Il 15 settembre 2022, la Commissione europea ha pubblicato un proprio progetto di legge sulla resilienza informatica denominato Cyber Resilience Act (CRA) mirato a rendere più resilienti dal punto di vista della sicurezza informatica anche i singoli prodotti con al loro interno degli “componenti digitali”, sia di tipo hardware che software.
Il CRA però è solo uno degli ultimi elementi del quadro giuridico europeo che si sta componendo per rafforzare il livello di sicurezza informatica nell’UE e che anche il think tank Centres for European Policy Network (CEP) , sta regolarmente accompagnando con proprie analisi.
Progetti normativi quali il Regolamento sulla stabilità operativa digitale degli istituti finanziari (DORA si veda relativa cepAnalisi) e, in particolare, la revisione della Direttiva sulla sicurezza delle reti e delle informazioni (Direttiva NIS 2), argomento di una apposita cepAnalisi[2] come di un recente cepAdhoc, ne sono altri componenti fondamentali.
I danni della cybercriminalità
Non passa, infatti, ormai giorno senza che arrivino cattive notizie sul fronte informatico. Un attacco informatico segue l’altro. Solo per il 2021, l’Ufficio federale di polizia criminale tedesco (BKA) ha registrato un aumento del 12% del numero di reati informatici rispetto all’anno precedente. L’associazione di settore Bitkom ha recentemente parlato di danni complessivi pari a circa 203 miliardi di euro solo negli ultimi 12 mesi e solo per l’economia tedesca. Secondo la società statunitense Cybersecurity Ventures, i danni a livello mondiale sono stati stimati addirittura in 6.000 miliardi di dollari.
Recentemente, l’Alto rappresentante dell’Unione europea per gli affari esteri e la politica di sicurezza, Josep Borrell, si è sentito in dovere di esprimere piena solidarietà all’Albania e di condannare gli attacchi a causa delle attività informatiche contro le sue infrastrutture critiche.
La revisione della Direttiva sulla sicurezza delle reti e delle informazioni (Direttiva NIS), già in vigore dal 2016, è la risposta più diretta dell’UE con l’obiettivo di rafforzare la resilienza nello spazio cibernetico europeo e di armare meglio le aziende più strategiche del settore privato come anche le istituzioni pubbliche, contro gli incidenti e le minacce informatiche. Sebbene la precedente versione direttiva sulla sicurezza delle reti e dell’informazione, richieda già a molte aziende critiche per il funzionamento di un’economia – ad esempio servizi pubblici, ferrovie e banche – di stabilire misure di gestione del rischio di cyber-sicurezza e di segnalare i relativi incidenti, essa presenta evidenti fragilità a cui ancora dover fare fronte.
Cybersicurezza, l’Ue accelera: norme, obiettivi e prossimi step
I tre principali talloni d’Achille della direttiva NIS
La Commissione europea ha, infatti, individuato numerose debolezze nel quadro giuridico esistente che ancora ostacolano un elevato livello di sicurezza informatica nell’UE. Queste si riferiscono a tre aspetti in particolare.
In primo luogo, a suo avviso, le disposizioni della direttiva riguardano un gruppo troppo ristretto di entità. In secondo luogo, vi sono gravi lacune nell’attuazione delle misure per la gestione dei rischi informatici da parte delle aziende rientranti nella normativa e, in terzo luogo, gli attuali obblighi di reportistica per le aziende sono troppo vaghi e quindi, in ultima analisi, non abbastanza efficaci. Di conseguenza, la Commissione europea ha sviluppato alcune idee per contrastare questi difetti e, dopo lunghi negoziati e alcuni aggiustamenti alla bozza della Commissione, il Parlamento europeo e il Consiglio hanno approvato una bozza provvisoria di revisione della direttiva NIS nel maggio 2022.
Sempre più aziende e PA dovranno conformarsi agli obblighi della Direttiva
Ciò che colpisce in particolare è che in futuro un numero significativamente maggiore di aziende e, più recentemente, anche di istituzioni pubbliche – secondo l’eurodeputato Bart Groothuis, un totale di circa 160.000 in tutta l’UE – dovrà conformarsi agli obblighi previsti dalla direttiva, e quindi le realtà coinvolte saranno un numero significativamente maggiore rispetto al passato. Ciò è dovuto al fatto che in futuro dovranno conformarsi ai requisiti anche aziende di ulteriori settori, come quello sanitario e alimentare, ma anche quello più generale dell’industria manifatturiera. Poi i fornitori di infrastrutture digitali (ad esempio i data center) non vengono più esclusi.
