La recente attivazione dei due dispositivi normativi europei NIS e GDPR nel mese di maggio 2018, sono stati preceduti e ora accompagnati da corpose interpretazioni nazionali e internazionali, analisi e reportistica istituzionale europea e statunitense e framework, linee guida, metodologie necessarie per l’applicazione degli obblighi di compliance previsto dalle norme suddette.
Queste prevedono, segnatamente in ambito ICT, il risk management e l’assessment digitale e la gestione dello stesso per il settore delle cosiddette ‘infrastrutture critiche’ e dei fornitori di soluzioni e servizi digitali da un lato; dall’altro l’adozione delle misure tecniche e tecnologiche per la protezione dei dati ovvero per il trattamento digitale degli stessi e l’elaborazione, ove prevista, del documento di assessment di impatto relativo alla protezione dei dati personali e al registro connesso.
Nella sovrapposizione anche temporale delle norme, varate nel 2016 ma lasciate maturare nel recepimento fino al 2018, si è assistito a semplificazioni e a misinterpretazioni non utili al governo generale delle tematiche di sicurezza e di accountability implicate.
Fare chiarezza e utili distinzioni sulle due norme riguarda tematiche solo in parte assimilabili nelle nozioni di cyber risk e impatto. Semplificazioni che complicano la strada interpretativa e applicativa delle norme da parte di imprese, istituzioni e privati.
1.1. L’oggetto della NIS e del GDPR
Per cominciare, la Direttiva UE 2016/1148 del 6 luglio 2016 (per brevità NIS, sicurezza delle reti e dei sistemi informativi) e il Regolamento generale sulla protezione dei dati personali (GDPR), si occupano di normare, come anticipato, ambiti diversi. Da una parte, la Nis si occupa dell’ambito dell’economia digitale esposto in maniera più grave alle conseguenze degli attacchi cyber. Si tratta, come già detto, delle cosiddette ‘infrastrutture critiche’, rappresentazione confluita nel riferimento normativo formale ad operatori di servizi definiti ‘essenziali’. La difesa dei servizi essenziali richiede gestione e valutazione del rischio cibernetico e degli impatti inerenti attacchi ai servizi medesimi. A questi operatori di sistema sono correlati i vendor ovvero i fornitori di servizi digitali con relativi obblighi e sanzioni in materia di incidenti e violazioni di sicurezza.
Un primo interrogativo riguarda proprio la distinzione. Ché, se la norma è tesa a proteggere gli interessi dei sistemi Paese che si reggono su servizi di utilità generale come i trasporti, l’energia, l’acqua, il sistema bancario e finanziario, la sanità, le infrastrutture digitali, la gestione della sicurezza da parte delle aziende e delle istituzioni che erogano tali servizi essenziali poggia in larga misura sui fornitori di servizi digitali il cui elenco, tuttavia, sorprende poiché l’elenco nella NIS individua solo tre tipologie: mercati on line, motori di ricerca e cloud.
E’ evidente, intanto, che le infrastrutture digitali sono sì servizi essenziali ma anche gestori delle stesse e per ciò fornitori di servizi digitali alle infrastrutture critiche.
E, d’altro canto, se il tema è la cybersecurity dei servizi essenziali, non si comprende dove si collochino i vendor di sistemi operativi, applicativi vari e dispositivi digitali in genere, fissi e mobili su cui si accaniscono il cybercrime e i relativi incidenti/attacchi informatici ad aziende e istituzioni.