x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Telecomunicazioni: sicurezza e integrità delle reti e dei servizi

Il sistema degli articoli 13-bis e 13-ter della Direttiva 2009/140/CE

In materia di telecomunicazioni (TLC) il sistema normativo europeo si presenta abbastanza articolato.

La Direttiva 2002/21/CE costituisce la “direttiva quadro” (istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica) nell’ambito del noto “Pacchetto telecom” (Telecom package), introdotto per riordinare il sistema normativo delle telecomunicazioni. A questa direttiva quadro si aggiungono altre 4 direttive e precisamente:

Immagine rimossa.

  • direttiva "accesso" – Direttiva 2002/19/CE relativa all’accesso alle reti di comunicazione elettronica e alle risorse correlate, e all’interconnessione delle medesime;

  • direttiva “autorizzazioni” - Direttiva 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica;

  • direttiva "servizio universale" – Direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica;

  • direttiva "vita privata e comunicazioni elettroniche" – Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. Direttiva e-privacy).

Al citato quadro normativo va aggiunta la Decisione n. 676/2002/EC riguardo allo spettro radio.

La predetta “direttiva quadro” è stata modificata nel 2009, tant’è che sulla Gazzetta Ufficiale dell’Unione Europea del 18.12.2009 sono stati pubblicati i seguenti provvedimenti:

a) Direttiva 2009/140/CE (c.d. “Legiferare meglio”);

b) Direttiva 2009/136/CE (c.d. “Diritto dei cittadini”) che ha modificato la Direttiva 2002/58/CE su e-privacy;

c) Regolamento (CE) n. 1211/2009 istitutivo del BEREC.

Entrambe le citate Direttive del 2009 avrebbero dovuto essere recepite nel sistema normativo italiano entro il 25.5.2011, così come statuito dall’art. 5, comma 1, della Direttiva 2009/140/CE e dall’art. 4, comma 1, della Direttiva 2009/136/CE.

A tal proposito la Commissione Europea proprio il 24 novembre 2011 ha inviato una comunicazione a 16 Stati membri con «le proprie richieste in forma di "parere motivato"» (così si legge nel comunicato stampa). Il rischio per il mancato recepimento consiste nel deferimento alla Corte di giustizia dell’Unione europea con addebito delle sanzioni pecuniarie. Oltre all’Italia tra i 16 Stati inadempienti ci sono: Austria, Belgio, Bulgaria, Cipro, Francia, Germania, Grecia, Paesi Bassi, Polonia, Portogallo, Repubblica ceca, Romania, Slovenia, Spagna e Ungheria. Sul piano della gerarchia delle fonti sembra non potersi dubitare, in caso di mancato recepimento delle direttive, che spieghino comunque gli effetti nel nostro ordinamento.

Riguardo al contesto nazionale, allo stato le citate direttive – come si è detto – non sono state recepite ma sono contenute nello schema del disegno di legge “Disposizioni per l’adempimento di obblighi derivanti dall’appartenenza dell’Italia alle Comunità europee – Legge comunitaria 2010” attualmente all’esame del Parlamento.

Le tematiche oggetto delle citate due Direttive da recepire riguardano, molto genericamente, i diritti dei consumatori in materia di telefonia fissa, accesso ad internet e servizi mobili, ma anche maggiori garanzie in materia di tutela dei dati personali.

In particolare, la Direttiva 2009/140/CE introduce il Capitolo III bis che riguarda la “sicurezza e integrità delle reti e dei servizi”. In virtù di tale innovazione vengono introdotti, fra le altre modifiche, gli articoli 13-bis e 13-ter (nel testo in lingua inglese i citati articoli sono rubricati come 13a e 13b).

