Lunedì, 10 Giugno 2019
Questo regolamento, emesso dalla Commissione europea,
- specifica quali elementi i fornitori di servizi digitali devono prendere in considerazione nell'identificazione e nell'adozione delle misure volte a garantire un livello di sicurezza delle reti e dei sistemi informativi utilizzati nel contesto dell'offerta dei propri servizi definiti nella direttiva NIS
- precisa i parametri da prendere in considerazione al fine di determinare se un incidente ha un impatto rilevante sulla fornitura di tali servizi.
Si noti che la NIS è una direttiva in quanto, per sua natura, lascia spazio alla discrezione dei singoli paesi di adottare una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi; gli elementi e i parametri da prendere in considerazione al fine di determinare la gravità di un incidente vengono sottratti alla discrezione dei vari paesi tramite una direttiva.
Elementi di sicurezza. L’articolo 2 prende in considerazione:
- La sicurezza dei sistemi e degli impianti intesa come la sicurezza delle reti e dei sistemi informativi e del loro ambiente fisico
- il trattamento degli incidenti e le misure adottate dal fornitore di servizi digitali
- la continuità operativa intesa come la capacità di un'organizzazione di mantenere o, se del caso, ripristinare l'erogazione di servizi a livelli predefiniti
- Il monitoraggio, l'audit e i test
dando ulteriori dettagli sulle modalità intese per espletare le esigenze di sicurezza.
Gli FSD devono rendere disponibile la documentazione per consentire all'autorità competente di verificarne la conformità all’enunciato dell’articolo.
I Parametri da prendere in considerazione al fine di determinare la rilevanza di un incidente, come da articolo 3, sono i seguenti:
- il numero di utenti interessati da un incidente. In particolare gli utenti che dipendono dal servizio per la fornitura dei propri servizi, il fornitore di servizi digitali deve essere in grado di stimare:
- il numero di persone fisiche e giuridiche interessate con cui è stato concluso un contratto per la fornitura del servizio, oppure
- il numero di utenti interessati che hanno utilizzato il servizio in particolare in base ai precedenti dati sul traffico
- La durata dell'incidente, inteso come il periodo tra la perturbazione della regolare prestazione del servizio in termini di disponibilità, autenticità, integrità o riservatezza e il momento del ripristino.
- La diffusione geografica relativamente all'area interessata dall'incidente. Il fornitore di servizi digitali deve essere in grado di stabilire se l'incidente influisce sulla fornitura dei suoi servizi in determinati stati membri.
- La portata della perturbazione del funzionamento deve essere misurata per una o più delle seguenti caratteristiche compromesse dall'incidente: disponibilità, autenticità, integrità o riservatezza dei dati o dei servizi correlati.
- La portata dell'impatto sulle attività economiche e sociali. L’FSD deve essere in grado di dedurre se l'incidente ha causato importanti perdite materiali o immateriali per gli utenti sulla base di indicazioni quali:
- la natura delle sue relazioni contrattuali con il cliente
- oppure il numero potenziale di utenti interessati
- se l'incidente è stato causa di importanti perdite materiali o immateriali per gli utenti, ad esempio in relazione alla salute e alla sicurezza o danni materiali.
Di particolare interesse è la valutazione di impatto rilevante di un incidente, come da articolo 4.
Un incidente è considerato di impatto rilevante se si verifica almeno una delle seguenti situazioni:
- il servizio fornito da un FSD non è stato disponibile per oltre 5 000 000 di ore utente, dove per ore utente si intende il numero di utenti interessati nell'Unione per una durata di sessanta minuti
- l'incidente ha provocato una perdita di integrità, autenticità o riservatezza dei dati conservati, trasmessi o trattati o dei relativi servizi offerti o accessibili tramite una rete e un sistema informativo del fornitore di servizi digitali che ha interessato oltre 100 000 utenti nell'Unione;
- l'incidente ha generato un rischio per la sicurezza pubblica, l'incolumità pubblica o in termini di perdite di vite umane;
- l'incidente ha provocato danni materiali superiori a 1 000 000€ per almeno un utente nell'Unione.
Tali soglie possono essere riviste periodicamente dalla Commissione.