Tra gli aspetti più complessi di un’efficace strategia di cybersecurity e data protection vi è, senza dubbio, la gestione della catena delle forniture, in particolare in quei domini nei quali la sicurezza delle informazioni, dei sistemi e delle reti è parte integrante del business ed elementi critico e cruciale. Aspetti rilevanti anche alla luce delle novità introdotte dalla direttiva Nis2.
Sebbene questa considerazione possa apparire scontata e quasi banale, la conseguente attività rivolta nell’elaborazione di strategie di sicurezza delle informazioni di organizzazioni pubbliche e private, che riesca realmente ad affrontare la crescente complessità delle catene di forniture di beni e servizi della tecnologia dell’informazione non appare, in realtà, oggetto di una reale risposta in termini di efficacia e capacità degli acquirenti di esercitare un effettivo governo sulla supply chain.
Supply chain, gli aspetti critici della gestione della sicurezza
I fattori determinanti di questo problema sono molteplici ed hanno differenti origini, ma si concentrano soprattutto sulla reale ed effettiva possibilità, da parte del soggetto acquirente acquirente di beni e servizi di dettare la disciplina contrattuale e, quindi, di imporre all’altra parte una serie di obblighi di tutela e garanzia, nello specifico per quanto attiene all’individuazione dei livelli attesi di disponibilità, integrità e riservatezza, che costituiscono l’obiettivo ultimo della sicurezza delle informazioni.
Aspetti contrattuali da chiarire
La profonda insoddisfazione, se non il disagio, per il giurista, si percepisce, ad esempio, leggendo i contratti (redatti in maniera standardizzata dalle imprese) per la fruizione dei servizi cloud nelle varie declinazioni, PaaS, IaaS e SaaS, nei quali il cloud service provider si dichiara, dal punto di vista dei dati personali, responsabile del trattamento dei dati e il cliente come titolare. Ma l’accordo titolare/responsabile si traduce, senza possibilità di opinione diversa, in un’imposizione “prendere o lasciare” per il cliente, totalmente privato di tutti i poteri (e i doveri) che competono al titolare, per assoggettarsi in maniera assoluta al modello di business del fornitore, utilizzando il più classico modello di conclusione dei contratti a mezzo formulari standard, in applicazione degli artt. 1341 e 1342 del codice civile.
Titolare senza titolo, in estrema sintesi, che mette anche in dubbio il senso stesso della titolarità, quando ci si renda conto che – forse – questi ha sì determinato le finalità di trattamento, ma sui mezzi conserva scarso o nullo potere, testimoniato anche dal rigetto, se non manifesta ostilità, nella pratica, verso l’istituto della contitolarità, che meglio risponderebbe all’esigenza di disciplinare in concreto la responsabilità sui dati, in catene anche complesse di trattamenti[1].
Gestione della sicurezza nella supply chain, cosa dicono le norme
Le buone pratiche di sicurezza informatica, a partire dallo standard ISO 27001:2022 richiedono l’effettivo controllo sulla catena della fornitura quale parte del modello integrato della gestione del rischio di sicurezza delle informazioni. I controlli dell’Allegato A, da 5.19 a seguire, chiariscono come un sistema di gestione della sicurezza delle informazioni i requisiti contrattuali dovranno essere stabiliti e condivisi con ciascun fornitore in base alla specifica tipologia di fornitura (Traduzione semiletterale del controllo 5.20)
Come detto in precedenza, quando le parti coinvolte in una transazione operano su un piano di equilibrio, evidentemente non si pone nessun problema: le clausole relative alla sicurezza delle informazioni e alla privacy sono generalmente il risultato di una trattativa negoziale. Tuttavia, la situazione si complica notevolmente quando il fornitore di beni e servizi si trova in una posizione di forza e spesso impone contratti standard “a prendere o lasciare”. In questi casi, la parte acquirente si trova in una posizione di vulnerabilità, con limitate possibilità di influenzare le condizioni contrattuali, introducendo, nei fatti, nella propria strategia di protezione, una falla consistente che può avere ricadute inimmaginabili nel contesto operativo di protezione delle informazioni, dei sistemi e delle reti.
