– di Mario Dusi.
Rispetto alla “produzione legislativa ordinaria”, già non facile da seguire, sul tema della sicurezza informatica negli ultimi mesi, vi è stata una imponente corsa alla organizzazione e legiferazione.
Da un lato abbiamo il D.Lgs. del 18 maggio 2018 numero 65 – sulla attuazione della direttiva UE (2016/148), riguardante misure per un elevato livello europeo comune di sicurezza delle reti e dei sistemi informatici – e dall’altro il decreto del Presidente del Consiglio dei Ministri dell’8 agosto 2019, che ha di fatto posto le basi per costituire, organizzare e far funzionare il Computer Security Incident Respons Team (ossia CSIRT italiano in collegamento con i medesimi team a livello europeo).
Tale norma si coordina con le attività della Agenzia per l’Italia Digitale (AG ID), il CERT nazionale (Computer Emergercy Respons Team), il CERT PA, ossia l’ente responsabile in materia per la Pubblica Amministrazione, ed infine con il Dipartimento delle Informazioni per la Sicurezza (DIS).
Il decreto legislativo del maggio 2018 istituisce gli organi di controllo che sovraintendono agli obblighi in materia di sicurezza e di notifica degli incidenti informatici; non solo ciò impatta sugli operatori di servizi essenziali (ad esempio nel settore della fornitura di energia, di trasporti ferroviari – dei settori bancari e dei mercati finanziari, oltre che del settore sanitario) ma impone anche l’obbligo di applicare misure tecniche organizzative adeguate e proporzionate alla gestione dei rischi, ai fornitori di servizi digitali che avranno l’obbligo di segnalare attacchi informatici, adottando naturalmente misure per prevenire e minimizzare l’impatto di questi incidenti a carico della sicurezza della rete dei sistemi informativi del fornitore.
Tale norma, pertanto, obbliga tutti i fornitori di servizi digitali a notificare al sopra menzionato CSIRT, senza (ingiustificato) ritardo, tutti gli incidenti aventi un impatto rilevante sul fornitore del servizio, fornendo anche tutte le informazioni per valutare l’eventuale impatto transfrontaliero del “Cyber Raggiro”.
Nel novero dei soggetti che forniscono servizi digitali rientrano tutte le aziende che operano sul mercato on-line, che lavorano con un motore di ricerca on-line e che forniscono servizi di iCloud computing; lo scopo della prescrizione è di ampliare al massimo il novero dei soggetti obbligati, ai fini di mantenere elevato livello di sicurezza.
Naturalmente la norma prevede anche sanzioni amministrative, per chi non adotta le misure tecniche organizzative adeguate per gestire il rischio per la sicurezza: il “rischio” è una sanzione pecuniaria da 3.000 a 30.000 Euro, o in caso di mancata notifica di incidenti, aventi impatto rilevante sulla fornitura del servizio, da 25.000 a 125.000 Euro.
Si può dunque affermare che il mondo della cybersicurezza obbliga tutti i soggetti, anche quelli che potenzialmente vengono derubati dei dati, ad attivarsi per la maggior tutela del www. ed in ultima istanza dei propri clienti