E’ in corso di approvazione lo schema di decreto del Presidente del Consiglio dei ministri recante regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici, e di misure volte a garantire elevati livelli di sicurezza
Lo schema di decreto è volto a dare attuazione alle disposizioni di cui all’articolo l, comma 3, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, in materia di sicurezza cibernetica.
Tali disposizioni prevedono che, entro dieci mesi dalla data di entrata in vigore della legge di conversione del decreto-legge, con decreto del Presidente del Consiglio dei ministri:
- siano definite le procedure secondo cui i soggetti inclusi nel perimetro di sicurezza cibernetica, notificano al CSIRT italiano gli incidenti aventi impatto sulle reti, sui sistemi informativi e sui servizi informatici di cui all’articolo l, comma 2, lettera b), del decreto-legge. ;
- siano stabilite misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di cui all’articolo l, comma 2, lettera b), del decreto-legge, tenendo conto degli standard definiti a livello internazionale e dell’Unione europea. Il decreto-legge definisce, quindi, nove ambiti ai quali le misure stabilite dovranno attenere.
Sono tenuti all’osservanza di tali disposizioni pure gli operatori di servizi essenziali, che, ai fini del decreto legislativo n. 65/2018, sono i soggetti pubblici o privati dei settori dell’energia e trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali, individuati dalle autorità competenti NIS
L’articolo l, comma 8, del decreto-legge, dispone che i soggetti rispettivamente tenuti al rispetto di tali disposizioni:
a) osservino le misure di sicurezza;
b) assolvano l’obbligo di notifica di cui all’articolo l, comma 3, lettera a), del decreto-legge.
Si rileva che molti degli “incidenti” rilevanti contemplati dal presente schema di decreto rientrerebbero nell’ambito della casistica di violazione dei dati personali (”Data Breach”) soggetta a notifica all’autorità di controllo ai sensi dell’articolo 33 del “Gdpr” [Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)]. Sarebbe stato dunque necessario acquisire il parere del Garante per la protezione dei dati personali.