Non ragiona diversamente il Framework NIST, sia nella precedente che nella più recente versione: strumento orientativo che venne utilizzato come base per la costruzione del “Framework Nazionale per la Cybersecurity e la data protection”, che nell’edizione corrente (V.2 febbraio 2019) costituisce la struttura implementativa delle misure di sicurezza adottate dal Governo italiano per disciplinare più ambiti normativi: dal “Perimetro per la Sicurezza nazionale Cibernetica” (in particolare l’allegato B del DPCM 81/2021), il Regolamento Cloud per la Pubblica Amministrazione (adottato da ACN con Decreto Direttoriale n. 21007/24 del 27 giugno 2024) e, con grande probabilità, sarà utilizzato anche per disciplinare la baseline per l’attuazione della Direttiva NIS2 a seguito del recepimento con il recentissimo Decreto Legislativo 138/2024.
I controlli
Avendo in mente la necessità di governare realmente la sicurezza delle informazioni, in questi provvedimenti l’intenzione dell’autorità amministrativa di imporre determinati standard di sicurezza delle informazioni legata alla catena di fornitura è un aspetto cruciale, in tutte le fasi del ciclo “Identify-Protect-Detect-Respond-Recover” e che presuppone l’effettiva capacità di governo dei requisiti di sicurezza.
Si pensi, in particolare, ai controlli:
2.5.3 ID.SC-3: I contratti con i fornitori e i partner terzi sono utilizzati per realizzare appropriate misure progettate per rispettare gli obiettivi del programma di cybersecurity dell’organizzazione e del Piano di Gestione del Rischio della catena di approvvigionamento cyber
1. Le misure di sicurezza implementate dai terzi affidatari di servizi esterni sono coerenti, anche in relazione agli esiti dell’analisi del rischio, con le misure di sicurezza applicate al bene ICT. A tal fine, contratti, accordi o convenzioni sono aggiornati di conseguenza.
2. Le misure di sicurezza implementate dal soggetto in relazione a dipendenze interne sono coerenti, anche in relazione agli esiti dell’analisi del rischio, con le misure di sicurezza applicate al bene ICT. A tal fine, i contratti, gli accordi o le convenzioni sono aggiornati di conseguenza.
2.5.4 ID.SC-4: Fornitori e partner terzi sono regolarmente valutati utilizzando audit, verifiche, o altre forme di valutazione per confermare il rispetto degli obblighi contrattuali.
Gli obiettivi
È evidente che in questo caso, per specifiche tipologie di attori nel quadro della strategia cibernetica nazionale (ed europea) la necessità di tutelare interessi che vanno ben oltre quelli strettamente legati al contratto, indirizzano una necessità particolarmente sentita di attuare misure stabili, effettive, razionalmente articolate in priorità, sulla base di un processo analitico del rischio che non è solo di natura patrimoniale o aziendale.
Questo, allora, è l’aspetto fondamentale da valorizzare, che oggi richiede una riconsiderazione complessiva delle modalità con le quali le imprese e delle organizzazioni vengono chiamate a rispondere del modo con il quale affrontano e gestiscono gli obiettivi di sicurezza delle informazioni e che pone in capo ai vertici amministrativi di quelle strutture la piena e totale responsabilità, come oggi chiaramente definito dall’art. 23 del Decreto Legislativo 138/2024 di recepimento della Direttiva NIS2.
Un tempo si insegnava che l’autonomia privata, che si manifesta nella libertà d’impresa, non può prevedere vincoli nella sua attività. Poi, una lettura costituzionalmente orientata del sistema, con particolare riguardo all’art. 41 della Carta fondamentale, ha costretto ad una significativa revisione della dottrina liberista, stabilendo che l’iniziativa economica non può contrastare con l’utilità sociale e la sicurezza e che la legge può imporre programmi e i controlli opportuni perché l’attività economica pubblica e privata possa essere indirizzata e coordinata a fini sociali.
I soggetti coinvolti
Per taluni soggetti, dunque, ossia quelli identificati come responsabili della tutela di interessi diversi da quelli di impresa, le finalità di pubblico interesse e i controlli che vengono indirizzati dallo Stato o dall’Unione non possono limitarsi al solo soggetto, ma richiedono una declinazione lungo tutta la filiera del valore “sicurezza”, che non può non coinvolgere l’intera catena delle forniture, con elementi di misurazione e conformità che non possono essere demandati esclusivamente all’autonomia privata.