Le due norme recitano come segue:

Articolo 13 bis - Sicurezza e integrità

1. Gli Stati membri assicurano che le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico adottino adeguate misure di natura tecnica e organizzativa per gestire adeguatamente i rischi per la sicurezza delle reti e dei servizi. Tenuto conto delle attuali conoscenze in materia, dette misure assicurano un livello di sicurezza adeguato al rischio esistente. In particolare, si adottano misure per prevenire e limitare le conseguenze per gli utenti e le reti interconnesse degli incidenti che pregiudicano la sicurezza.

2. Gli Stati membri assicurano che le imprese che forniscono reti pubbliche di comunicazioni adottino tutte le misure opportune per garantire l’integrità delle loro reti e garantire in tal modo la continuità della fornitura dei servizi su tali reti.

3. Gli Stati membri assicurano che le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico comunichino all’autorità nazionale di regolamentazione competente ogni violazione della sicurezza o perdita dell’integrità che abbia avuto conseguenze significative sul funzionamento delle reti o dei servizi.

Se del caso, l’autorità nazionale interessata informa le autorità nazionali degli altri Stati membri e l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA). L’autorità nazionale di regolamentazione interessata può informare il pubblico o imporre all’impresa di farlo, ove accerti che la divulgazione della violazione sia nell’interesse pubblico.

L’autorità nazionale di regolamentazione interessata trasmette ogni anno alla Commissione e all’ENISA una relazione sintetica delle notifiche ricevute e delle azioni adottate conformemente al presente paragrafo.

4. La Commissione, tenendo nella massima considerazione il parere dell’ENISA, può adottare le opportune misure tecniche di attuazione per armonizzare le misure di cui ai paragrafi 1, 2 e 3, comprese le misure che definiscono le circostanze, il formato e le procedure che si applicano agli obblighi di notifica. Queste misure di attuazione tecnica si basano, per quanto possibile, sulle norme europee ed internazionali, e non ostano a che gli Stati membri adottino requisiti supplementari per conseguire gli obiettivi di cui ai paragrafi 1 e 2.

Tali misure di attuazione, intese a modificare elementi non essenziali della presente direttiva completandola, sono adottate secondo la procedura di regolamentazione con controllo di cui all’articolo 22, paragrafo 3.

Articolo 13-ter - Attuazione e controllo

1. Gli Stati membri assicurano che, ai fini dell’attuazione dell’articolo 13 bis, le competenti autorità nazionali di regolamentazione abbiano la facoltà di impartire istruzioni vincolanti, comprese quelle in materia di termini di attuazione, alle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazioni elettroniche accessibili al pubblico.

2. Gli Stati membri assicurano che le autorità nazionali di regolamentazione competenti abbiano la facoltà di imporre alle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico di:

a) fornire le informazioni necessarie per valutare la sicurezza e l’integrità dei loro servizi e delle loro reti, in particolare i documenti relativi alle politiche di sicurezza; nonché

b) sottostare a una verifica della sicurezza effettuata da un organismo qualificato indipendente o dall’autorità nazionale competente mettendo a disposizione dell’autorità nazionale di regolamentazione i risultati di tale verifica. L’impresa si assume l’onere finanziario della verifica.

3. Gli Stati membri provvedono affinché le autorità nazionali di regolamentazione dispongano di tutti i poteri necessari per indagare i casi di mancata conformità nonché i loro effetti sulla sicurezza e l’integrità delle reti.

4. Queste disposizioni lasciano impregiudicato l’articolo 3 della presente direttiva.

L’art. 13-bis (13a) impone agli Stati membri di assicurare che le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico:

  1. adottino adeguate misure di natura tecnica e organizzativa per gestire adeguatamente i rischi per la sicurezza delle reti e dei servizi;

  2. comunichino all’autorità nazionale di regolamentazione competente ogni violazione della sicurezza o perdita dell’integrità che abbia avuto conseguenze significative sul funzionamento delle reti o dei servizi.

In ogni caso, le imprese che forniscono reti pubbliche di comunicazioni devono adottare tutte le misure opportune per garantire l’integrità delle loro reti e garantire in tal modo la continuità della fornitura dei servizi su tali reti.

