Il Presidente Mattarella ha emanato un decreto legislativo, il 65 del 2018, per l’armonizzazione dei livelli di sicurezza delle reti e dei sistemi informativi tra gli stati dell’Unione.
Il testo pubblicato in Gazzetta Ufficiale lo scorso 9 giugno entrerà in vigore il prossimo 24 giugno e si pone come attuazione della direttiva UE 1148 del 2016.
Finalmente l’Unione europea assume il ruolo di coordinatore, con anni di ritardo, di un aspetto essenziale per gli stati moderni e cioè della salvaguardia informatica dei servizi essenziali alla base del funzionamento e dell’esistenza stessa delle nazioni.
La norma infatti obbliga a censire tutte le imprese che operano in delicati settori della nostra vita: aziende di fornitura e di distribuzione di energia elettrica e di gas, gestori di oleodotti, di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio. E ancora gestori aeroportuali, imprese ferroviarie, compagnie di navigazione, enti creditizi, prestatori di assistenza sanitaria, fornitori e distributori di acque destinate al consumo umano.
E non solo le attività e i servizi per così dire tradizionali, ma anche quelli che consentono il funzionamento stesso di Internet come i punti di interscambio fra sistemi autonomi (IXP), quelli che si occupano della traduzione dei nomi in numeri per identificare le risorse sulla Rete (DNS) e quelli che mantengono funzionanti i domìni (TLD), e poi ancora i servizi di commercio on-line, motori di ricerca e cloud.
Le autorità italiane dovranno redigere l’elenco e sottoporlo agli organi europei fin dal 9 novembre 2018, ma non basta; tale regolamento richiederà la definizione e successivamente la trasmissione alla Commissione europea di una strategia nazionale in materia di sicurezza cibernetica.
Insomma, una vera e propria squadra che avrà la possibilità di condividere e recepire le buone pratiche in materia di sicurezza elaborate nella UE e che dovrà vigilare anche alla loro applicazione da parte degli operatori di servizi essenziali i quali sono tenuti a osservare precisi comportamenti.
Altrimenti, lo prevede il decreto, salate sanzioni a esempio: l’operatore di servizi essenziali che non adotta le misure tecniche e organizzative adeguate e proporzionate per la gestione del rischio per la sicurezza della rete e dei sistemi informativi è soggetto a una sanzione dai 12mila ai 120mila euro; oppure se non notifica gli eventuali incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti, la sanzione va da 25mila 125mila euro.
Tutto questo quanto costa alle casse dello Stato? 5,3 milioni di euro per quest’anno e 3,3 milioni annui a decorrere dal 2019.