DIGITAL UTILITY
L
o schema di decreto legislativo NIS
(qui il testo), approvato lo scorso 18
maggio dal Consiglio dei Ministri, è
diventato legge con la pubblicazione nella
Gazzetta Ufficiale n. 132 del 9 giugno 2018.
Il decreto ha assunto il numero 65/2018 ed
è entrato in vigore lo scorso 24 giugno.
Rispetto alla bozza il provvedimento defini-
tivo - come segnalato da Public Affair Advi-
sors - innalza gli oneri derivanti dagli articoli
7 (Autorità nazionali competenti e punto di
contatto unico) e 8 (Gruppi di intervento per
la sicurezza informatica in caso di inciden-
te - CSIRT) a 5.300.000 euro per il 2018 e
3.300.000 euro annui a decorrere dal 2019.
Inoltre, accogliendo una delle osservazioni
formulate dalla Commissione speciale della
Camera, all’articolo 8 comma 2 si introduce
la data del 9 novembre 2018 quale termine
ultimo per l’adozione del previsto decreto del
Presidente del Consiglio dei ministri che do-
vrà disciplinare l’organizzazione e il funziona-
mento del CSIRT italiano. La data del 9 no-
vembre è la stessa entro la quale deve essere
definito l’elenco dei soggetti ai quali si applica
il provvedimento.
Nessuna modifica invece in tema di importi
delle sanzioni, come pure era stato richiesto
dalla Commissione parlamentare speciale del
Senato anche sotto pressione di alcune asso-
ciazioni dei consumatori e anche se il Comu-
nicato di Palazzo Chigi avesse dichiarato l’ap-
provazione finale del decreto “tenuto conto
dei pareri espressi dalle Commissioni speciali
della Camera dei deputati e del Senato della
Repubblica e dalla Conferenza unificata”.
Nel merito del provvedimento ConferenzaC-
SE – Cyber Security Energia aveva sugge-
rito alle Commissioni Speciali di Camera e
Senato di svolgere un ciclo di audizioni pri-
65
ma di formulare il previsto parere, chiedendo
anche di essere ascoltati. La risposta delle
Commissioni è stata negativa per motivi di
“urgenza” ma fu suggerito – in tempi brevis-
simi – di fornire contributi scritti.
Con la collaborazione dell’on. Massimo Arti-
ni, esperto della materia e già vice presidente
della Commissione Difesa della Camera nella
scorsa legislatura, abbiamo elaborato e in-
viato ai Relatori il documento di osservazioni
di seguito allegato, che però non è stato poi
discusso dagli organi parlamentari. A nostro
avviso sarebbe stato utile intervenire in que-
sta fase piuttosto che doverlo fare successi-
vamente con altri provvedimenti di legge. Qui
alleghiamo anche le osservazioni formulate
dalle Commissioni parlamentari (NIS Came-
ra, NIS Senato, NIS Conferenza Unificata) a
fronte però di un dibattito molto scarno.
La NIS prevede poi una serie di altri provve-
dimenti attuativi prima di essere operativa,
qui di seguito elencati.
Entro il 9 novembre 2018, con decreto del
Ministero dello sviluppo economico (Autorità
competente NIS per l’energia) si dovrà defi-
nire l’elenco delle società tenute a garantire
la sicurezza cibernetica dei servizi energetici
“essenziali” e obbligate a comunicare gli in-
cidenti occorsi. La NIS elenca dei criteri ge-
nerici per l’identificazione delle imprese.
Un secondo provvedimento, sempre entro il
9 novembre, riguarderà il funzionamento del
CSIRT (Gruppo di intervento per la sicurez-
za informatica in caso di incidente) l’organi-
smo preposto alle procedure di prevenzione
e gestione degli incidenti. Tra le imprese e il
CSIRT si frappongono le Autorità competen-
ti NIS (Ministeri di riferimento dei vari settori),
ma il suo ruolo operativo è centrale.
Il CSIRT sostituirà il CERT Nazionale e il CERT