Il successivo art. 13-ter (13b) dispone che le competenti autorità nazionali di regolamentazione abbiano la facoltà di impartire istruzioni vincolanti.

L’art. 13-bis, quindi, effettua una prima distinzione tra:

a) imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico

b) imprese che forniscono reti pubbliche di comunicazioni

Pertanto, un primo dato riguarda il profilo soggettivo, posto che gli obblighi che ne derivano dipendono dalla tipologia dell’impresa. Del resto, è vero che la categoria indicata alla lettera a) è quella più ampia e alla stessa compete anche quanto imposto alle sole imprese che forniscono reti pubbliche di comunicazione.

Come si è detto queste norme sono introdotte in un nuovo capo (il terzo) che è dedicato esclusivamente a “sicurezza e integrità delle reti e dei servizi”. La Direttiva impone l’adozione di misure opportune ma ovviamente non individua la tipologia di tali interventi che restano a totale discrezione di ciascuno dei soggetti (imprese).

Sul piano che si potrebbe definire oggettivo, invece, nel tema della sicurezza diventa importante qualificare e circoscrivere i rischi per la sicurezza delle reti e dei servizi. Si tratta di valutazioni puramente tecniche che esulano dall’approccio del presente contributo; tuttavia, si ritiene utile poter ipotizzare delle macro aree all’interno delle quali potrebbero essere elaborati i singoli rischi. In questo ambito della sicurezza delle reti, generalmente si circoscrivono le macro aree di rischio individuandole negli attacchi informatici, negli errori umani, nelle catastrofi naturali, nei malfunzionamenti hardware e software. Ciò che viene, inoltre, richiesto è la continuità della fornitura dei servizi per cui è necessario un piano di disaster recovery che consenta proprio di continuare a garantire i servizi.

L’altro aspetto è quello della segnalazione alla competente autorità. Si tratta di una “security breach notification” molto simile alla “data breach notification” che esiste in alcuni paesi europei per le violazioni in materia di privacy. In buona sostanza, l’impresa che subisce una violazione di sicurezza dovrà segnalarla all’autorità competente. È evidente come tale sistema sia a tutela dei dati personali e dei consumatori perché dovrebbe garantire i livelli massimi di sicurezza se applicate appropriate misure di protezione. Il tema della sicurezza è connesso, per molti versi, con quello della tutela dei dati personali e non può sottacersi che, in seguito all’adozione da parte della 32ma Conferenza mondiale dei Garanti privacy, della risoluzione sulla Privacy by Design (PbD) le imprese hanno l’obbligo di valutare tutti i processi secondo questo approccio innovativo.

Su questo argomento è davvero interessante l’approccio della Dott.ssa Ann Cavoukian – Privacy and Information Commissioner of Ontario (Canada) – che, insieme a Dr. Marilyn Prosch (professore alla Arizona State University), ha teorizzato e proposto un approccio innovativo alla Privacy by Design, definito Privacy by ReDesign, idoneo non a smantellare i sistemi già esistenti ma ad adattare gli stessi ai principi di PbD. Privacy by ReDesign si fonda su 3 step: 1) Rethink, 2) Redesign, 3) Revive. Attraverso questo straordinario approccio non si dovrà demolire i processi aziendali già predisposti ed utilizzati, ma sarà possibile integrarli in modo da renderli conformi (compliance) ai principi di Privacy by Design e quindi del tutto funzionali, posizionando sempre al centro l’utente (finalità user centric).

Riguardo alle prescrizioni dettate dagli articoli 13-bis e 13-ter sul piano operativo le imprese dovranno utilizzare una modulistica standard comune per gli adempimenti che sono previsti.

In materia di telecomunicazioni (TLC) il sistema normativo europeo si presenta abbastanza articolato.

