Decreto legislativo - 18/05/2018 - n. 65 art. 3 - Definizioni 1

Player nell'architettura della sicurezza nazionale e ruolo dell'Agenzia per la Cybersicurezza Nazionale

Il decreto definisce le misure volte ad ottenere un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare quello comune nell'Unione europea (art. 1, comma 1, d.lgs. n. 65/2018).

In tale contesto, in Italia giocano un ruolo fondamentale le autorità di settore, ossia i Ministeri responsabili di identificare gli operatori di servizi essenziali («OSE»), con sede nel territorio nazionale, per uno o più settori rientranti nella propria area di competenza:

– Ministero delle Imprese e del Made in Italy già Ministero dello Sviluppo Economico;

– Ministero delle Infrastrutture e dei Trasporti;

– Ministero dell'Economia e delle Finanze in collaborazione con Banca d'Italia e Consob;

– Ministero della Salute;

– Ministero dell'Ambiente e della Sicurezza Energetica già Ministero della Transizione Ecologica.

Per alcuni ambiti – come la salute e la fornitura e distribuzione di acqua potabile – rientrano tra le autorità di settore anche le Regioni e Province autonome di Trento e Bolzano (direttamente o per il tramite delle autorità territorialmente competenti) – cfr. artt. 3, lett. a) e 7, comma 1, d.lgs. n. 65/2018.

In fase iniziale sono state individuate poco più di quattrocentocinquanta OSE, pubblici o privati; le successive proposte di aggiornamento dell'elenco OSE devono essere formulate dalle suddette autorità di settore nei confronti dell'Agenzia per la Cybersicurezza Nazionale o «ACN», quale autorità nazionale competente NIS e punto di contatto unico (art. 4, commi 5 e 6, d.lgs. n. 65/2018).

Un altro player nell'architettura nazionale di sicurezza è il Gruppo di intervento per la sicurezza informatica in caso di incidente o Computer Security Incident Response Team («CSIRT»), istituito presso la Presidenza del Consiglio dei ministri, che accorpa in sé i compiti e le funzioni del Computer Emergency Response Team («CERT») nazionale, operante presso il Ministero delle Imprese e del Made in Italy già Ministero per lo sviluppo economico, e del CERT della Pubblica Amministrazione («CERT-PA») in seno all'Agenzia per l'Italia digitale (cfr. art. 16-bis d.lgs. n. 259/2003 poi abrogato dal d.lgs. 8 novembre 2021, n. 207 «Attuazione della direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell'11 dicembre 2018, che istituisce il Codice europeo delle comunicazioni elettroniche»; art. 51 d.lgs. n. 82/2005 e s.m.i.), strutture queste ultime che supportano rispettivamente il settore privato e la Pubblica Amministrazione nella prevenzione e risposta agli incidenti cibernetici.

La definizione del funzionamento e dell'organizzazione di questa struttura – preposta alla prevenzione e gestione dei rischi e degli incidenti informatici – è stata demandata ad un decreto del Presidente del Consiglio dei ministri adottato solo in data 8 agosto 2019, nonostante il termine finale del 9 novembre 2018 (pubblicazione in G.U. Serie Generale n. 262 del 8 novembre 2019). Le disposizioni di tale decreto dovevano entrare in vigore in data 6 maggio 2020 (centottanta giorni successivi alla pubblicazione in Gazzetta Ufficiale). Tuttavia, al fine di consentire «l'effettivo e ordinato trasferimento al CSIRT italiano» delle funzioni in atto svolte dal CERT nazionale e dal CERT-PA, in stretto raccordo tra loro, e di consentire l'avvalimento dell'AgID, le prescrizioni di cui agli artt. 3 e 8 del decreto sono entrate in vigore il 23 novembre 2019, ossia quindici giorni post pubblicazione (per eventuali approfondimenti si rinvia a quanto riportato a commento del successivo art. 8 del d.lgs. n. 65/2018).

L'ACN è stata, poi, designata quale «punto di contatto unico» (in luogo del Dipartimento delle informazioni per la sicurezza o «DIS») per il coordinamento, a livello nazionale, delle questioni relative alla sicurezza delle reti e dei sistemi informativi e per la cooperazione transfrontaliera con le autorità competenti negli altri Stati membri, nonché con la rete di CSIRT ed il Gruppo di cooperazione (altrimenti noto come «NIS Cooperation Group»), composto da rappresentanti degli Stati membri medesimi, della Commissione europea e dell'Agenzia europea per la sicurezza delle reti e dell'informazione o European Union Agency for Network and Information Security (c.d. «ENISA»), con il compito di supportare e facilitare la collaborazione strategica e lo scambio di informazioni tra gli Stati membri dell'UE.

