Assegnato alle Commissioni speciali lo schema di provvedimento sul recepimento della Direttiva NIS. Perplessità sui costi di attuazione.
È sempre più vicina l’attuazione della Direttiva 2016/1148 (c.d. NIS, Network and information security), provvedimento che, una volta recepito all’interno dell’ordinamento nazionale, permetterà di combattere, in maniera efficace, ogni tipo di attacco informatico nei confronti dei servizi pubblici essenziali.
Come già riportato da LabParlamento, il Consiglio dei ministri dell’8 febbraio scorso ha predisposto lo schema di decreto propedeutico all’attuazione della Direttiva sulla sicurezza delle reti e dei sistemi informativi nell’Unione, atto che però, a causa della tornata elettorale del 4 marzo, è rimasto “vittima” del vuoto politico. Adesso grazie all’istituzione delle Commissioni speciali per l’esame degli atti del Governo, il decreto ha subito un’accelerata, venendo inserito da subito all’interno del calderone delle materie oggetto dell’esame da parte della mini-assise parlamentare.
Lo schema di decreto, essenzialmente, è teso a promuovere una cultura di gestione del rischio, disciplinare l’invio delle segnalazioni di eventuali incidenti informatici da parte dei principali attori economici nazionali (in special modo quelli che forniscono servizi essenziali per il mantenimento di attività economiche e sociali), migliorare le capacità nazionali di cyber security e rafforzare la cooperazione su tali materie a livello nazionale e in ambito UE.
Sulla base del decreto vengono individuati, innanzitutto, gli operatori che forniscono servizi essenziali, soggetti a particolare rischio di attacco, insieme alle procedure e alle misure tecnico-organizzative che essi dovranno attuare per la gestione dei rischi connessi alle loro attività. Nei prossimi mesi (ed entro il 9 novembre 2018) tutti gli operatori individuati come gestori di servizi essenziali saranno raccolti in un elenco, sulla base del tipo di servizio offerto e della relativa dipendenza dalla rete e dai sistemi informativi, nonché della gravità degli effetti che un eventuale incidente informatico ai loro danni potrebbe produrre sulle attività sociali ed economiche dello Stato.
Tutti gli attori coinvolti nella sicurezza nazionale saranno riuniti in un Comitato tecnico di raccordo, composto da rappresentanti delle amministrazioni statali competenti NIS, e da rappresentanti delle Regioni (in numero non superiore a due). Per la partecipazione al Comitato non sono previsti gettoni di presenza, compensi o rimborsi spese: tutto ad onor di patria insomma.
A fare da cabina di regia ci penserà il Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri (DIS), individuato quale unico punto di contatto in materia di sicurezza delle reti e dei sistemi informativi. Il punto di contatto, secondo quanto previsto dal decreto, svolgerà una funzione di collegamento con le omologhe strutture transfrontaliera presenti in tutti gli altri Stati dell’Unione europea. Il conto della macchina della sicurezza non sarà banale: 1 milione di euro all’anno.
In caso di attacco informatico il sistema-Paese potrà contare sull’intervento del CSIRT (Computer Security Incident Response Team), un apposito gruppo di intervento per la sicurezza informatica istituito presso la Presidenza del Consiglio. Spetterà sempre al CSIRT definire le procedure per la prevenzione e la gestione degli incidenti informatici, grazie ad una dotazione umana di (massimo) 30 persone, metà delle quali da assumere tramite apposita procedura che la Presidenza avrà il compito di bandire nei prossimi mesi. Per l’avvio della macchina sono stati messi sul piatto 2 milioni di euro. Il costo di funzionamento della struttura di protezione è stato quantificato in 700 mila euro annui già a decorrere dal 2018, cifra che ha sollevato qualche perplessità da parte del Servizio Bilancio della Camera dei deputati che, nella sua relazione alle Commissioni speciali, ha posto in evidenza la necessità di acquisire elementi di dettaglio in merito alle voci di spesa che concorrono a determinare i complessivi oneri di funzionamento del team. Come a dire, la sicurezza informatica è importante, ma quella dei conti pubblici forse ancora di più.