La Direttiva 2002/21/CE costituisce la “direttiva quadro” (istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica) nell’ambito del noto “Pacchetto telecom” (Telecom package), introdotto per riordinare il sistema normativo delle telecomunicazioni. A questa direttiva quadro si aggiungono altre 4 direttive e precisamente:

Immagine rimossa.

  • direttiva "accesso" – Direttiva 2002/19/CE relativa all’accesso alle reti di comunicazione elettronica e alle risorse correlate, e all’interconnessione delle medesime;

  • direttiva “autorizzazioni” - Direttiva 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica;

  • direttiva "servizio universale" – Direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica;

  • direttiva "vita privata e comunicazioni elettroniche" – Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. Direttiva e-privacy).

Al citato quadro normativo va aggiunta la Decisione n. 676/2002/EC riguardo allo spettro radio.

La predetta “direttiva quadro” è stata modificata nel 2009, tant’è che sulla Gazzetta Ufficiale dell’Unione Europea del 18.12.2009 sono stati pubblicati i seguenti provvedimenti:

a) Direttiva 2009/140/CE (c.d. “Legiferare meglio”);

b) Direttiva 2009/136/CE (c.d. “Diritto dei cittadini”) che ha modificato la Direttiva 2002/58/CE su e-privacy;

c) Regolamento (CE) n. 1211/2009 istitutivo del BEREC.

Entrambe le citate Direttive del 2009 avrebbero dovuto essere recepite nel sistema normativo italiano entro il 25.5.2011, così come statuito dall’art. 5, comma 1, della Direttiva 2009/140/CE e dall’art. 4, comma 1, della Direttiva 2009/136/CE.

A tal proposito la Commissione Europea proprio il 24 novembre 2011 ha inviato una comunicazione a 16 Stati membri con «le proprie richieste in forma di "parere motivato"» (così si legge nel comunicato stampa). Il rischio per il mancato recepimento consiste nel deferimento alla Corte di giustizia dell’Unione europea con addebito delle sanzioni pecuniarie. Oltre all’Italia tra i 16 Stati inadempienti ci sono: Austria, Belgio, Bulgaria, Cipro, Francia, Germania, Grecia, Paesi Bassi, Polonia, Portogallo, Repubblica ceca, Romania, Slovenia, Spagna e Ungheria. Sul piano della gerarchia delle fonti sembra non potersi dubitare, in caso di mancato recepimento delle direttive, che spieghino comunque gli effetti nel nostro ordinamento.

Riguardo al contesto nazionale, allo stato le citate direttive – come si è detto – non sono state recepite ma sono contenute nello schema del disegno di legge “Disposizioni per l’adempimento di obblighi derivanti dall’appartenenza dell’Italia alle Comunità europee – Legge comunitaria 2010” attualmente all’esame del Parlamento.

Le tematiche oggetto delle citate due Direttive da recepire riguardano, molto genericamente, i diritti dei consumatori in materia di telefonia fissa, accesso ad internet e servizi mobili, ma anche maggiori garanzie in materia di tutela dei dati personali.

In particolare, la Direttiva 2009/140/CE introduce il Capitolo III bis che riguarda la “sicurezza e integrità delle reti e dei servizi”. In virtù di tale innovazione vengono introdotti, fra le altre modifiche, gli articoli 13-bis e 13-ter (nel testo in lingua inglese i citati articoli sono rubricati come 13a e 13b).

Le due norme recitano come segue:

Articolo 13 bis - Sicurezza e integrità

1. Gli Stati membri assicurano che le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico adottino adeguate misure di natura tecnica e organizzativa per gestire adeguatamente i rischi per la sicurezza delle reti e dei servizi. Tenuto conto delle attuali conoscenze in materia, dette misure assicurano un livello di sicurezza adeguato al rischio esistente. In particolare, si adottano misure per prevenire e limitare le conseguenze per gli utenti e le reti interconnesse degli incidenti che pregiudicano la sicurezza.

