Martedì, 10 Luglio 2018 15:20

Direttiva NIS: dal 24 giugno operative le norme sulla cybersecurity per i fornitori di servizi digitali

Written by
Rate this item
(0 votes)

È entrato in vigore il 24 giugno il D.lgs. n. 65/2018 in attuazione della Direttiva UE n. 2016/1148 (cd. Direttiva NIS), adottata il 6 luglio 2016, che prevede norme specifiche in materia di cybersecurity (sicurezza delle reti e dei sistemi informativi). I fornitori di servizi digitali (motori di ricerca, servizi cloud, piattaforme ecommerce) dovranno quindi provvedere all’adozione di misure tecniche e

organizzative adeguate e proporzionate alla gestione dei rischi ed alla sicurezza della rete e dei sistemi informativi utilizzati al fine di assicurare la continuità del servizio. 

Sulle misure da adottare la direttiva non dà precise indicazioni, lasciando alle imprese l'autonomia di individuare quelle più adatte alla realtà aziendale purché tengano conto dei seguenti elementi:

  1. sicurezza dei sistemi e degli impianti;
  2. trattamento degli incidenti;
  3. gestione della continuità operativa;
  4. monitoraggio, audit e test;
  5. conformità con le norme internazionali.

Viene introdotto l'obbligo di notificare, senza ingiustificato ritardo, gli incidenti che hanno un impatto rilevante, rispettivamente sulla continuità e sulla fornitura del servizio, al Computer Security Incident Response Team (CSIRT) italiano, informandone anche l’Autorità competente NIS di riferimento. La Direttiva NIS interessa anche i fornitori non europei, operativi all’interno dell’Unione, in quanto dispone che debbano individuare uno Stato Membro di riferimento per le proprie attività ed osservare le norme di quel Paese.

I fornitori di servizi digitali sono tenuti ad applicare le prescrizioni del D.lgs. n. 65/2018, ad eccezione se siano PMI con fatturato superiore a €. 10 milioni, previa valutazione della rilevanza degli incidenti alla rete e/o ai sistemi informativi sulla base dei criteri e delle soglie indicati nel Regolamento (UE) 2018/151, ovvero

  1. indisponibilità del servizio fornito per oltre 5.000.000 di ore utente;
  2. perdita di integrità, autenticità o riservatezza dei dati per oltre 100.000 utenti dell’Unione Europea;
  3. rischio per la sicurezza e/o l’incolumità pubblica, o in termini di perdite di vite umane;
  4. danni materiali superiori a €. 1.000.000,00 per almeno un utente nell’Unione Europea.

Per i fornitori di servizi digitali le sanzioni possono essere assegnate da un minimo di €. 12.000,00 fino ad un massimo di €. 125.000,00, in caso di mancata notifica al CSIRT di incidenti con impatto rilevante sulla fornitura del servizio. In caso di violazioni reiterate è previsto l’aumento della sanzione fino al triplo di quanto previsto.

La Direttiva NIS, come il GDPR sulla privacy, perseguono l’obiettivo della protezione dei dati personali da utilizzi non conformi alle regole, derivando, quindi, l'obbligo per le imprese, che li acquisiscono e li utilizzano, di dotarsi di mezzi per garantire la sicurezza delle informazioni. Per tale ragione occorre un'attenta ed approfondita analisi dei rischi, in base alla quale si possono individuare e conoscere le misure più adeguate per la difesa dei sistemi informativi aziendali da attacchi esterni. 

Avv. Marco De Paolis

STUDIO LEGALE DE PAOLIS
Piazzetta Monsignor Almici, 13
25124 Brescia
T. +39 030 2421245
F. +39 030 2449678
E. Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Leggi 974 times Last modified on Mercoledì, 23 Ottobre 2019 14:57
Back to Top