Fenomeno, questo, che apre anche all’elaborazione di una diversificazione tra operatori economici, taluni dei quali gravati di speciali compiti di tutela o “posizioni di garanzia” in ragione delle attività svolte.
Lo scenario europeo e globale
Si tratta dell’esito obbligato del dibattito sulle infrastrutture critiche approdato in Europa più tardi rispetto all’elaborazione d’oltreoceano, avviata dall’Esecutivo Clinton già nel 1996 e riguardata prevalentemente sotto il profilo della gestione della protezione fisica e della continuità operativa. La trasformazione digitale del mondo ha richiesto una nuova attenzione su modelli integrati di sicurezza con approccio a tutte le minacce e ha definito un nuovo “statuto” per quelle imprese, in più gran parte in mano privata, la cui perdita o degrado funzionale, siano idonei ad arrecare un pregiudizio alle funzioni di base di un Paese, con impatti rilevanti sulla società, sull’economia, sul governo e sulla vita quotidiana delle persone.
L’evoluzione geopolitica, non di meno, ha condizionato le scelte dei Governi anche in riferimento agli aspetti di conflittualità ibrida o asimmetrica, che i teatri di conflitto a due passi dai nostri confini stanno proponendo, nella piena consapevolezza che tale conflittualità si gioca anche sul terreno dei soggetti critici e degli operatori di servizi essenziali.
Se ciò è innegabile, è evidente che quei soggetti che rientrano nelle categorie che sono tenute ad apprestare specifiche misure di sicurezza, per garantire interessi di natura pubblica e obiettivi di rilievo costituzionale, per i quali lo strumento eminentemente privatistico appare, per sua natura inidoneo, proprio per quello sbilanciamento di forze che, nelle relazioni contrattuali, è la costante quotidiana.
Lo è ancor di più, quando si rifletterà come i soggetti che entreranno nell’ambito di applicazione della Direttiva NIS2 (e della Direttiva CER, per la quale, con i necessari adattamenti, valgono le stesse considerazioni) non possono sempre essere considerati “grandi imprese”, ma anzi potranno essere anche organizzazioni minori, con oggettive limitazioni di forza in termini negoziali.
La priorità: riflettere sui requisiti minimi di sicurezza
Appare perciò indispensabile iniziare a riflettere riguardo alla definizione di requisiti minimi di sicurezza, che costituiscano clausole cogenti, di applicazione obbligatoria e che si integrino e sostituiscano anche a quelle eventualmente difformi, decise dalle parti contrattuali (o da quella che abbia più forza contrattuale).
Il meccanismo qui descritto e rilevante in questo contesto è quello previsto dall’art. 1339 del Codice civile italiano, che consente l’inserimento automatico di clausole di legge o regolamento nei contratti. Questo strumento, che è certamente una profonda limitazione dell’autonomia negoziale, che già da tempo ha però perso quell’aura mistica di intangibilità, può essere il terreno fertile per orientare gli operatori di servizi critici ed essenziali, nel determinare anche la selezione di fornitori di beni e servizi indispensabili allo svolgimento delle funzioni dell’operatore “critico”, orientando in tal modo lo sviluppo di capacità effettive di sicurezza in un mercato non sempre capace di esprimere gli adeguati livelli di qualità ed eccellenza, in presenza di operatori di livelli professionali eterogenei e non sempre adeguatamente misurabili.
Problema non da poco, che però richiama alla necessità di approfondire il tema, oggi sempre più pressante, del “Duty of Care”, una formula che il legislatore nazionale ed europeo sta sempre più attivamente delineando e che richiederà interventi anche significativi, di evoluzione di istituti civilistici classici nella materia dei contratti, per fornire alle imprese esercenti funzioni di interesse pubblico o con impatti rilevanti sociali strumenti coerenti con gli obiettivi di tutela nell’interesse della collettività.
Note
[1] Si veda sul punto il contributo dell’Autorità olandese alla pubblica consultazione sulle linee guida titolare/responsabile del 2022 e l’accurata disamina svolta da Cyril Fischer in “Re-thinking the allocation of roles under the GDPR in the context of cloud computing” in International Data Privacy Law, Volume 14, Issue 1, February 2024, Pages 53–65,
