Conferenza CSE

La NIS è legge

599

Pubblicato nella Gazzetta Ufficiale n. 132 del 9 giugno 2018 il Decreto legislativo 18 maggio 2018, n. 65 che entrerà in vigore il prossimo 24 giugno con pochissime integrazioni rispetto alla bozza. Per essere operativo il provvedimento richiede però altri essenziali interventi normativi. Le proposte di modifica inviate al Parlamento da ConferenzaCSE – Energia Media.

 

Lo schema di decreto legislativo NIS (qui il testo), approvato lo scorso 18 maggio dal Consiglio dei Ministri, è diventato legge con la pubblicazione nella Gazzetta Ufficiale n. 132 del 9 giugno 2018. Il decreto ha assunto il numero 65/2018 ed entrerà in vigore il prossimo 24 giugno.

Rispetto alla bozza il provvedimento definitivo – come segnalato da Public Affair Advisors – innalza gli oneri derivanti dagli articoli 7 (Autorità nazionali competenti e punto di contatto unico) e 8 (Gruppi di intervento per la sicurezza informatica in caso di incidente – CSIRT) a 5.300.000 euro per il 2018 e 3.300.000 euro annui a decorrere dal 2019.

Inoltre, accogliendo una delle osservazioni formulate dalla Commissione speciale della Camera, all’articolo 8 comma 2 si introduce la data del 9 novembre 2018 quale termine ultimo per l’adozione del previsto decreto del Presidente del Consiglio dei ministri che dovrà disciplinare l’organizzazione e il funzionamento del CSIRT italiano. La data del 9 novembre è la stessa entro la quale deve essere definito l’elenco dei soggetti ai quali si applica il provvedimento.

Nessuna modifica invece in tema di importi delle sanzioni, come pure era stato richiesto dalla Commissione parlamentare speciale del Senato anche sotto pressione di alcune associazioni dei consumatori e anche se il Comunicato di Palazzo Chigi avesse dichiarato l’approvazione finale del decreto “tenuto conto dei pareri espressi dalle Commissioni speciali della Camera dei deputati e del Senato della Repubblica e dalla Conferenza unificata”.

Nel merito del provvedimento ConferenzaCSE – Cyber Security Energia aveva suggerito alle Commissioni Speciali di Camera e Senato di svolgere un ciclo di audizioni prima di formulare il previsto parere, chiedendo anche di essere ascoltati. La risposta delle Commissioni è stata negativa per motivi di “urgenza” ma fu suggerito – in tempi brevissimi – di fornire contributi scritti.

Con la collaborazione dell’on. Massimo Artini, esperto della materia e già vice presidente della Commissione Difesa della Camera nella scorsa legislatura, abbiamo elaborato e inviato ai Relatori il documento di osservazioni qui allegato, che però non è stato poi discusso dagli organi parlamentari. A nostro avviso sarebbe stato utile intervenire in questa fase piuttosto che doverlo fare successivamente con altri provvedimenti di legge. Qui alleghiamo anche le osservazioni formulate dalle Commissioni parlamentari (NIS Camera, NIS Senato, NIS Conferenza Unificata) a fronte però di un dibattito molto scarno.

La NIS prevede poi una serie di altri provvedimenti attuativi prima di essere operativa, qui di seguito elencati.

Entro il 9 novembre 2018, con decreto del Ministero dello sviluppo economico (Autorità competente NIS per l’energia) si dovrà definire l’elenco delle società tenute a garantire la sicurezza cibernetica dei servizi energetici “essenziali” e obbligate a comunicare gli incidenti occorsi. La NIS elenca dei criteri generici per l’identificazione delle imprese.

Un secondo provvedimento, sempre entro il 9 novembre, riguarderà il funzionamento del CSIRT (Gruppo di intervento per la sicurezza informatica in caso di incidente) l’organismo preposto alle procedure di prevenzione e gestione degli incidenti. Tra le imprese e il CSIRT si frappongono le Autorità competenti NIS (Ministeri di riferimento dei vari settori), ma il suo ruolo operativo è centrale.

Il CSIRT sostituirà il CERT Nazionale e il CERT PA (il ruolo di indirizzo strategico è invece demandato al DIS, Dipartimento Informazioni Sicurezza, designato quale Punto Unico di Contatto). Il funzionamento del CSIRT è fondamentale anche perché – a nostro giudizio – alle Autorità Competenti NIS (Ministeri) sono state assegnate risorse assolutamente inadeguate (mentre sono incaricate sia delle ispezioni sia delle procedure sanzionatorie).

Il terzo provvedimento atteso riguarda l’Accordo Governo, Regioni, Provincie Autonome per la definizione dei criteri uniformi nazionali per lo svolgimento di ispezioni e verifiche per i settori acqua e sanità. Per gli altri settori i criteri sono definiti dal CSIRT (ma attuati dalle Autorità competenti).

Con un apposito DPCM dovrà poi essere istituito presso la Presidenza del Consiglio un Comitato tecnico di Raccordo per la collaborazione tra i vari soggetti incaricati della NIS (Autorità competenti, Punto unico, CSIRT, Regioni e Provincie autonome).

Il Punto di contatto unico entro il 9 agosto di ogni anno deve poi trasmettere al Gruppo di cooperazione internazionale una relazione in merito alle notifiche ricevute. Entro il 9 novembre 2018, in seguito ogni due anni, il Punto di contatto unico deve anche trasmettere alla Commissione Europea informazioni sull’attuazione della NIS, in particolare sull’identificazione degli operatori dei servizi essenziali.

Nulla è detto sulla collaborazione pubblico-privato per la loro definizione e sulla pubblicità da dare a questi atti.

Lascia una risposta

L'indirizzo email non verrà pubblicato.