Mentre la direttiva n.1148 lascia un ampio margine di applicazione, permettendo cosi di estenderne il contenuto, il decreto legislativo ha una portata ridotta comprendendo infatti solo campi come energia, trasporti, banche, mercati finanziari motori di ricerca e piattaforme e-commerce.
La direttiva prevede la creazione di un nuovo organo di controllo, il CSIRT, acronimo di Computer Security Incident Response Team. Tale organismo sarà dislocato in ciascuno Stato membro, con il compito principale di prevenzione e risposta ad eventuali attacchi digitali.
Il punto cruciale della direttiva e dove possiamo riscontrare significativi cambiamenti è contenuto nell’art 12
L’articolo 12 stabilisce infatti le misure tecniche ed organizzative al fronte di gestire i rischi derivanti da eventuali attacchi informatici, i cui compiti di attuazione e di notifica sono demandate ai fornitori di servizi essenziali o digitali.
I servizi essenziali sono adibiti a sostenere le attività sociali o economiche fondamentali, la cui esistenza è strettamente collegata alla rete o ai sistemi informatici. Entro il 9 novembre 2018 le autorità componenti il NIS avranno il compito di individuare tali categorie di soggetti alla luce delle Linee Guida emanate dal Gruppo di Cooperazione, istituito all’art. 11 della Direttiva e disporranno a loro volta del potere di proporre indicazioni operative o di imporre a loro volta l’adozione di misure di sicurezza specifiche.
Essenzialmente, il Gruppo di Cooperazione opererà su quattro aree fondamentali: pianificazione, guida, segnalazione e condivisione.
La mancanza di una comune linee guida su cui basarsi pone serie problematiche alla luce soprattutto delle complesse procedure di notifica che potrebbero coinvolgere le autorità di due differenti Stati membri o, nella maggioranza dei casi, comportare un duplice obbligo sia sotto il profilo del NIS che del GDPR la cui procedura di notifica in caso di violazione è disciplinata dall’art. 33.
Per quanto riguarda le sanzioni, la Direttiva ha concesso un margine di discrezionalità molto ampio relative alla tipologia di sanzioni in caso di violazioni delle disposizioni contenute nella Direttiva
Il decreto legislativo 65/2018, basandosi su criteri come proporzionalità ed efficacia dissuasiva, ha stabilito che le autorità competenti possono irrogare ai fornitori di servizi essenziali sanzioni amministrative fino a 150 mila euro in caso di violazione degli obblighi previsti dal decreto.
Con l’attuazione della direttiva NIS viene fatto un passo importante per il mercato europeo della cyber security. Tuttavia è necessario adeguati investimenti che puntino a fare della sicurezza digitale la principale priorità per le aziende che intendano operare in un mercato digitale.
