C’è un problema, le norme sulla cybersecurity sono tante, forse troppe. In termini generali, lo stesso Rapporto Draghi sulla crescita e la competitività sottolinea l’eccessiva frammentazione normativa.
Nell’Unione convive un centinaio abbondante di normative specifiche per il settore digitale e oltre 270 autorità di regolamentazione. In questa congerie trovano spazio anche norme e documenti di indirizzo sulla cybersecurity che a loro volta vanno integrate tra loro e con le norme nazionali.
Molte di queste fanno riferimento a normazione tecnica di UNI, di ISO di cui ricordiamo almeno la suite 27000 e, a livello dell’Unione, di ETSI. Naturalmente importanti e scontati riverberi provengono dalle norme statunitensi di NIST, National Institute of Standard and Technology, e di NSA, National Security Agency.
Un pasto abbondante e tutto da digerire. Ogni norma va studiata e contestualizzata col rischio di perdere qualcosa e con l’incognita delle sanzioni per evitare le quali molti preferiranno affidarsi a professionisti esterni con la dubbia conseguenza di esternalizzare importanti saperi che dovrebbero stare ben saldi nelle organizzazioni.
Senza pretesa di completezza, cerchiamo di fare un po’ d’ordine.
Cybersecurity, il quadro europeo
A livello dell’Unione, da gennaio 2024 il Regolamento UE 2023/2841 sulla cybersecurity fornisce a istituzioni e Legislatori i criteri per bilanciare sicurezza informatica, innovazione e rispetto dei diritti fondamentali. Più nello specifico vige la NIS 2, Direttiva (UE) 2022/2555 meglio descritta nei paragrafi successivi e, per le istituzioni finanziarie, il Regolamento UE 2022/2554 DORA, Digital Operational Resilience Act in vigore da gennaio 2025. La protezione fisica delle infrastrutture critiche inoltre è regolata dalla Direttiva (UE) 2022/2557 “CER”, Critical Entities Resilience, recepita in Italia dal Dlgs.134/2024. Un cenno va al Cyber Resilience Act sui dispositivi, compreso gli IoT, che interviene anche sul marchio CE.
È difficile non sospettare qualche problema di coordinamento considerato che le norme più importanti per il settore ICT non sono poche, tra GDPR, DSA e DMA, AI Act, Data Act e Data Governance Act, l’organizzazione non è agevole.
Il ruolo di Enisa
A livello europeo un ruolo importante da quasi vent’anni è quello dell’ENISA, European Network and Information Security Agency, che fornisce il suo contributo nella sola formulazione delle norme. Tra le sue attività va citato il recente ECSF, European Cybersecurity Skills Framework, quadro delle certificazioni dei professionisti in cybersecurity. Il ruolo di ENISA è staccato ma collegato a quello dell’altra agenzia europea, l’ECCC, European Cybersecurity Competence Centre che è più operativa, finanzia e coordina i progetti di ricerca in materia di cybersecurity. Ci sono poi il CERT-EU, Computer Emergency Response Team, che interviene negli incidenti di sicurezza e l’IICB, Interinstitutional Cybersecurity Board
Cybersecurity, il quadro nazionale
A livello nazionale c’è il CAD, DLgs.82/2005, che, per quanto un po’ disordinato, da quasi due decenni fornisce una base per molti aspetti dell’informatica e del valore giuridico delle cose. L’art.17.1.c prevede, tra i ruoli del Responsabile per la Transizione al Digitale, quello di occuparsi anche dell’indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica. Il successivo art.51 sulla sicurezza e disponibilità dei dati richiama, tra l’altro, le Linee Guida dell’Agid – oggi per lo più dell’ACN – e specificatamente per le Pubbliche Amministrazioni, l’obbligo di custodire e controllare i documenti informatici con modalità tali da ridurre al minimo i rischi.
Per le Pubbliche Amministrazioni il quadro di indirizzo è definito dal Piano Triennale. Viene aggiornato con cadenza quasi annuale e con validità a scorrimento. Lo stesso diagramma del modello strategico, fin dalla sua prima stesura nel lontano 2016, prevede un ruolo chiaro e definito della cybersecurity. L’ultima incarnazione, la versione 2024-2026 uscita a gennaio, pone la cybersecurity nel gruppo delle tecnologie. Si tratta di un semplice espediente grafico visto che la cybersecurity non è un prodotto ma un processo e pertanto per ruoli e responsabilità dovrebbe stare nella parte alta del diagramma.