Il punto di contatto unico è, altresì, chiamato a collaborare nel Gruppo di cooperazione «in modo effettivo, efficiente e sicuro» con i rappresentanti degli altri Stati, oltreché con l'autorità di contrasto e con il Garante per la protezione dei dati personali (art. 7, commi 5 e 6, d.lgs. n. 65/2018).

L'autorità di contrasto è individuata nell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione, preposto ad assicurare i servizi di protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale, operando mediante collegamenti telematici definiti con apposite convenzioni con i responsabili delle strutture interessate (art. 7-bis d.l. n. 144/2005, convertito, con modificazioni, in l. n. 155/2005).

Nell'architettura della sicurezza nazionale, un ruolo di primo piano è riservato, poi, agli operatori di servizi essenziali («OSE»), soggetti pubblici o privati che soddisfano i criteri di cui all'art. 4, comma 2 d.lgs. n. 65/2018, come sopra descritto. In tale categoria rientrano i settori e sottosettori elencati in Allegato II ossia: energia (elettrica, petrolio, gas), trasporti (aereo, ferroviario, per vie d'acqua, su strada), settore bancario, infrastrutture dei mercati finanziari, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali (Domain Name System service provider, TLD name registry, IXP).

Nel perimetro dei fornitori di servizi digitali («FSD»), invece, sono ricomprese le sole persone giuridiche con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale, che forniscono un servizio di un tipo elencato nell'Allegato III del d.lgs. n. 65/2018 ossia di e-commerce, cloud computing o motori di ricerca. Per «servizio digitale» deve intendersi «qualsiasi servizio della società dell'informazione, vale a dire qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi», come disposto dall'art. 1, paragrafo 1, lett. b) dir. (UE) 2015/1535, che prevede una procedura d'informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione, al fine di assicurare il buon funzionamento del mercato interno, eliminando o limitando le restrizioni alla libera circolazione delle merci, delle persone, dei servizi e dei capitali, derivanti da regolamenti nazionali tecnici diversi, favorendo la trasparenza delle iniziative di ciascuno Stato nei confronti della Commissione europea, degli organismi di normazione e degli altri Stati membri. Tra i servizi non contemplati in tale definizione è possibile elencare, a titolo esemplificativo ma non esaustivo, i servizi forniti in presenza del prestatario e del destinatario anche se mediante dispositivi elettronici (non forniti a distanza), i servizi non forniti attraverso sistemi elettronici di archiviazione/trattamento di dati come i servizi di telefonia vocale o il marketing diretto per telefono/fax, i servizi forniti mediante invio di dati senza una richiesta individuale e destinati alla ricezione simultanea da parte di un numero illimitato di destinatari come i servizi di radiodiffusione – cfr. Allegato I dir. (UE) 2015/1535.

È dovere di ciascuno Stato membro agevolare lo svolgimento dei compiti della Commissione europea, notificandole i propri progetti nel settore delle regolamentazioni tecniche, ai sensi dell'art. 4, paragrafo 3, del Trattato sull'Unione europea («TUE»), così come informare gli altri Stato membri. Ciò per consentire ai predetti soggetti di disporre del tempo necessario per proporre modifiche di una misura progettata, al fine di eliminare o ridurre eventuali ostacoli alla libera circolazione delle merci – considerando 5, 6, 13 dir. (UE) 2015/1535 (cfr. Senato della Repubblica – Camera dei Deputati, Legge di delegazione europea 2015, 58).

In sede di recepimento della dir. (UE) 2015/1535, il Governo italiano con il d.lgs. n. 223/2017 ha apportato, tra l'altro, modifiche alla l. n. 317/1986 e s.m.i., «Disposizioni di attuazione di disciplina europea in materia di normazione europea e procedura d'informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione», sostituendo l'art. 1 rubricato «Definizioni». Nell'attuale formulazione è presente la medesima dizione di «servizio» di cui alla dir. (UE) 2015/1535, come sopra riportata.

Per incidente si intende «ogni evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi» e per trattamento dell'incidente «tutte le procedure necessarie per l'identificazione, l'analisi e il contenimento di un incidente e l'intervento in caso di incidente». Per rischio «ogni circostanza o evento ragionevolmente individuabile con potenziali effetti pregiudizievoli per la sicurezza della rete e dei sistemi informativi».

