La “Direttiva NIS”, strategie di Cyber Security per un approccio comunitario alla tutela dello spazio economico digitale.
Il fatto che le reti e i sistemi e servizi informativi svolgano un ruolo vitale, nella società contemporanea, è un dato ormai acquisito alla cultura della maggiorparte degli operatori imprenditoriali ed istituzionali del nostro Paese. Tale circostanza, per altro, è chiaramente declinata, a livello istituzionale, sin dalla prefazione del “Quadro strategico nazionale per la sicurezza dello spazio cibernetico” pubblicato, dalla Presidenza del Consiglio dei Ministri, nel dicembre 2013, che così si esprime: il risiedere, all’interno delle reti, di una mole, ogni giorno maggiore, di saperi, essenziali ai fini della sicurezza e della prosperità del sistema-Paese rende sempre più pressante l’esigenza di garantire, anche nello spazio cibernetico, il rispetto dei diritti e dei doveri che già vigono nella società civile, nel tessuto economico e nella Comunità internazionale.
La digitalizzazione dei beni, dei rapporti e … del Sapere.
Ciò che colpisce di più, nella preposizione appena riportata, per il carattere evocativo generale della terminologia utilizzata, è l’utilizzo dell’espressione
Saperi, nel testo. In effetti, il termine Saperi allude, non solo, come pure sarebbe stato coerente, al mondo di dati ed informazioni economicamente apprezzabili, ma anche, ed è questo ciò che colpisce, ad una dimensione sociale e culturale che, pur esulando, in senso stretto, da ciò che potremmo definire spazio cibernetico economico, rappresenta, di fatto, lo stato evolutivo della nostra civiltà, in questo dato momento storico; da proteggere con ogni mezzo. Ritengo, quindi, che sia, alla luce di questa considerazione, che si debbano esaminare le norme contenute nella direttiva NIS, che oggi ci occupa, la quale, in modo netto, così si esprime, al considerando nr. 2 per descrivere il fenomeno: la portata, la frequenza e l’impatto degli incidenti a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali sistemi possono inoltre diventare un bersaglio per azioni intenzionalmente tese a danneggiare o interrompere il funzionamento dei sistemi. Tali incidenti possono impedire l’esercizio delle attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all’economia dell’Unione.
Timeline di attuazione delle misure per un livello comune elevato di “Cyber Security” nell’Unione.
La Direttiva UE 2016/1148 del Parlamento Europeo e del Consiglio, del 6 luglio 2016, è stata pubblicata nella Gazzetta Ufficiale dell’Unione Europea del 19.07.2016.
Non trattandosi di un Regolamento, come tale dotato del carattere della esecutività (Self Executing), la Direttiva NIS necessita, per spiegare i suoi effetti, a livello nazionale, di corrispondenti atti di recepimento, dei suoi contenuti, da parte degli Stati membri dell’Unione, ivi compreso il nostro Paese, che dovrà adottare e pubblicare, entro il 9 maggio 2018 le disposizioni legislative, regolamentari ed amministrative necessarie. Entro lo stesso termine gli Stati dovranno individuare, ai sensi dell’art. 5 della Direttiva, relativamente ai settori indicati nell’allegato II, vale a dire, energia, trasporti, banche, infrastrutture dei mercati finanziari, sanitá, fornitura e distribuzione di acqua potabile e infrastrutture digitali, quali siano gli operatori di servizi essenziali con una sede nel loro territorio. Accanto ai settori generali appena ricordati, la Direttiva contempla anche dei sotto-settori, di dettaglio che omprendono, a titolo esemplificativo, gli istituti sanitari (compresi ospedali e cliniche private), i fornitori di servizi DNS e gli Enti Creditizi quali definiti all’articolo 4, punto 1, del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio. Per completezza, vale la pena specificare che specifiche misure di sicurezza sono poste dalla Direttiva anche a carico dei fornitori di servizi digitali, vale a dire, Mercato on line, motori di ricerca e Cloud Computing.
