Se il 2018 è stato fondamentale per la cyber security nazionale ed europea, il 2019 dovrà essere l’anno del consolidamento. Nei dodici mesi appena trascorsi sono state gettate le basi normative per molti sviluppi attuativi che ci attendiamo di vedere concretizzati nel 2019, e che contribuiranno a consolidare lo scenario di innalzamento sistemico delle capacità di protezione, reazione e risposta nei confronti dei rischi e delle minacce cibernetiche non solo del nostro Paese ma dell’intera Unione europea.
Lo scenario della cyber sicurezza nel 2018
Sono ben tre gli ambiti comunitari strutturalmente interessati dalle varie norme entrate in vigore o comunque perfezionate nel corso del 2018:
- la protezione dei dati personali e dei diritti digitali dei cittadini, grazie al Regolamento generale noto come GDPR;
- la protezione dei servizi e delle infrastrutture tecnologiche cruciali per il buon funzionamento della società, grazie alla cosiddetta Direttiva NIS;
- la protezione dei dispositivi e degli apparecchi informatici e telematici di uso civile e domestico, grazie al nuovo quadro europeo per la certificazione della sicurezza informatica dei prodotti ICT e dei servizi digitali istituito dal cosiddetto Cybersecurity Act.
A questo già nutrito pacchetto si è aggiunta altresì, ma solamente per il nostro Paese, la piena entrata in vigore degli specifici obblighi per l’innalzamento della sicurezza informatica della Pubblica Amministrazione.
A coronamento di tutto questo complesso di norme e di iniziative vale la pena di ricordare che nel 2018 l’Europa, sempre mediante il Cybersecurity Act, ha finalmente deciso di dotarsi di una vera e propria Agenzia per la cybersecurity rafforzando il mandato, nonché ampliando il ruolo e i compiti, di ENISA, la precedente Agenzia per la sicurezza delle reti e dell’informazione. Questa, dopo aver egregiamente operato per quindici anni come “competence center” strategico a servizio della Commissione e degli Stati membri, dovrà ora trasformarsi in una struttura operativa a tutto tondo e supportare l’Unione e le altre Agenzie (quali ad esempio Europol ed Eurojust) in tutte le iniziative anche operative di innalzamento della sicurezza cibernetica comune.
Tanta carne al fuoco, come si vede, a indicare che il problema della sicurezza cibernetica è oramai finalmente ai primi posti nelle agende dei Governi. Ma vediamo brevemente ciascuno dei temi caldi, per comprendere meglio cosa ci riserverà il prossimo 2019, che a buon titolo potrebbe essere definito “l’anno della cybersecurity”.
GDPR
Sul fronte della protezione dei dati personali basta solo ricordare che nel 2018, oltre alla definitiva e completa entrata in vigore del Regolamento europeo, già stabilita sin dal 2016, si è avuta anche la attesa e travagliata emanazione della legge italiana di armonizzazione delle norme previgenti al nuovo impianto. Ora dunque il quadro normativo è chiaro e consolidato, salvo piccoli aggiustamenti che verranno dal Garante (ad esempio mediante pronunciamenti su questioni specifiche, o con le approvazioni dei codici deontologici) ed inevitabilmente dalla giurisprudenza.
La cosa importante da notare, se mai ve ne fosse ancora bisogno, è che il nuovo Regolamento impone a tutti i soggetti che trattano dati personali altrui un vero e proprio cambio di paradigma nell’attuazione della sicurezza, il quale a sua volta richiede grande maturità culturale da parte dei soggetti stessi. Per quanto riguarda infatti le misure di sicurezza il legislatore europeo, come anche nel caso della Direttiva NIS, ha abbandonato il precedente approccio prescrittivo basato su checklist aprioristiche ed uguali per tutti (le famose/famigerate “misure minime”) e su una vigilanza ex ante (basata sul famoso/famigerato DPS), per introdurre un rivoluzionario approccio basato sulla completa responsabilizzazione del soggetto titolare, il quale deve stabilire da solo le misure di sicurezza più appropriate per sé stesso facendole discendere da un’adeguata analisi del rischio, e su una vigilanza ex post innescata eventualmente dall’autodenuncia di violazioni subite dal titolare stesso (la cosiddetta data breach notification). Un approccio, questo, concettualmente corretto ma molto oneroso in termini implementativi soprattutto da parte di quei soggetti, più piccoli e meno preparati, che non hanno esperienza nella conduzione di serie analisi del rischio, e non sono quindi in grado di affrontare repentinamente un cambiamento organizzativo e culturale così profondo nella propria organizzazione.
Da notare, a tal proposito, che il 2018 ha visto anche il fiorire di innumerevoli corsi di formazione per DPO, entità mistiche di supporto ai titolari, e di formazione per i titolari stessi: c’è da sperare che questa sia stata una reale occasione di crescita culturale dei soggetti che li hanno frequentati, e conseguentemente delle relative organizzazioni, e non sia invece stata intesa come un mero adempimento burocratico fine a sé stesso.
