Una raccomandazione, due comunicazioni, una proposta di regolamento e una proposta di direttiva: questi sono gli strumenti giuridici con cui la Commissione europea, insieme all’Alto Rappresentante, lo scorso 13 settembre 2017 ha aggiornato e rafforzato la propria strategia in tema di cyber sicurezza, alcuni immediatamente operativi, altri che lo diventeranno non appena saranno approvati all’esito della procedura legislativa avviata.

Il “pacchetto” della Commissione europea

L’iniziativa, preannunciata dal Presidente Juncker nel discorso sullo “Stato  dell’Unione” ha un obiettivo chiaro: aumentare la resilienza dell’UE nei confronti degli attacchi cyber e creare un’effettiva deterrenza per proteggere il nascente mercato unico della cybersicurezza con interventi concreti, così da contribuire alla costruzione di un assetto istituzionale solido e coordinato a livello europeo e nazionale. Questo è basato su: un’agenzia europea già operante, l’ENISA, il cui mandato viene reso permanente e a cui vengono attribuiti nuovi compiti e risorse per assumere un ruolo più direttamente operativo a supporto di Commissione e Stati membri; un quadro di regole per una certificazione di sicurezza EU di prodotti ICT, sistemi e servizi, fondato su standards internazionali e su base volontaria; il Blueprint, vale a dire principi e meccanismi, in termini di obiettivi e modalità di cooperazione, per rispondere in modo coordinato a incidenti e crisi cyber su larga scala; la proposta di creare una rete europea e un centro di ricerca e competenza in tema di cyber sicurezza. A ciò si aggiunge una proposta di direttiva per combattere la frode e la contraffazione degli strumenti di pagamento non in contanti (carte di credito e debito) per fornire una risposta più efficace, dal punto di vista dell’intervento repressivo e del diritto penale, focalizzata sulla rilevazione, tracciabilità e repressione dei cyber criminali coinvolti in attività che per lo più hanno una dimensione transnazionale quali terrorismo, traffico di droga e di esseri umani, oltre ad un quadro per una risposta diplomatica congiunta UE alle attività cyber dannose e misure volte a rafforzare la cooperazione internazionale in tema di cyber sicurezza.

L’attuazione della direttiva NIS e la strategia nazionale in tema di cybersicurezza

L’ampia portata dell’intervento si coglie in particolare dai contenuti della comunicazione dedicata alla direttiva NIS e alla sua trasposizione, a cui è allegato un documento ricco di indicazioni operative. La preoccupazione della Commissione è evidente, già manifestata nella sua comunicazione del 2016: poiché la direttiva NIS costituisce la pietra miliare della strategia europea in tema di cyber sicurezza, la sua attuazione da parte degli Stati membri deve avvenire sulla base di un approccio armonizzato, ad evitare disallineamenti e frammentazioni tali da compromettere gli sforzi finora dispiegati.

Di qui una serie di indicazioni concrete che costituiscono una sorta di manuale operativo per gli Stati membri in vista delle scadenze del 9 maggio e del 9 novembre 2018, rispettivamente per la trasposizione della direttiva e la designazione degli operatori dei servizi essenziali. Innanzitutto è necessario che gli Stati membri dispongano di una strategia nazionale in tema di cyber sicurezza, con la funzione di definire obiettivi e azioni appropriate dal punto di vista politico e regolamentare sulla base di un approccio olistico e coordinato.

La direttiva NIS si focalizza su quelle imprese e servizi che sono qualificati come “critici” per la loro rilevanza sistemica; tuttavia gli Stati membri – e tale opzione è particolarmente enfatizzata nella comunicazione – per raggiungere un più elevato livello di sicurezza ben potrebbero utilizzare il principio di “armonizzazione minima” di cui all’articolo 3 della direttiva per estendere le sue previsioni anche a settori diversi e ulteriori rispetto a quelli che rientrano nel suo campo di applicazione. Come noto, i soggetti tenuti al rispetto della direttiva sono gli operatori di servizi essenziali e i fornitori di servizi digitali operanti nei settori indicati negli allegati II (energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali) e III (mercato online, motore di ricerca online, cloud computing).

Occorre poi che la strategia nazionale possa contare, per la sua concreta attuazione, su adeguate risorse finanziarie e umane oltre che, a monte, su di un supporto politico e amministrativo ai massimi livelli. Quello per l’elaborazione e adozione della strategia nazionale è certamente un processo complesso e articolato, che la comunicazione distingue in cinque distinti passaggi, in cui siano previsti obiettivi misurabili, raggiungibili, realistici e tempi definiti (SMART, nella definizione della Commissione), una governance che specifichi ruoli e responsabilità, il meccanismo decisionale previsto e l’indicazione di chi ne abbia la rappresentanza. Tale strategia dovrebbe poi essere costantemente aggiornata e rivista sulla base di un’analisi che tenga conto di punti di forza e debolezze, opportunità e minacce (SWOT).