Fig.1 – La cybersecurity è uno dei componenti del Piano Triennale 2024-2026
Per concludere provvisoriamente il quadro, a livello nazionale va citato il DLgs.231/2001 che negli anni ha progressivamente modificato e ampliato il suo raggio d’azione fino a mettere in relazione la compliance di cybersecurity con il contrasto degli illeciti.
L’organismo più importante a livello nazionale è l’ACN, Agenzia Cybersicurezza Nazionale, istituita con DL.82/2021 e, oltre alla quasi totalità delle competenza in materia di cybersecurity dell’AGID, ha assorbito anche i compiti del Ministero Sviluppo Economico, del Dipartimento Informazioni Sicurezza e della Presidenza del Consiglio.
Su questo quadro si inseriscono le norme specifiche di cybersecurity: perimetro nazionale, Legge 90, NIS 2, regolamento ACN. Vediamole da vicino.
Perimetro nazionale di cybersicurezza
La L.133/2019 sul Perimetro Nazionale Cybersicurezza, seguito dai suoi quattro decreti attuativi di cui l’ultimo è del 2022, definisce in primo luogo chi, offrendo servizi essenziali per lo Stato, vi rientra. In buona sostanza si tratta degli operatori di spazio e aerospazio, energia, telecomunicazioni, trasporti, interno, difesa, economia e finanza, servizi digitali, tecnologie critiche, enti sanitari e previdenziali. Questi soggetti, per offrire i loro servizi devono comunicarli preventivamente agli organi nazionali di valutazione CVCN, Centro Valutazione e Certificazione Nazionale, o i CV, Centro di Valutazione. Il contratto di fornitura successivamente prevede l’attuazione di importanti misure di sicurezza tra cui i criteri di notifica degli incidenti al CSIRT, Computer Security Incident Response Team.
La Legge 90/2024 sulla cybersecurity nazionale
La 90/2024 sulla cybersecurity nazionale e reati informatici riguarda il rafforzamento dell’ACN, i contratti pubblici di beni e servizi informatici, i reati e gli attacchi informatici.
Ai sensi della L.196/2009 art.1.3, l’ISTAT pubblica l’elenco delle Pubbliche Amministrazioni coinvolte. Si tratta delle Pubbliche Amministrazioni centrali, Regioni, grandi Comuni, Aziende Sanitarie, società di trasporto, loro società in house. Queste devono individuare, nell’ambito delle risorse proprie, tipicamente lo stesso Ufficio del Responsabile alla Transizione Digitale, la struttura con specifici compiti e responsabilità e un unico referente da comunicare all’ACN.
La legge distingue tra segnalazione da effettuare entro 24 ore e la notifica entro 72 ore, su piattaforma dell’ACN e secondo una tassonomia definita dalla stessa ACN. Va da sé che la notifica, se riconducibile a un data breach di dati personali, per il GDPR art.33 va fatta anche al Garante Privacy.
Il recepimento della NIS 2 nell’ordinamento italiano
Il quadro europeo della cybersecurity è definito dalla Direttiva (UE) 2022/2555 “NIS 2”, Network and Information Systems, recepita in Italia dal recente Dlgs.138/2024. Riguarda la sicurezza informatica di reti e sistemi informativi e interviene su tre norme dell’Unione:
• abroga la precedente Direttiva 2016/1148 “NIS”;
• modifica il Regolamento 2014/910 “eIDAS”, Electronic IDentification Authentication Signature, sui servizi fiduciari (ma ignora le recenti e sostanziose integrazioni apportate dal Regolamento UE 2024/1183);
• modifica la Direttiva 2018/1972 “EECC”, European Electronic Communications Code, Codice Europeo Comunicazioni Elettroniche.
Riguarda i soggetti pubblici e privati elencati nei quattro allegati (pubblicati in Gazzetta Ufficiale, non ancora su Normattiva nel momento in cui scrivo, 12/10/2024). Si tratta di: settori alta criticità, altri settori critici, amministrazioni centrali o regionali o locali o di altro tipo, altri soggetti. La classificazione pur dettagliata, lascia importanti margini di interpretazione. Per fortuna, come successo per il perimetro di sicurezza, l’ACN notificherà singolarmente ciascuna Pubblica Amministrazione ed ente privato interessato. Nel complesso, NIS 2 in Italia impatterà su 12-16mila soggetti, non pochi.
La norma è articolata e impone un approccio a un tempo tecnico, organizzativo e operativo allineato al framework ISO 27000 e che consideri anche la catena di approvvigionamento.
