L’ultima novità in materia di Cyber security è il d. lgs. 65/2018, pubblicato in Gazzetta Ufficiale il 9 giugno 2018 e oggi pienamente in vigore, relativo a misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione in attuazione della Direttiva UE 2016/1148 del Parlamento europeo.

La norma introduce, in particolare, obblighi in materia di sicurezza e notifica degli incidenti per operatori di servizi essenziali e fornitori di servizi digitali. Se i secondi sono di agevole identificazione, per operatori di servizi essenziali il decreto intende:

• Soggetti che forniscono servizi essenziali per il mantenimento di attività sociali e/o economiche fondamentali;
• La fornitura di tale servizio dipende dalla rete e dai sistemi informativi;
• Un incidente avrebbe effetti negativi sulla fornitura di tale servizio.

E’ istituito presso il Ministero dello sviluppo economico un elenco nazionale degli operatori di servizi essenziali. Entrambi sono tenuti ad adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti sulla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni e nel contesto dell’offerta di servizi, tenendo conto delle conoscenze più aggiornate in materia e del rischio esistente. Devono poi adottare misure adeguate a prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura di servizi essenziali e, per il fornitore di servizi digitali, in relazione ai servizi offerti, al fine di garantire continuità dei servizi. Devono notificare gli incidenti aventi un impatto rilevante sulle forniture di riferimento al CSIRT italiano (Gruppo di intervento per la sicurezza informativa in caso di incidente, istituito presso la Presidenza del Consiglio dei ministri) e all’autorità competente NIS (competente per settore in materia di sicurezza delle reti e dei sistemi informativi). Qualora l’operatore di servizi essenziali dipenda da una terza parte fornitrice di servizi digitali per la fornitura di un servizio indispensabile per attività economiche e sociali fondamentali, è il primo tenuto a notificare qualsiasi impatto rilevante per la continuità dei servizi essenziali dovuti all’incidente.

I fornitori di servizi digitali hanno qualche indicazione in più poiché, le misure da attuare devono tenere conto dei seguenti aspetti:

• Sicurezza dei sistemi e degli impianti;
• Trattamento degli incidenti;
• Gestione della continuità operativa;
• Monitoraggio, audit e test;
• Conformità con le norme internazionali.

L’autorità competente NIS può adottare misure di vigilanza ex post adeguate alla natura dei servizi e delle operazioni; i fornitori di servizi digitali sono tenuti a fornire le informazioni necessarie per valutare la sicurezza della loro rete e dei loro sistemi informativi, compresi i documenti relativi alle politiche di sicurezza nonché a porre rimedio ad ogni mancato adempimento degli obblighi previsti.

La norma prevede che, se non si rientra in ipotesi di reato, per le violazioni degli obblighi di attuazione di misure o di notifica si applicano sanzioni amministrative pecuniarie, anche di rilevanza significativa (fino a 150.000 euro) con aumento sino al triplo in caso di reiterazione della violazione.