Lunedì, 17 Giugno 2019
Il decreto 65/2018 recepisce la direttiva fissando le modalità di applicazione per l’Italia. Qui di seguito si presentano le principali decisioni prese per il nostro paese.
- Entro il 9 novembre 2018 (come da direttiva ma in effetti con un leggero ritardo) sono stati identificati gli OSE, il cui elenco nazionale è stato depositato presso il Ministero dello Sviluppo Economico e con riesame previsto almeno ogni due anni.
- Sono state definite le autorità competenti responsabili per l’attuazione del decreto. In particolare
- il Ministero dello sviluppo economico per il settore energia, sottosettori energia elettrica, gas e petrolio e per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonchè per i servizi digitali;
- il Ministero delle infrastrutture e dei trasporti per il settore trasporti, sottosettori aereo, ferroviario, per vie d'acqua e su strada;
- il Ministero dell'economia e delle finanze per il settore bancario e per il settore infrastrutture dei mercati finanziari;
- il Ministero della salute per l'attività di assistenza sanitaria;
- il Ministero dell'ambiente e della tutela del territorio e del mare in merito al settore fornitura e distribuzione di acqua potabile.
- E' stato istituito, presso la Presidenza del Consiglio dei Ministri, il CSIRT italiano(https://www.csirt-ita.it). Esso svolge i compiti e le funzioni del CERT nazionale (Computer Emergency Response Team) e del CERT-PA. I compiti di questi ultimi vengono trasferiti al CSIRT.
- E' stato istituito, presso la Presidenza del Consiglio dei Ministri, il DIS (Dipartimento delle informazioni per la sicurezza - https://www.sicurezzanazionale.gov.it) quale punto di contatto unico nazionale in materia di sicurezza delle reti e dei sistemi informativi. Questo partecipa alle attività del gruppo di cooperazione composto da rappresentanti degli Stati membri, della Commissione europea e dell'ENISA.
- Sia per gli OSE che per gli FSD sono stati definiti i criteri di notifica degli incidenti sui servizi forniti, senza ingiustificato ritardo e aventi un impatto rilevante sulla continuità dei servizi essenziali forniti. Le notifiche devono essere inviate al CSIRT nazionale e per conoscenza all’autorità competente. Il CSIRT determina la rilevanza di un eventuali impatti transfrontalieri per le conseguenti azioni.
- Vengono definiti i criteri di attuazione e controllo da parte delle autorità competenti, oltre che i poteri ispettivi.
- Vengono definite le sanzioni amministrative per gli OSE e gli FSD per
- mancata adozione di misure tecniche adeguate e proporzionate per la gestione del rischio per la sicurezza della rete e dei sistemi informativi
- mancata notifica al CSIRT italiano degli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti
- mancata collaborazione nel fornire le informazioni necessarie per valutare la sicurezza delle proprie reti e sistemi informativi
- gli importi delle sanzioni, a seconda dei casi, possono variare da €12.000 a €125.000, con la possibilità che vengano triplicati in caso di reiterazione delle violazioni.
- Vengono definite le disposizioni finanziarie a sostegno della legge.