2. Gli Stati membri assicurano che le imprese che forniscono reti pubbliche di comunicazioni adottino tutte le misure opportune per garantire l’integrità delle loro reti e garantire in tal modo la continuità della fornitura dei servizi su tali reti.

3. Gli Stati membri assicurano che le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico comunichino all’autorità nazionale di regolamentazione competente ogni violazione della sicurezza o perdita dell’integrità che abbia avuto conseguenze significative sul funzionamento delle reti o dei servizi.

Se del caso, l’autorità nazionale interessata informa le autorità nazionali degli altri Stati membri e l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA). L’autorità nazionale di regolamentazione interessata può informare il pubblico o imporre all’impresa di farlo, ove accerti che la divulgazione della violazione sia nell’interesse pubblico.

L’autorità nazionale di regolamentazione interessata trasmette ogni anno alla Commissione e all’ENISA una relazione sintetica delle notifiche ricevute e delle azioni adottate conformemente al presente paragrafo.

4. La Commissione, tenendo nella massima considerazione il parere dell’ENISA, può adottare le opportune misure tecniche di attuazione per armonizzare le misure di cui ai paragrafi 1, 2 e 3, comprese le misure che definiscono le circostanze, il formato e le procedure che si applicano agli obblighi di notifica. Queste misure di attuazione tecnica si basano, per quanto possibile, sulle norme europee ed internazionali, e non ostano a che gli Stati membri adottino requisiti supplementari per conseguire gli obiettivi di cui ai paragrafi 1 e 2.

Tali misure di attuazione, intese a modificare elementi non essenziali della presente direttiva completandola, sono adottate secondo la procedura di regolamentazione con controllo di cui all’articolo 22, paragrafo 3.

Articolo 13-ter - Attuazione e controllo

1. Gli Stati membri assicurano che, ai fini dell’attuazione dell’articolo 13 bis, le competenti autorità nazionali di regolamentazione abbiano la facoltà di impartire istruzioni vincolanti, comprese quelle in materia di termini di attuazione, alle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazioni elettroniche accessibili al pubblico.

2. Gli Stati membri assicurano che le autorità nazionali di regolamentazione competenti abbiano la facoltà di imporre alle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico di:

a) fornire le informazioni necessarie per valutare la sicurezza e l’integrità dei loro servizi e delle loro reti, in particolare i documenti relativi alle politiche di sicurezza; nonché

b) sottostare a una verifica della sicurezza effettuata da un organismo qualificato indipendente o dall’autorità nazionale competente mettendo a disposizione dell’autorità nazionale di regolamentazione i risultati di tale verifica. L’impresa si assume l’onere finanziario della verifica.

3. Gli Stati membri provvedono affinché le autorità nazionali di regolamentazione dispongano di tutti i poteri necessari per indagare i casi di mancata conformità nonché i loro effetti sulla sicurezza e l’integrità delle reti.

4. Queste disposizioni lasciano impregiudicato l’articolo 3 della presente direttiva.

L’art. 13-bis (13a) impone agli Stati membri di assicurare che le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico:

  1. adottino adeguate misure di natura tecnica e organizzativa per gestire adeguatamente i rischi per la sicurezza delle reti e dei servizi;

  2. comunichino all’autorità nazionale di regolamentazione competente ogni violazione della sicurezza o perdita dell’integrità che abbia avuto conseguenze significative sul funzionamento delle reti o dei servizi.

In ogni caso, le imprese che forniscono reti pubbliche di comunicazioni devono adottare tutte le misure opportune per garantire l’integrità delle loro reti e garantire in tal modo la continuità della fornitura dei servizi su tali reti.

Il successivo art. 13-ter (13b) dispone che le competenti autorità nazionali di regolamentazione abbiano la facoltà di impartire istruzioni vincolanti.

