS, cogliendo l’occasione per adottare un approccio onnicomprensivo alla materia, si è deciso di fare il contrario, cioè di adattare il recepimento della NIS al DPCM Gentiloni del 17 febbraio 2017.

Così si continuano a concentrare nuove responsabilità sul DIS (Dipartimento delle Informazioni per la Sicurezza), che assume il ruolo di “punto di contatto unico” previsto dalla direttiva, senza peraltro riuscire a giungere alla definizione di un’unica autorità competente per la sicurezza cibernetica nazionale.

Anche questa volta si è persa l’opportunità di definire modalità e responsabilità nel caso sia necessaria una reazione nei confronti dell’aggressore in caso di grave attacco. Per di più nella definizione delle risorse da assegnare al CSIRT-IT si parla di personale sufficiente a garantire presenza 24 h, ma non si parla di garantire un certo carico di lavoro, e ciò rappresenta un rischio, considerato che questo organo dovrebbe coprire le esigenze di sicurezza cyber delle PA e delle imprese nazionali. Del tutto assente anche una valutazione rispetto all’esigenza di ricerca e allo sviluppo di tecnologia nazionale a protezione delle nostre reti.

Un nota certamente positiva riguarda lo stanziamento stimato in 1 milione di euro l’anno a partire dal 2018. Almeno si potrà iniziare a fare qualcosa di concreto, anche se non molto visto che al CSIRT andranno solo 250.000 euro e al DIS 100.000 e il resto sarà suddiviso tra i ministeri per coprire le nuove incombenze, per lo più burocratiche.

Anche se non è chiaro come si svilupperà il dibattito in Parlamento, visto che lo schema di decreto legislativo risulta assegnato solo alla Camera e non ancora al Senato.

Inoltre difficilmente le Commissioni competenti difficilmente saranno ricostituite prima di aprile.

In ogni caso Il termine di recepimento previsto per il 9 maggio può anche essere superato per qualche settimana, se accompagnato da un chiaro impegno ad essere il più veloci possibile.

 

Per leggere il testo ufficiale NIS, la relazione illustrativa e il parere di PAA sull’iter clicca QUI

Lascia una risposta

L'indirizzo email non verrà pubblicato.