Conferenza CSE

Rush di fine legislatura per la direttiva NIS e commento di ConferenzaCSE

2.194

Il Consiglio dei Ministri ha approvato ieri sera, 8 febbraio 2018, in esame preliminare, lo schema di Decreto legislativo, che recepisce la Direttiva europea NIS (Network Information Security). Ne dà conto il punto 8 del comunicato del Consiglio dei Ministri n. 69 Governo Gentiloni. Il provvedimento deve adesso essere vagliato ed approvato dalle Commissioni parlamentari competenti (sicuramente le Prime, Affari Costituzionali ed Interni) per poi tornare il consiglio dei Ministri nella versione finale che potrebbe aver recepito qualche modifica del Parlamento. Poi la firma del capo dello Stato e la pubblicazione nella Gazzetta Ufficiale. Il testo del provvedimento non è ancora pubblico. Lo diventerà obbligatoriamente nei prossimi giorni quando approderà alla Camera e al Senato. Il termine per il recepimento della direttiva scade il 9 maggio.

8 – Sicurezza delle reti e dei sistemi informativi
Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (Presidenza del Consiglio e Ministero dello sviluppo economico – esame preliminare).
Il decreto recepisce la direttiva (UE) 2016/1148 (cosiddetta direttiva NIS – Network and Information Security) sulla sicurezza delle reti e dei sistemi informativi nell’Unione, che per la prima volta affronta in modo organico e trasversale gli aspetti in materia di cyber security, rafforzando la resilienza e la cooperazione in Europa.

Il decreto persegue tre obiettivi principali:
1. promuovere una cultura di gestione del rischio e di segnalazione degli incidenti tra i principali attori economici, in particolare gli operatori che forniscono servizi essenziali per il mantenimento di attività economiche e sociali e i fornitori di servizi digitali;
2. migliorare le capacità nazionali di cyber security;
3. rafforzare la cooperazione a livello nazionale e in ambito Ue.

Allo scopo di assicurare la continuità dei servizi essenziali (energia, trasporti, salute, finanza, ecc.) e dei servizi digitali (motori di ricerca, servizi cloud, piattaforme di commercio elettronico), il decreto prevede l’adozione di misure tecnico-organizzative per ridurre il rischio e limitare l’impatto di incidenti informatici e l’obbligo di notifica di incidenti con impatto rilevante sulla fornitura dei servizi. Parallelamente, il testo individua le Autorità competenti “NIS” e i rispettivi compiti, svolti in cooperazione con le omologhe Autorità degli altri Stati membri, nonché il Computer Security Incident Response Team (CSIRT) nazionale, con compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con gli altri CSIRT europei.

 

 

Commento di ConferenzaCSE

Per la sicurezza informatica serve condivisione, non segretezza, né fretta.

Sappiamo che non è stata una decisione facile. Portare il testo del recepimento della direttiva NIS nel Consiglio dei ministri di ieri per l’estremo tentativo di una approvazione entro il 9 maggio, nell’assoluta incertezza di che Parlamento avremo dopo il 4 marzo è la solita medaglia a due facce.

Il provvedimento è di estrema importanza, non si può rischiare di sforare i tempi o restare bloccati da dibattiti parlamentari inconcludenti. Dall’altra parte la qualità di un provvedimento che deve contenere norme rilevantissime, come l’elenco delle società responsabili di infrastrutture critiche e quindi soggette agli obblighi di intervento e comunicazione. Salatissime – e sacrosante – le multe per chi non rispettasse questi impegni.

E il passaggio parlamentare dei prossimi giorni non è affatto scontato. Più si avvicina il giorno della consultazione elettorale e più è a rischio il numero legale. I parlamentari impegnati in campagna elettorale, con questa legge quasi tutti a rischio, hanno altro da fare; quelli non ricandidati non hanno alcun motivo per andare in Parlamento (e alcuni non andranno anche per dispetto). In ogni caso l’esame sarà necessariamente compresso e a “tirar via”, e sappiamo quanto si rischia poi a rimettere mano a provvedimenti legislativi dal contenuto tecnico come questo.

Mai come ora sarebbe stata necessaria una elaborazione trasparente e condivisa con gli operatori del settore, in particolare con quelli dell’energia, che giustamente è al primo posto nell’elenco di quelli investiti dal provvedimento. Impossibile anche un ciclo di audizioni, come sarebbe stato più che necessario.

Anzi, per la verità, questo provvedimento avrebbe meritato una consultazione pubblica ampia, presso tutti i cittadini, e sarebbe stato anche un ottimo strumento per affrontare il problema principale della cyber security: il ritardo culturale e l’ignoranza da parte di troppi, cittadini e imprese (parlamentari inclusi, si contano sulle dita di una sola mano quelli che nella scorsa legislatura si sono occupati seriamente della cosa).

Con la procedura affrettata e super riservata utilizzata nelle scorse settimane, può essere mancata – a nostro avviso – la percezione di cosa siano diventati i settori energetici con le liberalizzazioni avviate a cavallo del secolo e la velocità di trasformazione che sta imprimendo la digitalizzazione ai mercati di elettricità e gas.

Nel mondo che tipicamente si occupa di difesa, ambienti culturalmente molto “pubblici”, prevale ancora il “comando-controllo”. Invece il vecchio mondo dei monopoli pubblici verticalmente integrati non esiste più. Adesso ci sono pluralità di operatori in entrata e in uscita dalle stesse infrastrutture dorsali, ciascuno con i propri sistemi informatici.

Migliaia i produttori di grandi e medie dimensioni, centinaia di migliaia quelli di piccole dimensioni, tutti con accesso diretto o indiretto alle reti principali. Al posto della comando-controllo c’è adesso la regolazione incentivante, metodologia aperta per definizione, con mille sfaccettature. Per non parlare poi dei contatori elettronici telegestiti, decine di milioni. C’è poi il tema della capacità di investimento di questa pluralità di soggetti. Il settore elettrico è ancora sotto choc per i fallimenti di alcuni grossi trader lo scorso anno.

Insomma, speriamo di essere smentiti in questi timori. Fare un passaggio pubblico nel mese di gennaio, anche breve, almeno sulle impostazioni principali del provvedimento, avrebbe in ogni caso aiutato.

Lascia una risposta

L'indirizzo email non verrà pubblicato.