Cybersecurity

Strategie di Cybersecurity

Analizziamo nel dettaglio quanto previsto dalla direttiva ‘Network and Information Security’ (NIS), per un approccio comunitario alla tutela dello spazio economico digitale.

Il fatto che le reti, i sistemi e i servizi informativi svolgano un ruolo vitale, nella società contemporanea, è un dato ormai acquisito alla cultura della maggior parte degli operatori imprenditoriali ed istituzionali del nostro Paese. Tale circostanza, per altro, è chiaramente declinata a livello istituzionale sin dalla prefazione del “Quadro strategico nazionale per la sicurezza dello spazio cibernetico” pubblicato dalla Presidenza del Consiglio dei Ministri nel dicembre 2013, che così si esprime: “Il risiedere all’interno delle reti di una mole ogni giorno maggiore di saperi essenziali ai fini della sicurezza e della prosperità del sistema-Paese rende sempre più pressante l’esigenza di garantire, anche nello spazio cibernetico, il rispetto dei diritti e dei doveri che già vigono nella società civile, nel tessuto economico e nella Comunità internazionale”.

La digitalizzazione dei beni, dei rapporti e… dei ‘saperi’
Ciò che colpisce di più nella preposizione appena riportata, per il carattere evocativo generale della terminologia impiegata, è l’utilizzo dell’espressione ‘saperi’ nel testo. In effetti, il termine saperi allude non solo al mondo di dati ed informazioni economicamente apprezzabili, ma anche, ed è questo ciò che colpisce, a una dimensione sociale e culturale che, pur esulando in senso stretto da ciò che potremmo definire spazio cibernetico economico, rappresenta di fatto lo stato evolutivo della nostra civiltà in questo dato momento storico; e quindi i ‘saperi’ sono un bene da proteggere con ogni mezzo. Alla luce di questa considerazione, ritengo utile esaminare le norme contenute nella direttiva NIS, la quale in modo netto così si esprime al considerando nr. 2 per descrivere il fenomeno: “La portata, la frequenza e l’impatto degli incidenti a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali sistemi possono inoltre diventare un bersaglio per azioni intenzionalmente tese a danneggiare o interrompere il funzionamento dei sistemi stessi. Tali incidenti possono impedire l’esercizio delle attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all’economia dell’Unione”.

Timeline di attuazione delle misure di Cyber Security nell’Unione
La Direttiva UE 2016/1148 del Parlamento Europeo e del Consiglio, del 6 luglio 2016, è stata pubblicata nella Gazzetta Ufficiale dell’Unione Europea del 19.07.2016. Non trattandosi di un Regolamento, come tale dotato del carattere della esecutività (self executing), la Direttiva NIS necessita, per spiegare i suoi effetti, a livello nazionale di corrispondenti atti di recepimento dei suoi contenuti da parte degli Stati membri dell’Unione, ivi compreso il nostro Paese che dovrà adottare e pubblicare entro il 9 maggio 2018 le disposizioni legislative, regolamentari ed amministrative necessarie. Entro lo stesso termine gli Stati dovranno individuare, ai sensi dell’art. 5 della Direttiva, relativamente ai settori indicati nell’allegato II (vale a dire: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanitá, fornitura e distribuzione di acqua potabile e infrastrutture digitali) quali siano gli operatori di servizi essenziali con una sede nel loro territorio. Accanto ai settori generali appena ricordati, la Direttiva contempla anche degli ambiti più piccoli di dettaglio che comprendono, a titolo esemplificativo: gli istituti sanitari (compresi ospedali e cliniche private), i fornitori di servizi DNS e gli enti creditizi quali definiti all’articolo 4, punto 1, del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio. Per completezza, vale la pena sottolineare che specifiche misure di sicurezza sono poste dalla Direttiva anche a carico dei fornitori di servizi digitali, vale a dire: mercato on line, motori di ricerca e cloud computing.

Il dovere alla sicurezza di operatori e fornitori
Sugli operatori di servizi essenziali e digitali, in particolare, si concentrano le misure specifiche in termini di innalzamento del livello di sicurezza delle informazioni che gli Stati, tramite il recepimento dei contenuti della Direttiva stessa, dovranno prevedere. In particolare, gli art. 14 e 16 della Direttiva prevedono, che gli operatori dei servizi essenziali e digitali da una parte (a), tenuto conto delle conoscenze più aggiornate in materia, adottino misure tecniche e organizzative adeguate e pro-porzionate alla gestione e mitigazione dei rischi posti alla sicurezza delle reti e dei sistemi informativi che usano. Dall’altra (b), adottino misure adeguate per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati, al fine di assicurare la continuità di tali servizi. Infine, ma non per ultimo (c), che notifichino senza indebito ritardo all’autorità competente o al Csirt (Computer security incident response team) gli incidenti aventi un impatto rilevante sulla continuità dei servizi prestati.

La rete di gruppi di intervento per la sicurezza informatica
Una tra le previsioni maggiormente significative per gli effetti anche indiretti che potrà portare l’attuazione della Direttiva, in termini di innalzamento del livello di consapevolezza dell’esistenza di rischi e di contromisure adatte, è quella di cui all’art. 9 che impone, agli Stati membri di designare uno o più Csirt (veri e propri gruppi di intervento per la sicurezza informatica) che si occupino anche, se necessario, con il supporto di Enisa (l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione), dei settori e dei servizi specificati, ed abbiano il compito di trattare gli incidenti e i rischi secondo una procedura ben definita. Nello specifico, competono ai Csirt: il monitoraggio degli incidenti a livello nazionale; l’emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti; l’intervento in caso di incidente e, infine, l’analisi dinamica dei rischi e degli incidenti. A livello sovranazionale, nell’ottica contribuire allo sviluppo della fiducia fra gli Stati membri e di promuovere una cooperazione operativa rapida ed efficace, l’art. 12 della Direttiva istituisce una rete di Csirt, composta da rappresentanti dei Csirt degli Stati membri e del Cert-UE. Tra i compiti della rete di Csirt si segnalano in particolare quelli di discutere, esaminare e individuare ulteriori forme di cooperazione operativa, anche in relazione a categorie di rischi e di incidenti, preallarmi, assistenza reciproca, principi e modalità di coordinamento, quando gli Stati membri intervengono a proposito di rischi e incidenti transfrontalieri.