La nuova direttiva si concentra, inoltre, anche sulla catena di approvvigionamento di aziende e istituzioni private e pubbliche. Che, in futuro, dovranno prestare maggiore attenzione anche ai pericoli della loro catena di fornitura nell’ambito della gestione del rischio, tenendo conto in particolare dei fornitori diretti, dei fornitori di servizi e delle loro specifiche vulnerabilità e pratiche di sicurezza informatica. I fornitori ed i fornitori di servizi che offrono prodotti e servizi TIC classificati come particolarmente critici dovranno essere sottoposti ad audit più severi.
Regole più chiare per le segnalazioni di incidenti
Inoltre, il nuovo quadro giuridico fornisce ora regole più chiare su cosa, quando, a chi e come gli incidenti informatici devono essere segnalati da aziende ed istituzioni. Ad esempio, devono essere segnalati solo gli incidenti che possono essere classificati come significativi, in particolare quelli che portano o potrebbero portare a un’interruzione significativa del funzionamento di un servizio e che comportano perdite finanziarie significative. In linea di principio, tali segnalazioni dovranno essere effettuate “senza indugio” e almeno entro un periodo di 24 ore. Dopo un ulteriore periodo massimo di 48 ore, segue una seconda notifica obbligatoria, che deve contenere una prima analisi approfondita dell’incidente, prima di un’analisi finale dopo un ulteriore mese, in cui l’azienda interessata deve riferire sulla gravità, l’impatto e la causa. Tutti questi rapporti vengono inviati ai team nazionali di risposta agli incidenti di sicurezza informatica o anche alle autorità di vigilanza nazionali.
NIS 2.0, ci serve per contare sullo scacchiere geopolitico: le mosse della Ue
Vi è proprio bisogno di una apposita normativa pubblica sulla cyber-sicurezza?
Ma tutte queste misure sono utili per rafforzare la resilienza informatica del settore pubblico e privato? Innanzitutto, ci si potrebbe chiedere perché sia necessario l’intervento delle istituzioni pubbliche. Dopo tutto, dovrebbe essere nell’interesse stesso di ogni azienda essere in grado di garantire la continuità del proprio business. Qualsiasi interruzione dell’attività aziendale comporta danni alla reputazione e perdite di fatturato. Prevenire questi fenomeni dovrebbe quindi essere una priorità assoluta per ogni azienda. I dirigenti d’azienda dovrebbero quindi essere disposti a spendere soldi per gestire adeguatamente i rischi informatici. Ma di fatto non è così.
Innanzitutto, gli attori colpiti da un attacco informatico spesso non devono sostenere in prima persona tutti i costi di questi attacchi e possono spesso scaricarli su terzi, come i loro clienti. D’altra parte, gli investimenti effettuati da un’azienda di solito aumentano anche la resilienza informatica di altre aziende. Tuttavia, questi effetti esterni positivi spesso non vengono adeguatamente valutati dalle aziende, per cui da un punto di vista economico i capitali che confluiscono nella sicurezza delle TIC finiscono per essere troppo pochi. Inoltre, il fallimento di strutture fondamentali per il funzionamento di una “comunità” è accompagnato anche spesso da costi sociali elevati. È quindi giusto che il legislatore europeo crei un quadro normativo più severo e obblighi le aziende private e le autorità pubbliche ad adattare la gestione dei rischi informatici in modo più coerente alle crescenti sfide.
Inoltre, le regole di segnalazione più severe e più chiaramente definite, aumentano la sicurezza informatica generale. Questo perché le aziende e gli attori statali colpiti da un incidente informatico altrimenti avrebbero scarso interesse a denunciarlo. Tale attività, in primo luogo, comporta infatti uno sforzo amministrativo e, in secondo luogo, è associata al timore di danni alla reputazione. Tuttavia, il reporting ha un elevato beneficio esterno, perché può aiutare terze parti a colmare rapidamente eventuali lacune nella sicurezza. Naturalmente, è importante che il rapporto venga redatto rapidamente e che contenga allo stesso tempo informazioni valide e preziose. Deve essere chiaro che queste ultime non potranno essere però tutte contenute nel rapporto iniziale previsto entro le 24 ore. Questo vale soprattutto per le aziende più piccole, che potrebbero non disporre delle risorse umane e del know-how necessari. Ma anche per le istituzioni più grandi, questa scadenza risulterà probabilmente molto ambiziosa. In ogni caso, in caso di dubbio, gli attori soggetti all’obbligo di segnalazione dovrebbero concentrarsi sull’utilizzo delle proprie capacità interne per gestire il cyber-attacco e contenere eventuali danni a sé stessi e a terzi, per poi presentare informazioni più rivelatrici solo nel contesto della seconda e terza segnalazione (rispettivamente dopo 74 ore e un mese).
Conclusioni
Dopo l’accordo raggiunto sulla NIS 2 agli Stati membri sono stati concessi quasi due anni per recepire le nuove regole nella legislazione nazionale: è probabile che vengano applicate, quindi, non prima del 2025. Si tratta però di una misura piuttosto tardiva, vista la crescente espansione di situazioni di minaccia.