Il Garante, dal canto suo, in più di una occasione si è autodefinito “il miglior amico dei DPO”: confidiamo quindi che la sua azione non si limiti solo alla necessaria vigilanza sul rispetto delle regole da parte di tutti ma contribuisca, in modo proattivo, a far crescere la sensibilità e la cultura delle organizzazioni su un tema sempre più importante e, purtroppo, sempre più messo a repentaglio da forze contrastanti quali da un lato le esigenze di sicurezza nazionale e dall’altro le tendenze verso uno stile di vita digitale che sia sempre più pubblico, partecipato e condiviso sotto ogni aspetto ed in ogni momento.
Direttiva NIS
Per una (in)felice coincidenza, il 2018 è stato anche l’anno in cui è approdata definitivamente in Europa la direttiva sull’innalzamento comune della sicurezza di quelle che una volta venivano chiamate “infrastrutture critiche” ed oggi sono più correttamente identificate nelle due grandi famiglie allargate degli “operatori di servizi essenziali” e dei “fornitori di servizi digitali”.
Trattandosi di una Direttiva e non di un Regolamento ciascuno Stato membro ha dovuto produrre ed approvare una legge nazionale di recepimento che traducesse l’impianto generale in una serie di norme locali di attuazione, sempre nel rispetto dei principi e degli obiettivi generali della norma originale. Le misure da attuare non erano poche, e andavano dalla creazione o identificazione di strutture nazionali di riferimento all’instaurazione di gruppi internazionali di cooperazione; il tutto da attuarsi entro la data dell’8 novembre.
Il nostro Paese è riuscito a rispettare la fatidica scadenza per la maggior parte degli adempimenti, in particolare per quanto riguarda l’identificazione (con relativa notifica a Bruxelles) delle strutture cui sono affidati gli incarichi di:
- Punto unico di contatto (assegnato al DIS);
- Autorità competenti NIS (assegnati ad alcuni Ministeri chiave);
- CSIRT Italiano (assegnato alla struttura risultante dalla fusione dei precedenti CERT Nazionale e CERT della Pubblica Amministrazione).
Da notare che il Governo ha deciso, così come ha fatto qualche altro Stato membro, di secretare per motivi di sicurezza nazionale la lista degli Operatori di servizi essenziali, la quale dunque non è state neppure notificata alla Commissione se non in termini di numerosità aggregata dei soggetti. Ciò complicherà forse un po’ la gestione quotidiana dei rapporti con gli Operatori, ma è una scelta di prudenza dettata dall’aumentato peso della minaccia sul settore, e forse anche una inevitabile conseguenza dell’impostazione strategica che si è data il nostro Paese quando, sin dal 2013, ha deciso di affidare la sicurezza cibernetica nazionale al Comparto Intelligence.
Notiamo a margine che gli ultimi mesi del 2018 hanno visto anche il cambio dei vertici di tutte e tre le strutture del Comparto, tra cui fondamentale è il DIS (Dipartimento delle informazioni per la sicurezza) che esprime il governo strategico della sicurezza cibernetica nazionale per mezzo di un apposito vicedirettore cyber. Ci si attende ovviamente che il neonominato Direttore segua la linea tracciata dal suo precedessore, il quale è stato di fatto l’artefice di tutta l’Architettura di protezione cibernetica, ma sarà interessante vedere come questa verrà poi interpretata e declinata nei suoi aspetti più operativi.
Nel complesso quadro degli adempimenti manca tuttavia ancora un cruciale tassello, quello dell’ordinamento dello CSIRT Italiano. La legge di recepimento della Direttiva aveva infatti assegnato al Governo la medesima scadenza europea dell’8 novembre per emanare anche un DPCM attuativo che avrebbe dovuto regolare operativamente le modalità di costituzione, organizzazione e funzionamento della nuova struttura centralizzata responsabile della prevenzione, gestione e risposta agli incidenti cibernetici nel pubblico e nel privato. Questa, appunto lo CSIRT Italiano, al momento esiste sulla carta, ma i suoi compiti vengono ancora svolti separatamente, ancorché in cooperazione, dai due preesistenti CERT governativi: il CERT Nazionale, istituito presso il Ministero dello sviluppo economico, e il CERT della Pubblica Amministrazione, istituito presso l’Agenzia per l’Italia Digitale.
Il ritardo nell’emanazione del decreto attuativo è presumibilmente da attribuirsi alla sopraggiunta necessità di intervenire sulla norma primaria di istituzione dello CSIRT per effettuarvi alcuni aggiustamenti propedeutici, il che non può essere fatto per decreto ma richiede una norma di rango superiore. I tempi dovrebbero comunque essere brevi nonostante questa esigenza di carattere amministrativo, e così entro i primi mesi del 2019 lo CSIRT Italiano dovrebbe essere messo anche formalmente in grado di disporre di strutture, persone, risorse e budget adeguati a svolgere il suo importantissimo compito, e poter quindi andare a regime nel corso dell’anno.