L’art. 13-bis, quindi, effettua una prima distinzione tra:

a) imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico

b) imprese che forniscono reti pubbliche di comunicazioni

Pertanto, un primo dato riguarda il profilo soggettivo, posto che gli obblighi che ne derivano dipendono dalla tipologia dell’impresa. Del resto, è vero che la categoria indicata alla lettera a) è quella più ampia e alla stessa compete anche quanto imposto alle sole imprese che forniscono reti pubbliche di comunicazione.

Come si è detto queste norme sono introdotte in un nuovo capo (il terzo) che è dedicato esclusivamente a “sicurezza e integrità delle reti e dei servizi”. La Direttiva impone l’adozione di misure opportune ma ovviamente non individua la tipologia di tali interventi che restano a totale discrezione di ciascuno dei soggetti (imprese).

Sul piano che si potrebbe definire oggettivo, invece, nel tema della sicurezza diventa importante qualificare e circoscrivere i rischi per la sicurezza delle reti e dei servizi. Si tratta di valutazioni puramente tecniche che esulano dall’approccio del presente contributo; tuttavia, si ritiene utile poter ipotizzare delle macro aree all’interno delle quali potrebbero essere elaborati i singoli rischi. In questo ambito della sicurezza delle reti, generalmente si circoscrivono le macro aree di rischio individuandole negli attacchi informatici, negli errori umani, nelle catastrofi naturali, nei malfunzionamenti hardware e software. Ciò che viene, inoltre, richiesto è la continuità della fornitura dei servizi per cui è necessario un piano di disaster recovery che consenta proprio di continuare a garantire i servizi.

L’altro aspetto è quello della segnalazione alla competente autorità. Si tratta di una “security breach notification” molto simile alla “data breach notification” che esiste in alcuni paesi europei per le violazioni in materia di privacy. In buona sostanza, l’impresa che subisce una violazione di sicurezza dovrà segnalarla all’autorità competente. È evidente come tale sistema sia a tutela dei dati personali e dei consumatori perché dovrebbe garantire i livelli massimi di sicurezza se applicate appropriate misure di protezione. Il tema della sicurezza è connesso, per molti versi, con quello della tutela dei dati personali e non può sottacersi che, in seguito all’adozione da parte della 32ma Conferenza mondiale dei Garanti privacy, della risoluzione sulla Privacy by Design (PbD) le imprese hanno l’obbligo di valutare tutti i processi secondo questo approccio innovativo.

Su questo argomento è davvero interessante l’approccio della Dott.ssa Ann Cavoukian – Privacy and Information Commissioner of Ontario (Canada) – che, insieme a Dr. Marilyn Prosch (professore alla Arizona State University), ha teorizzato e proposto un approccio innovativo alla Privacy by Design, definito Privacy by ReDesign, idoneo non a smantellare i sistemi già esistenti ma ad adattare gli stessi ai principi di PbD. Privacy by ReDesign si fonda su 3 step: 1) Rethink, 2) Redesign, 3) Revive. Attraverso questo straordinario approccio non si dovrà demolire i processi aziendali già predisposti ed utilizzati, ma sarà possibile integrarli in modo da renderli conformi (compliance) ai principi di Privacy by Design e quindi del tutto funzionali, posizionando sempre al centro l’utente (finalità user centric).

Riguardo alle prescrizioni dettate dagli articoli 13-bis e 13-ter sul piano operativo le imprese dovranno utilizzare una modulistica standard comune per gli adempimenti che sono previsti.

Articoli più letti su questo argomento

Diritto /

Il contributo annuale al Consiglio dell’Ordine: disciplina, natura e conseguenze del suo mancato versamento

Diritto /

Immagine - Cassazione Civile: l’utilizzo dell’immagine per scopi pubblicitari richiede sempre il consenso dell’interessato

Diritto /

Garante Privacy: i dati sui turni di servizio giornalieri del dipendente sono personali

Newsletter Abbonamenti