DIGITAL UTILITY
67
NIS. Le proposte ConferenzaCSE
a Governo e Parlamento
Contributo della società Energia Media, promotrice di ConferenzaCSE
- Cyber Security Energia, ai lavori della commissione speciale della
camera dei deputati sullo schema di decreto legislativo di attuazione
della direttiva (UE) 2016/1148 recante misure per un livello comune
elevato di sicurezza delle reti e dei sistemi informativi nell’unione (Atto
n. 10) - 7 maggio 2018
P
remessa
La direttiva (UE) 2016/1148 del Parla-
mento europeo e del Consiglio, del 6
luglio 2016, recante misure per un livello co-
mune elevato di sicurezza delle reti e dei si-
stemi informativi nell’Unione (direttiva “NIS”)
costituisce uno dei pilastri del nuovo quadro
normativo UE in materia di cyber security,
unitamente alla Comunicazione della Com-
missione e del Consiglio del 5 luglio 2016
avente ad oggetto “Rafforzare il sistema di
resilienza informatica dell’Europa e promuo-
vere la competitività e l’innovazione nel set-
tore della cyber security”, e alla Decisione
della Commissione del 5 luglio 2016 relativa
all’istituzione di un partenariato pubblico-
privato contrattuale per la sicurezza infor-
matica;
Gli interventi in materia di cyber security
sono fondamentali sia per la Strategia per
il Mercato Unico Digitale, sia per l’Agenda
Europea per la Sicurezza. In linea generale, i
loro obiettivi sono rinvenibili nel rafforzamen-
to del livello di sicurezza delle reti e dei siste-
mi informatici nell’UE, nel consolidamento
della cooperazione tra gli Stati, nel favorire le
attività di ricerca e sviluppo, nella diffusione
tra le imprese e i cittadini della consapevo-
lezza dei rischi e della necessità di dotarsi di
adeguati strumenti di protezione;
Una parte rilevante del nuovo quadro nor-
mativo è rappresentata dagli obblighi in capo
alle imprese identificate come “operatori di
servizi essenziali”. In particolare, la direttiva
NIS prevede che gli Stati Membri adottino
misure tecniche e organizzative adeguate e
proporzionate alla gestione dei rischi posti
alla sicurezza delle reti e dei sistemi informa-
tivi utilizzati nella loro attività.
Adottare misure adeguate per prevenire e mi-
nimizzare l’impatto di incidenti a carico della
sicurezza della rete e dei sistemi informativi
utilizzati, al fine di assicurare la continuità di
tali servizi. Notificare senza ritardo all’autori-
tà competente o ad uno CSIRT (Computer
Security Incident Response Team - Gruppo
di intervento per la sicurezza informatica in
caso di incidente) gli eventi con un “impatto
rilevante” sulla continuità dei servizi essen-
ziali forniti.
Lo schema di decreto legislativo per il re-
cepimento nell’ordinamento italiano della
direttiva NIS è giunto purtroppo in estremo
ritardo, a Parlamento ormai sciolto. Il tempo