Lo prevede il decreto che recepisce la direttiva europea Nis. Ok a norme sull’uso dei Pnr
Al via misure per la sicurezza delle reti dei servizi
Pagina a cura di Antonio Ciccia Messina
Più tranquilli anche se si bloccano le reti: ci sarà continuità dei servizi essenziali. L’Italia mette le mani avanti e sulla scia dell’Europa si dota di un modello organizzativo di sicurezza complessivo. Il timore di un blocco della quotidiana operatività che dipende dalla tecnologia, inutile nasconderlo c’è: che cosa potrebbe capitare se si bloccasse il sistema bancario o quello del trasporto? Quasi la scena di un incubo, che è meglio allontanare.
Lo scopo della sicurezza delle reti è la finalità del decreto legislativo approvato in via definitiva dal governo il 16 maggio 2018, decreto che fa sistema con altro decreto legislativo sulla lotta al terrorismo mediante raccolta e analisi dei dati dei viaggiatori aerei e con la approvazione della modifica della convenzione europea 108 del 1981 sulla protezione dei dati.
Vediamo il dettaglio dei provvedimenti.
Sicurezza reti. Il decreto attua la direttiva (Ue) 2016/1148 che delinea misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. La direttiva (nota come Nis-Network and information security) per la prima volta ha affrontato in modo organico e trasversale gli aspetti in materia di cyber security, rafforzando la resilienza e la cooperazione in Europa.
La direttiva ha obbligato gli stati europei ad adottare una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi mediante la definizione, degli obiettivi strategici; delle opportune misure strategiche e regolamentari al fine di conseguire e mantenere un livello elevato di sicurezza delle reti e dei sistemi informativi; degli operatori di servizi essenziali nei settori reputati essenziali dal punto di vista della sicurezza cibernetica.
Gli operatori essenziali devono essere individuati entro il termine del 9 novembre 2018. Un operatore di servizio essenziale è il soggetto pubblico o privato che appartiene alle categorie elencate dalla direttiva (energia, trasporti, settore bancario, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali, infrastrutture dei mercati finanziari), il quale fornisce un servizio reputato essenziale per il mantenimento di attività sociali e/o economiche fondamentali. Ogni stato deve individuare una o più autorità nazionali in materia di sicurezza delle reti e dei sistemi informativi, con funzioni, tra le altre, di controllo circa l’applicazione della direttiva; designare un punto di contatto unico nazionale in materia di sicurezza delle reti e dei sistemi informativi («punto di contatto unico»); istituire uno o più gruppi di intervento per la sicurezza informatica in caso di incidente (Computer security incident response team, Csirt) responsabili del monitoraggio degli incidenti a livello nazionale, fornendo allarmi tempestivi, avvisi e annunci con lo scopo di diffondere informazioni su rischi e incidenti.
Il punto di contatto è tenuto a garantire la cooperazione transfrontaliera tra le autorità nazionali competenti in materia di sicurezza cibernetica e il gruppo di cooperazione, composto da rappresentati degli stati, dalla commissione e dall’Enisa (European union for network and information security agency).
Il decreto interviene su più fronti. Il primo è quello della promozione culturale per la gestione del rischio e della segnalazione degli incidenti tra i principali attori economici, in particolare gli operatori che forniscono servizi essenziali per il mantenimento di attività economiche e sociali e i fornitori di servizi digitali.
Il secondo obiettivo è il miglioramento delle capacità nazionali di cyber security. Il terzo obiettivo è rafforzare la cooperazione a livello nazionale e in ambito Ue.
Nel dettaglio il decreto prevede l’adozione di misure tecnico-organizzative per ridurre il rischio e limitare l’impatto di incidenti informatici e l’obbligo di notifica di incidenti con impatto rilevante sulla fornitura dei servizi: questo allo scopo di assicurare la continuità dei servizi essenziali (energia, trasporti, salute, finanza ecc.) e dei servizi digitali (motori di ricerca, servizi cloud, piattaforme di commercio elettronico).
In parallelo, il decreto individua le autorità competenti «Nis» e i rispettivi compiti, svolti in cooperazione con le omologhe autorità degli altri stati europei, nonché il Computer security incident response team (Csirt) nazionale, con compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con gli altri Csirt europei.