Gli enti interessanti e i loro fornitori saranno tenuti ad attuare le misure di sicurezza definite dall’ACN in base a quattro parametri: esposizione al rischio, dimensione dell’Ente, probabilità, gravità. Analogamente alla L.90/2024 sulla cybersicurezza, ogni organizzazione dovrà individuare un referente cybersecurity. Gli incidenti andranno comunicati al CSIRT nazionale, Computer Security Incident Response Team, e ça va sans dire, dovrà essere garantita la continuità operativa basata su un’analisi di impatto sul business.
Regolamento ACN infrastrutture e cloud
Il Decreto Direttoriale n. 21007/24 dell’ACN e in vigore dal 01/08/2024 regola infrastrutture digitali e servizi cloud quando utilizzati dalla Pubbliche Amministrazioni. Emanato nell’ambito della Strategia Cloud Italia tracciato nel 2021, classifica quattro livelli di sicurezza per il cloud (AC, fornitori pubblici e QC fornitori privati, seguiti da un numero da 1 a 4) e per le infrastrutture (AI). Classifica inoltre tre livelli di criticità di dati e servizi delle PA in base all’impatto sul Paese: strategico, critico, ordinario. Dati e servizi vanno distribuiti secondo un criterio crescente di corrispondenza tra criticità e livello di qualificazione.
Fig.2 – Classificazione dei dati e dei servizi della PA unita alla qualificazione dei fornitori di cloud e infrastrutture
Il catalogo dei servizi e delle infrastrutture è pubblicato dall’ACN. Nel momento in cui scrivo (12/10/2024) ne sono qualificati ben 1653.
7.conclusione
Il quadro delle norme sulla cybersecurity è quello di una materia magmatica in cui la difficoltà iniziale è sempre la definizione dell’aspetto soggettivo. Spesso si ha l’impressione di non capire a chi vengano rivolte queste norme né in quali forme e quali misure vadano applicate. Forse l’unica cosa chiara è il rischio di sanzioni che possono essere anche molto pesanti.
I punti fermi di un quadro complesso
Il tutto è un po’ paradossale visto che, se l’obiettivo dichiarato di quasi tutte queste norme è quello di favorire la fiducia del mercato e dei servizi della Pubblica Amministrazione, la fiducia si affievolisce dove maggiormente servirebbe. La cybersecurity dovrebbe essere centrale nelle coscienze e nell’agire delle Pubbliche Amministrazioni e degli enti privati ma – escludendo la cattiva volontà – è difficile voler fare bene quando le norme sembrano così intrecciate.
Nonostante le difficoltà, da questo quadro emergono importanti punti fermi. I più significativi:
- su base nazionale, un ruolo importante è giocato dall’ACN, un organismo relativamente nuovo ma centrale.
- La cybersecurity viene vista sempre meno come “cose da informatici” e sempre più come processi che riguardano tutte le organizzazione sia al loro interno sia nella relazione tra loro. È significativa l’inclusione della supply chain nel recepimento della NIS 2 oppure il tacito presupposto che gli attacchi possono essere ibridi e vanno presi in considerazione su molti piani.
- Le organizzazioni, i loro servizi, i dati e i rischi stessi vengono classificati secondo criteri internazionali prevedendo misure e importanti forme di responsabilizzazione degli organi di vertice amministrativi e direttivi.
La realtà è complessa e finalmente le notizie traboccano anche sui canali mainstream. Solo nell’ultima settimana è stato fermato ed arrestato un “giovane” hacker con connessioni criminali con Paesi stranieri e capace di violare il sistema informativo della Giustizia italiana. Oppure va sottolineato il recente intervento pubblico di Bruno Frattasi, direttore generale dell’ACN, sugli attacchi ibridi e la necessità di collegare la cybersecurity con la Difesa. A ricordarci infine che la cybersecurity è fatta anche di pratiche semplici ma diffuse, è intervenuto il NIST (SP 800-63-4) con indicazioni sul ciclo di vita dei sistemi di autenticazione, password comprese.
Appendice
Forse un indice di complessità, questo articolo utilizza una quindicina scarsa di acronimi legati alla cybersecurity:
– ACN, Autorità Cybersicurezza Nazionale
– CER, Critical Entities Resilience
– CERT, Computer Emergency Response Team
– CSIRT, Computer Security Incident Response Team
– CVCN, Centro Valutazione e Certificazione Nazionale
– CV, Centro di Valutazione
– DORA, Digital Operational Resilience Act
– ECCC, European Cybersecurity Competence Centre
– ECSF, European Cybersecurity Skills Framework
– ENISA, European Network and Information Security Agency
– IICB, Interinstitutional Cybersecurity Board
– NIS, Network and Information Systems
– NIST, National Institute of Standards and Technology
– NSA, National Security Agency
[fine documento]