68
CITY LIFE MAGAZINE N.34
non sarebbe mancato, visto che la direttiva
europea è stata emessa a luglio 2016, ma
evidentemente il tema della sicurezza ciber-
netica non è stato tra le priorità del governo.
Ciò nonostante, grazie proprio alla necessità
di recepire la normativa europea, finalmente
si adotta una dettagliata normativa naziona-
le che identifica le aree di interesse cyber in
tutti gli ambiti di fornitura di servizi essenziali
e digitali, e ci si predispone all’identificazione
delle infrastrutture critiche.
È questo un intervento “strategico” per la
sicurezza nazionale che avrebbe dovuto
essere completato molto tempo fa, ma che
fino ad oggi è sempre stato svolto solo par-
zialmente. Un elemento positivo stimolato
dalla direttiva NIS e attuato con lo schema di
decreto riguarda l’accorpamento del CERT
Nazionale e del CERT-PA, in un unico CSIRT
(Computer Security Incident Response
Team).
Purtroppo, anziché ristrutturare dalle fonda-
menta l’attuale architettura nazionale di si-
curezza cibernetica, cogliendo l’occasione
della direttiva NIS e adottare un approccio
onnicomprensivo alla materia, sembra si sia
deciso di adattare il recepimento della diret-
tiva al DPCM 17 febbraio 2017, concentran-
do nuove responsabilità sul DIS (Dipartimen-
to delle Informazioni per la Sicurezza), che
assume il ruolo di “punto di contatto unico”
previsto dalla direttiva, senza che si giunga
alla definizione di un’unica autorità compe-
tente per la sicurezza cibernetica nazionale.
La direttiva NIS avrebbe potuto essere l’oc-
casione per definire modalità e responsabili-
tà nel caso fosse necessaria una reazione nei
confronti dell’aggressore in caso di attacco.
Per di più nella definizione delle risorse da
assegnare al CSIRT-IT – ma anche alle Au-
torità competenti NIS - si prevede personale
sufficiente a garantire presenza 24h, ma non
si prevede come garantire un certo carico
di lavoro soprattutto in caso di emergenze
gravi. Ciò rappresenta un rischio, conside-
rato che questo organo dovrebbe coprire le
esigenze di sicurezza cyber delle PA e del-
le imprese nazionali. Peraltro è prevista una
clausola di salvaguardia che consente al
CSIRT di ignorare la valutazione di certi casi
se fosse troppo oneroso, ma questo appare
come un ulteriore rischio.
Riassumendo gli aspetti positivi del recepi-
mento, ci si trova finalmente davanti a una
dettagliata normativa nazionale che identifi-
ca le aree di interesse cyber in tutti gli am-
biti di fornitura di servizi essenziali digitali e
digitali, e si identificano, grazie anche agli
allegati della direttiva, le infrastrutture criti-
che peraltro da indicare puntualmente con
un successivo provvedimento. Si provve-
de all’accorpamento dei CERT-Nazionale e
CERT-PA in un unico CSIRT-IT. Appare ade-
guata la definizione normativa per la notifica
obbligatoria e volontaria degli incidenti.
C’è la definizione dell’unico punto di contat-
to imposto dalla NIS, identificato con il DIS,
che a questo punto diventa il reale gestore
di tutte le informazioni. Questa scelta, com-
prensibile per dare seguito alle salvaguardie
relative ai dati classificati, inserite pratica-
mente in tutti i capi del decreto, può rendere
difficoltosa la tempestiva condivisione di no-
tizie, dati e notificazioni che si è visto essere
stata, negli scorsi anni, la princi pale arma di
difesa. Perplessità suscita il ruolo del DIS di
interlocutore dell’organo europeo ENISA.
Restando sugli aspetti più critici dello sche-
ma di decreto, si rimarca l’assenza della de-
finizione di un’unica autorità competente,