Cybersecurity. La nuova disciplina italiana ed europea alla luce della direttiva NIS

 

 Cybersecurity  La nuova disciplina italiana ed europea alla luce della direttiva NIS

di Alfonso Contaldo, Flaviano Peluso. Prefazione di Donato A. Limone

 

Il volume, composto da 5 capitoli, si prefigge l’intento di dar ordine e chiarificare la disciplina della cybersecurity dopo l’introduzione della Direttiva NIS (Network and Information Security) nell’alveo della sicurezza delle reti e dei sistemi informativi nell’Unione europea.

La prefazione è a cura di Donato Limone, professore di Informatica giuridica nell’Università di Roma Unitelma-Sapienza e direttore della Scuola nazionale di amministrazione digitale.

Dal volume, si evince che lo scenario nazionale ed europeo in tema di cybersecurity è radicalmente mutato, al punto che si ritiene che il 2018 verrà ricordato come l’anno della sicurezza informati­ca di dati e tecnologie, considerandolo come lo spartiacque di un nuovo paradigma della sicurezza stessa nella società dell’informazione.

Il recente D. Lgs. 18 maggio 2018 n. 65 recependo la Direttiva UE 2016/1148 (la cosiddetta direttiva NIS) sulla sicurezza delle reti e dei sistemi informativi nell’Unione, ha innovato profondamente l’intero impianto preesistente sulla cybersecurity.

Una trasformazione così rilevante da essere impattante sia nell’ambito pubblico-amministrativo che in quello delle aziende private e del settore militare: nuove procedure ed obblighi, nuovi organismi preposti, nuovi meccanismi di risposta ad incidenti informatici e rigidi sistemi sanzionatori per gli inadempimenti.

Le istituzioni europee, quali l’ENISA, hanno ora un ruolo decisamente più centrale e marcato nello sviluppo di strategie comuni, nonché nelle sinergie per la strutturazione di coordinate metodologie condivise di protezione delle infrastrutture critiche nazionali (IC) ed europee (ICE).

Il decreto legislativo n. 65/2018 recante “Misure per un livello comune elevato di sicurezza delle reti e dei sistemi informatici dell’Unione”, definisce gli obblighi a carico delle varie pubbliche amministrazioni, degli operatori di servizi essenziali e dei fornitori di servizi digitali, parimenti prevede inderogabili procedure per la notifica degli incidenti informatici con un impatto rilevante per la continuità dei servizi.

 

Nel primo capitolo gli autori, dopo aver reso fruibile l’argomento anche ai neofiti, propongono una articolata e curata analisi dei concetti di cybersecurity e di cyberdefence. Quindi si interessano di commentare sistemicamente le linee normative a livello internazionale dell’OSCE, della cooperazione internazionale sulla cybersecurity e delle certificazioni ISO in ambito di sicurezza informatica.

Nel secondo capitolo, invece, viene eseguita una dettagliata ed interessante analisi normativa della disciplina europea della cybersecurity inquadrando, non già come una norma estemporanea e recente, ma quale evoluzione di un più ampio progetto normativo europeo sviluppatosi più di 10 anni orsono.

Nel contempo gli autori hanno ritenuto utile inserire dei cenni al nuovo regolamento europeo sulla protezione dei dati personali GDPR.

Il capitolo successivo si interessa delle istituzioni adibite a garantire un elevato livello di sicurezza in ambito di infrastrutture critiche (IC) ed infrastrutture critiche europee (ICE). Dunque gli autori hanno trattato dell’evoluzione, delle funzioni e dell’operatività dell’Agenzia dell’Unione Europea per la sicurezza delle reti e dell’in­formazione (ENISA); dell’evoluzione, delle funzioni, delle attività e dei servizi offerti dai gruppi di gestione degli incidenti di sicurezza infor­matica delle diverse tipologie di CSIRT. Hanno, inoltre, dato ampio spazio alle problematiche militari della cyberdefence occupandosi del ruolo delle agenzie della NATO nella Cyberwar­fare e nella Elettronic warfare nonché delle attività del CCDCOE della NATO.

Il puntuale approfondimento della complessa disciplina italiana e delle disposizioni tecniche operative è affrontato nel quarto capitolo che, fra le altre questioni, si occupa anche del piano nazionale per la protezione cibernetica. Gli autori hanno accuratamente dedicato spazio ad illustrare il funzionamento delle nuove procedure e degli obblighi in capo agli operatoti di servizi essenziali e dei fornitori di servizi digitali.

Infine, l’ultimo capitolo illustra una sintetica ma ben organizzata rappresentazione delle minacce informatiche organizzate per categorie e tipologie.