Nell'articolo del decreto in commento sono, infine, definite le tipologie di servizi digitali ricomprese nell'Allegato III ossia:

– mercato online, consente alle persone fisiche che agiscono per scopi estranei all'attività imprenditoriale, commerciale, artigianale o professionale eventualmente svolta (c.d. consumatori o utenti) ovvero alle persone fisiche o giuridiche che operano nell'esercizio della propria attività imprenditoriale, commerciale, artigianale o professionale o un loro intermediario (c.d. professionisti) di «concludere contratti di vendita o di servizi online con i professionisti sia sul sito web del mercato online sia sul sito web di un professionista che utilizza i servizi informatici forniti dal mercato on line» (artt. 3 e 141 d.lgs. n. 206/2005 e s.m.i. «Codice del Consumo»). Rientrano, ad esempio, in tale dizione i negozi online che distribuiscono digitalmente applicazioni o programmi software, mentre ne restano esclusi i «servizi online che fungono solo da intermediari per servizi di un terzo con cui, in ultima istanza, possono essere conclusi i contratti» (considerando 15 e art. 4, paragrafo 17, Direttiva NIS);

– motore di ricerca online, permette all'utente di eseguire ricerche in tutti i siti web, tramite una query sotto forma di una parola chiave, frase o altro input, restituendo link o collegamenti in cui è possibile trovare le informazioni richieste (considerando 16 e art. 4, paragrafo 18, Direttiva NIS);

– servizio di cloud computing, consente di accedere «a un insieme scalabile ed elastico di risorse informatiche condivisibili» (es. reti, server o altre infrastrutture, archiviazione, applicazioni e servizi), ossia risorse condivisibili messe a disposizione degli utenti in modo elastico e flessibile, sulla base della domanda e del carico di lavoro (considerando 17 e art. 4, paragrafo 19, Direttiva NIS).

Ciò detto, il 14 dicembre 2022 è stata approvata la dir. (UE) 2022/2555 «relativa a misure per un livello comune elevato di cybersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2)», entrata in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea (GUUE L 333/80 del 27 dicembre 2022). È compito degli Stati membri adottare e pubblicare le misure necessarie per conformarsi alla direttiva NIS 2 entro il 17 ottobre 2024, nonché comunicare immediatamente alla Commissione il testo di tali disposizioni ed applicarle dal 18 ottobre 2024. Con effetto a decorrere da tale ultima data, dunque, la Direttiva NIS viene abrogata.

Ebbene, la direttiva NIS 2 estende il campo di applicazione a soggetti «essenziali» (persone fisiche o giuridiche), operanti nel settore delle acque reflue, dello spazio, della pubblica amministrazione in generale e dell'infrastruttura digitale (es. cloud computing service provider, fornitori di reti di distribuzione di contenuti, fornitori di servizi fiduciari, fornitori di reti pubbliche di comunicazione elettronica e di servizi di comunicazione elettronica accessibili al pubblico), nonché ad altri «importanti» soggetti appartenenti a ulteriori settori quali, a titolo esemplificativo ma non esaustivo: postale e di spedizione; di gestione dei rifiuti; di produzione e distribuzione di prodotti chimici; di produzione/trasforma- zione/distribuzione alimentare; di fabbricazione di dispositivi medici, computer, prodotti ottici, materiale elettrico, veicoli a motore, rimorchi; fornitori di servizi digitali (es. social network), organizzazioni di ricerca – cfr. Allegati I e II della direttiva NIS 2.

La direttiva NIS 2 si pone, così, l'obiettivo di «superare le carenze della differenziazione tra gli operatori di servizi essenziali e i fornitori di servizi digitali, che si è rivelata obsoleta, in quanto non riflette l'effettiva importanza dei settori o dei servizi per le attività sociali ed economiche nel mercato interno» (considerando 6). In aggiunta a ciò, la direttiva NIS 2 ha introdotto un criterio uniforme, relativo alla soglia di dimensione (si veda quanto riportato a commento dell'art. 1 del d.lgs. n. 65/2018), per determinare quali soggetti ricadono nell'alveo di applicazione, al fine di garantire una maggiore coerenza ed armonizzazione degli approcci adottati dagli Stati membri, a fronte delle «incongruenze significative» riscontrate nell'attuazione della Direttiva NIS a livello nazionale (es. il numero totale di operatori di servizi essenziali ad ottobre 2020 per il settore «healthcare», comunicati alla Commissione, dagli Stati membri, è stato di n. 12.469 di cui n. 10.897 identificati dalla sola Finlandia, cfr. Commissione Europea, Commission Staff Working Document, 22).