Le misure minime AgID
L’Agenzia per l’Italia Digitale, forte del mandato ricevuto sia dal vigente Quadro strategico nazionale che da specifiche normative (ad esempio la Direttiva 1 agosto 2015 del Presidente del Consiglio) ha provveduto da tempo ad attivare apposite iniziative atte ad innalzare la cultura della sicurezza nella Pubblica Amministrazione. Tra queste, quella più operativa è consistita nell’emanazione di una lista di misure di sicurezza ICT di obbligatoria adozione da parte di tutte le Amministrazioni a far data dal 1 gennaio 2018.
A valle di alcune verifiche informali si è avuta evidenza che, nel corso del 2018, il numero di Amministrazioni che ha intrapreso il cammino di adeguamento è sensibilmente aumentato. Ma soprattutto è cresciuto l’apprezzamento nei confronti dell’utilità delle Misure stesse che sono state viste, correttamente, come un ausilio nella crescita soprattutto per le Amministrazioni più piccole e meno preparate, e non come un ulteriore mero e sterile adempimento burocratico. A questo proposito è stato interessante scoprire che, inaspettatamente, anche molte PMI del settore privato hanno utilizzato le Misure Minime AgID come utile ancorché ovviamente non obbligatoria linea guida per l’innalzamento della propria sicurezza informatica, segno che la finalità di guida pratica ed utile ausilio operativo è stata colta anche da chi non era evidentemente destinatario principale del provvedimento.
È importante sottolineare che nel corso del 2019 AgID proseguirà nel percorso di disseminazione culturale dei temi della sicurezza pubblicando documenti di più ampio respiro, quali Linee Guida e Regole Tecniche, per venire sempre più incontro alle esigenze della Pubblica Amministrazione la quale deve recuperare molto terreno perso negli ultimi anni per quanto riguarda la propria protezione contro la minaccia cibernetica.
Difesa
Anche per il comparto della Difesa il 2018 è stato un anno importante. Il Comando Interforze per le Operazioni Cibernetiche (CIOC), struttura di vertice che raccoglie la massima espressione delle capacità della Difesa nel settore, ha infatti raggiunto la Initial Operational Capability (IOC) dotandosi di personale specializzato e risorse adeguate e partecipando sistematicamente ai competenti tavoli della sicurezza nazionale.
Secondo i piani, il CIOC raggiungerà la Full Operational Capability (FOC) nel corso del 2019, e quindi sarà in grado di operare a pieno regime per assicurare la protezione delle strutture e delle operazioni della Difesa in Italia e all’estero come da mandato ricevuto.
La cyber prossima ventura
Il 2019 sarà dunque l’anno del consolidamento: con il GDPR oramai a regime, è ora la volta degli operatori interessati dalla normativa NIS. Questi dovranno adeguarsi ai principi generali già emanati ed alle eventuali ulteriori indicazioni che verranno dalle Autorità nazionali competenti, agendo sempre in un’ottica di responsabilizzazione basata sull’adozione preventiva di adeguate misure di sicurezza desunte da un’analisi del rischio, e da continue attività di auto-vigilanza con obbligo di denuncia alle autorità degli eventuali incidenti occorsi.
Sempre nel corso del 2019 andranno a regime sia lo CSIRT Italiano che il CIOC, due importanti tasselli operativi dell’Architettura nazionale per la protezione dello spazio cibernetico; e vedrà infine la luce il primo schema comune europeo per la certificazione della sicurezza informatica dei prodotti ICT e dei servizi digitali, la cui attuazione nazionale è stata affidata all’Istituto Superiore delle Comunicazioni (ISCOM) del Ministero dello Sviluppo Economico.
Il risultato di tutti questi enormi sforzi organizzativi sarà una macchina comune europea più equilibrata, funzionale ed efficace, che potrà traguardare finalmente in modo comune ed uniforme le esigenze di protezione dell’intera Unione nei confronti della sempre crescente minaccia cibernetica. Su tutti veglierà come spirito guida una rinnovata e rafforzata ENISA, che aiuterà soprattutto la Commissione a tradurre le istanze politiche in attività operative a tutela del bene comune.
In questo grande quadro ognuno deve fare la sua parte, e l’Italia lo ha ben compreso. L’auspicio è dunque che tutti gli sforzi sinora compiuti non solo non siano stati vani, ma vengano intensificati e premiati con i risultati che tutti ci attendiamo in termini di miglioramento globale della fiducia verso le reti e i servizi digitali, le quali costituiscono oramai l’imprescindibile sistema nervoso sul quale si basano lo sviluppo e la sostenibilità della nostra società presente e futura.