Codice prenotazione viaggi. Il decreto attua la direttiva (Ue) 2016/681 sull’uso dei dati del codice di prenotazione (Pnr) per contrastare i reati di terrorismo e i reati gravi: questo lo scopo dell’obbligo per i vettori di comunicare i dati relativi alle persone trasportate.
Stando alle direttive europee le compagnie aeree hanno l’obbligo di trasmettere determinate informazioni sui passeggeri di voli extra-Ue e intra-Ue, in ingresso e in uscita dal territorio italiano, a un nuovo organismo e cioè all’Unità d’informazione sui passeggeri (Uip) appositamente istituita, presso il Dipartimento della pubblica sicurezza del ministero dell’interno. L’obiettivo è da raggiungere con l’incrocio dei dati Pnr i passeggeri implicati in reati di terrorismo o in altri reati gravi.
Il decreto disciplina finalità e dati trattabili; delinea l’organizzazione complessiva del sistema; definisce il funzionamento del sistema informativo, i soggetti legittimati all’effettuazione del trattamento, le modalità operative dello stesso e le condizioni per la conservazione dei dati.
Il Pnr è il «codice di prenotazione» che sintetizza le informazioni relative al viaggio di ciascun passeggero comprendenti i dati necessari per il trattamento e il controllo delle prenotazioni a cura dei vettori aerei: i dati sono registrati in sistemi di prenotazione, in sistemi di controllo delle partenze utilizzati per la registrazione dei passeggeri sui voli, o in altri sistemi equivalenti con le stesse funzionalità.
I dati Pnr sono conservati per un periodo di cinque anni dalla loro trasmissione da parte dei vettori aerei. Decorsi sei mesi dal loro trasferimento, i dati vengono resi anonimi mediante un’operazione di mascheramento di una serie di elementi che potrebbero servire a identificare direttamente gli interessati a cui i dati Pnr si riferiscono.
Allo scadere del periodo di sei mesi, è ancora consentita la comunicazione dei dati Pnr integrali, ma solo se necessario per corrispondere a una richiesta debitamente motivata.
Protezione dati. Guardia alta contro le violazioni della sicurezza (data breach) e tutela rispetto a trattamenti automatizzati. È quanto previsto dalle modifiche alla convenzione 108 del 1981 sulla protezione degli individui rispetto al trattamento automatizzato dei dati personali, che dopo un lungo iter iniziato nel 2011, è stato portato a termine dal comitato dei ministri del consiglio d’Europa.
L’adozione formale è avvenuta il 18 maggio 2018. Il protocollo emendativo, che aggiorna la convenzione 108, sarà aperto alla firma il 25 giugno, in occasione della sessione dell’assemblea parlamentare del consiglio d’Europa.
La convenzione 108 è tuttora l’unico strumento sulla protezione dei dati vincolante a livello internazionale. Il protocollo garantisce standard elevati in una cornice normativa flessibile che facilita la loro adozione da parte di un ampio numero di paesi, inclusi quelli che non fanno parte del consiglio d’Europa. Costituisce, inoltre, un ponte tra i diversi approcci regionali, incluso il Regolamento (Ue) 2016/679 (pienamente applicabile dal prossimo 25 maggio) che colloca l’adesione da parte di Paesi terzi alla convenzione 108 tra i criteri da considerare nella valutazione di adeguatezza di tali paesi nel contesto dei trasferimenti dei dati.
Il protocollo contiene molte novità: il rafforzamento degli obblighi di trasparenza a carico dei titolari del trattamento; l’ampliamento dei diritti degli interessati, che ora racchiudono anche il diritto a non essere soggetto a decisioni puramente automatizzate e a conoscere la logica del trattamento; maggiori garanzie per la sicurezza dei dati, incluso l’obbligo di notificare i data breach, e di assicurare un approccio di privacy by design. Il protocollo rafforza inoltre i compiti delle Autorità di protezione dati e del comitato della convenzione, chiamato a svolgere un ruolo nella valutazione dell’effettivo rispetto dei principi della convenzione che deve essere assicurato dai paesi che ne faranno parte.
© Riproduzione riservata
Fonte:
