Il Decreto NIS è la prima legge italiana dedicata alla cybersicurezza adottata per recepire i requisiti stabiliti dalla Direttiva NIS 1, in questo articolo nei illustiamo i contenuti.
Continua la rubrica CyberItalia con questo terzo articolo in cui esaminiamo il Decreto NIS, la prima legge italiana completamente dedicata alla sicurezza informatica, adottata per recepire i requisiti europei in materia di cybersicurezza stabiliti dalla Direttiva NIS 1.
In Italia, la Direttiva NIS 1 è stata recepita dal Decreto NIS (d.lgs. 65/2018), che traspone a livello nazionale i principi generali e gli obblighi specifici in materia di sicurezza informatica rivolti a operatori di servizi essenziali (OSE) e fornitori di servizi essenziali (FSD).
Quando? Pubblicato in G.U. il 18 maggio 2018, il decreto rimane attualmente in vigore in attesa del recepimento della Direttiva NIS 2, entro ottobre 2024, che abroga la Direttiva NIS 1.
A chi si rivolge? Come la Direttiva, il Decreto NIS trova applicazione nei confronti di
- Operatori Servizi Essenziali (OSE) e
- Fornitori di Servizi Digitali (FSD), come definiti dalla Direttiva NIS e ulteriormente specificati a livello nazionale nell’Allegato II del Decreto NIS.
Il Ministero dello Sviluppo Economico (ora Ministero delle Imprese e del Made in Italy – Mimit) ha istituito un elenco nominativo nazionale degli OSE che sono stati individuati dai Ministeri nelle rispettive aree di competenza. Finora sono 465 le società e gli enti identificati come OSE e tenuti a rispettare la normativa NIS. L’elenco non però stato reso pubblico per ragioni di sicurezza nazionale.
Rispetto alla Direttiva NIS 1, il Decreto NIS non ha invece previsto alcuna specifica o ampliamento in relazione alla categoria dei FSD che comprendono quindi: operatori di e-commerce, motori di ricerca e cloud computing.
Cosa prevede? L’approccio del Decreto NIS rimane di alto livello – in linea con la finalità di ampio respiro della Direttiva NIS 1.
Il Decreto sostanzialmente incorpora, senza introdurre particolari specificazioni, gli obblighi generali previsti dalla Direttiva NIS 1 rispetto:
(i) all’adozione di misure di sicurezza in grado di prevenire, gestire e contenere gli incidenti;
(ii) all’obbligo di notifica, senza ingiustificato ritardo, degli OSE e FSD di incidenti di sicurezza “aventi un impatto rilevante sulla fornitura dei servizi” essenziali forniti, al CSIRT e alle autorità competenti NIS.
Queste ultime sono state inizialmente identificate dal Decreto in cinque diversi Ministeri (sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente), ciascuno responsabile per uno o più settori rientranti nelle proprie aree di competenza. Il Dipartimento delle informazioni per la sicurezza viene invece indicato come punto di contatto unico per i ruoli di coordinamento europeo.
Il Decreto NIS prevede infine l’adozione di una “strategia nazionale di sicurezza cibernetica” istituisce inoltre il CSIRT (Computer Security Incident Response Team) italiano con compiti di natura tecnica legati a prevenzione, risposta e monitoraggio degli incidenti informatici, in collaborazione con i CSIRT europei.
Sul tema della cybersicurezza vedi anche CyberItalia: Dalla Direttiva NIS 1 alla NIS 2 in pillole e CyberItalia: L’evoluzione normativa della cybersecurity in Italia (dirittoaldigitale.com) .
Autore: Maria Chiara Meneghetti