In data 7 agosto 2024 il Consiglio dei ministri ha approvato definitivamente il decreto legislativo di recepimento della direttiva NIS2, che si compone di 44 articoli, suddivisi in sei capi e quattro allegati, avendo optato per una riorganizzazione dei contenuti al fine di garantire una maggiore sistematicità al testo del provvedimento, secondo i principi e i criteri della Legge di delegazione europea 2022-2023 e nel rispetto dell'attuale impianto della direttiva NIS, come recepito con il d.lgs. n. 65/2018 (per eventuali approfondimenti si rinvia a quanto riportato a commento dell'art. 1 del d.lgs. n. 65/2018).

Incidenti di sicurezza e standard internazionali

L'International Organization for Standardization («ISO») è un'organizzazione internazionale non governativa, indipendente, per la normazione, che riunisce vari esperti per sviluppare e pubblicare requisiti, specifiche o linee guida a livello mondiale, al fine di garantire qualità, sicurezza ed efficienza di materiali, prodotti, processi e servizi.

L'ISO collabora strettamente con l'International Electrotechnical Commission («IEC») sulle materie concernenti le tecnologie elettriche, elettroniche e correlate (c.d. «elettrotecnologia»), per la standardizzazione worldwide.

Le norme spesso nascono da best practice adottate volontariamente da un gran numero di organizzazioni (es. imprese, agenzie governative, enti not for profit).

Ai fini di ciò che qui rileva, la famiglia di norme ISO/IEC 27000 fornisce un modello da seguire nella creazione di un Sistema di Gestione per la Sicurezza delle Informazioni («SGSI»), con lo scopo di proteggere le informazioni trattate da un'organizzazione contro possibili attacchi informatici, errori umani, calamità naturali o qualsiasi altra vulnerabilità che si possa verificare durante l'impiego di un sistema informatico.

Ebbene, ai fini ISO/IEC 27000:2018 (Clause 3.31) ed ISO/IEC 27035-1:2023 (Clause 3.1.5), per incidente di sicurezza delle informazioni si intende un singolo evento o una serie di eventi di sicurezza indesiderati o inattesi, che hanno una significativa probabilità di compromettere il business e minacciare la sicurezza delle informazioni (Scanlon – Nhien – An Le-Khac, 584); l'evento di sicurezza è un'occorrenza di un sistema, servizio o rete che indica una eventuale violazione delle politiche di sicurezza o il fallimento dei controlli, o una situazione precedentemente sconosciuta potenzialmente rilevante per la sicurezza (Clause 3.30 della ISO/IEC 27000:2018).

Il rischio è da intendersi, invece, come l'effetto dell'incertezza (carenza di informazioni relative alla comprensione o conoscenza di un evento, delle sue conseguenze o della loro verosimiglianza) sull'obiettivo/scopo strategico, tattico, operativo da raggiungere (Clause 3.49 e 3.61 della ISO/IEC 27000:2018; Clause 3.1 della ISO 31000:2018); nel contesto della sicurezza delle informazioni, è il rischio che le minacce possano sfruttare le vulnerabilità di una risorsa informativa o di un gruppo di risorse informative e quindi causare danni ad un'organizzazione. È, poi, lo standard ISO/IEC 27005:2018 a fornire le linee guida per assistere le organizzazioni nell'implementazione dell'information security, basata su un approccio di gestione del rischio efficace ed efficiente (Vacca, 606).

Dal canto suo, nell'agosto 2012 il National Institute of Standard and Technology («NIST»), organizzazione statunitense responsabile per lo sviluppo di standard e linee guida per la sicurezza delle informazioni, ha pubblicato una linea guida per supportare le agenzie governative e le organizzazioni private (es. CSIRT, amministratori di rete, Chief Information Security Officer, Chief Information Officer) nella mitigazione dei rischi legati all'information security e nella risposta, efficace ed efficiente, agli incidenti di sicurezza. In tale linea guida, il NIST definisce un incidente di sicurezza come una violazione o una minaccia imminente di violazione delle politiche di sicurezza informatica (imminente laddove vi siano elementi di fatto per ritenere che un incidente specifico stia per verificarsi), delle politiche di utilizzo lecito degli strumenti informatici o delle pratiche di sicurezza standard – cfr. Section 2.1, Special Publication (SP) 800-61, Rev. 2.