L’autorità nazionale in tema di cybersicurezza

Le best practices a cui far riferimento, per un modello ottimale di governance, sono quelle già note in tema di protezione delle infrastrutture critiche (CIIP) indicate in uno studio dell’ENISA del 2016. Al riguardo si ricorda che le autorità nazionali in tema di cyber sicurezza possono essere una o più, già esistenti o da crearsi ad hoc, secondo un modello centralizzato (quello adottato in Francia) oppure decentrato (come in Svezia, Irlanda, Cipro, Austria, Finlandia). In tale secondo caso, perché il sistema funzioni correttamente è essenziale che sia predisposto un accurato insieme di regole per il coordinamento dei vari soggetti e che sia presente comunque un unico punto di contatto a livello nazionale. Importante altresì rafforzare la capacità operativa dei CSIRTs, i gruppi di intervento in caso di incidenti, che debbono essere dotati di adeguate risorse, con la possibilità di attingere a quelle del programma DSI – Cypersecurity Digital Service Infrastructures di Connecting Europe (CEF).

Gli operatori dei servizi essenziali

Altro aspetto rilevante al quale il documento della Commissione dedica una particolare attenzione è l’individuazione dei soggetti a cui si applicano le regole della direttiva. Mentre gli Stati membri non debbono indicare i fornitori di servizi digitali, la designazione degli operatori dei servizi essenziali costituisce esercizio complesso e delicato. La direttiva sul punto si limita a indicare i criteri che dovranno essere applicati a livello nazionale, con l’auspicio che ciò avvenga ovunque in modo coerente e che, laddove un operatore eroghi servizi in diversi Stati membri, un accordo fra gli stessi regoli la loro definizione ai sensi della direttiva. Occorre infatti evitare un approccio regolatorio differenziato a seconda del paese.

A ciò si aggiunge anche la possibilità per gli Stati membri – come rilevato – di estendere il raggio d’azione della direttiva e quindi applicare le sue regole, in  termini di requisiti di sicurezza e obblighi di notifica, anche a settori da essa non direttamente riguardati quali la pubblica amministrazione (laddove la stessa eroghi servizi essenziali), il settore postale, quello alimentare, l’industria chimica e nucleare, il settore ambientale e la protezione civile.

In ogni caso gli Stati membri sono tenuti a fornire alla Commissione informazioni, se del caso in via confidenziale, sulle misure nazionali per l’identificazione degli operatori dei servizi essenziali, la lista dei servizi, il numero degli operatori in questione, indicando la loro rilevanza e le eventuali soglie di carattere quantitativo, qualora siano rilevanti per il processo di identificazione.

Gli operatori dei servizi essenziali debbono essere stabiliti sul territorio nazionale; il che implica l’effettivo e reale esercizio di un’attività in loco anche mediante accordi commerciali, a prescindere dalla loro veste giuridica. Questo significa che uno Stato membro può avere giurisdizione su di essi non solo nel caso in cui il quartier generale sia stabilito sul territorio ma anche laddove operi una semplice filiale. Al riguardo viene proposto un questionario di sei domande per aiutare gli Stati membri nel processo di identificazione. Per quanto riguarda invece i fornitori di servizi digitali, è previsto che, nel caso in cui forniscano servizi all’interno dell’Unione europea, debbono designare un proprio rappresentante

A ciò si aggiunge poi la necessità che, una volta identificati, gli operatori siano tenuti ad adottare le misure appropriate e proporzionate, di carattere tecnico e amministrativo, per gestire i i rischi per la sicurezza della rete e dei sistemi di informazione. A tal fine risulta essenziale che i vari approcci nazionali, relativi alla sicurezza e alle notifiche degli incidenti, siano allineati.

Il documento evidenzia altresì che qualora una specifica normativa preveda requisiti di sicurezza e notifica almeno equivalenti, in termini di effetto, a quelli previsti dalla direttiva NIS, è la prima a doversi applicare, in virtù del principio di specialità. E’ il caso, per esempio, delle imprese che forniscono servizi pubblici di telecomunicazioni o servizi di telecomunicazioni disponibili al pubblico, a cui si applicano le previsioni della direttiva 2002/21 anziché quelle della direttiva NIS.