Le nuove misure nazionali a favore della cybersecurity rappresentano un tassello della più complessa vision di un unico mercato digitale che assicuri un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione, adottato come criterio ispiratore della Direttiva NIS. Una valutazione dei passi avanti compiuti e del ruolo strategico di standardizzazioni e certificazioni.
In ottemperanza agli obblighi imposti a livello sovranazionale dall’art. 7 Direttiva NIS (Direttiva (UE) 2016/1148 secondo cui “Ogni Stato membro adotta una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi che definisce gli obiettivi strategici e le opportune misure strategiche e regolamentari al fine di conseguire e mantenere un livello elevato di sicurezza delle reti e dei sistemi informativi e contempla almeno i settori di cui all’allegato II e i servizi di cui all’allegato III”, rispettivamente, di Operatori di Servizi Essenziali (OSE) e di Fornitori di Servizi Digitali (FSD), il legislatore nazionale è di recente intervenuto, con il Decreto Legge n. 105/2019, per definire il perimetro di sicurezza nazionale cibernetica.
Con l’inizio del prossimo anno saranno identificati, con decreto del Presidente del Consiglio dei Ministri, “le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati” inclusi nel perimetro di sicurezza nazionale cibernetica.
Sicurezza, definizione del perimetro cibernetico
L’individuazione di detti soggetti è condizionata allo svolgimento di una funzione essenziale dello Stato, ovvero di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato resa funzionale attraverso le reti, sistemi informativi e servizi informatici dal cui potenziale “malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale”.
La definizione del perimetro di sicurezza nazionale sembrerebbe, quindi, avere un ambito applicativo più esteso rispetto a quello del D.Lgs. n. 65/2018 di recepimento della direttiva NIS e si pone come un tassello, ultimo in ordine cronologico, della più complessa vision di un unico mercato digitale che assicuri un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione, adottato come criterio ispiratore della Direttiva NIS (Direttiva (UE) 2016/1148. A distanza di un anno esatto dall’entrata in vigore del D.Lgs. n. 65/2018 il Parlamento europeo ed il Consiglio hanno adottato il Regolamento (UE) 2019/881, meglio conosciuto come Cybersecurity Act, reso esecutivo dal 27.6.2019.
La funzione finalistica di tale corpus normativo risulta quella di rispondere alla necessità, avvertita come esigenza sovranazionale, di creare un sistema di sicurezza digitale delle informazioni nel cui proscenio governa l’anelito del principio di accountability.
Direttiva Nis, difesa di reti e sistemi informativi
La Direttiva NIS, al considerando 1, dispone che “Le reti e i sistemi e servizi informativi svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per le attività economiche e sociali e in particolare ai fini del funzionamento del mercato interno”. Di pari, il Regolamento (UE) 2019/881, al medesimo considerando, sottolinea l’importanza delle reti e dei sistemi informativi e dei servizi di comunicazione elettronica che nella società costituiscono “i pilastri della crescita economica. Le tecnologie dell’informazione e della comunicazione (TIC) sono alla base dei sistemi complessi su cui poggiano le attività quotidiane della società, fanno funzionare le nostre economie in settori essenziali quali la sanità, l’energia, la finanza e i trasporti e, in particolare, contribuiscono al funzionamento del mercato interno”. Similmente a quanto, da ultimo, sottolineato dal DL 105/2019.
L’impegno transnazionale in materia di sicurezza delle reti e dei sistemi informativi si è, di recente, imposto per quanto concerne le reti 5G. Nella raccomandazione (UE) 2019/534 della Commissione europea del 26.3.2019 si fa espresso riferimento al ruolo dell’ENISA, al gruppo di cooperazione istituito dalla direttiva (UE) 2016/1148 nonché al quadro europeo di certificazione della cybersicurezza, di cui al successivo Regolamento (UE) 2019/881, manifestando l’esigenza di garantire la sicurezza dei dati e della vita privata delle comunicazioni elettroniche nell’ambito delle reti 5G come anche al fine di prevenire l’accesso non autorizzato ai dati personali o agli strumenti di trattamento dei dati e l’utilizzo illegittimo degli stessi.
In aumento l’emergenza cybersecurity
Dal Rapporto CLUSIT 2019 emerge che gli attacchi, che hanno avuto un considerevole coinvolgimento nel mondo digitale, sono aumentati rispetto all’anno precedente. A destare maggiori preoccupazioni è l’incremento della severità degli impatti di tali attacchi. Nel rapporto si legge che “le categorie dello spionaggio e dell’information warfare i casi classificati come critici nel 2018 sono stati rispettivamente l’80% e il 70% dei casi analizzati”.
Con il dichiarato intento di garantire un elevato livello di cybersicurezza nel mercato unico digitale, la Direttiva NIS impone l’adozione di misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi in settori critici e strategici identificati negli Operatori dei Servizi Essenziali e nei Fornitori di Servizi Digitali. Parallelamente il DL 105/2019 il cui titolo tradisce già gli intenti di protezione della sicurezza nazionale cibernetica. Il Cyber Security Act contribuisce a rafforzare il ruolo dell’ENISA e la certificazione della sicurezza by Design e by Default nei prodotti, servizi e processi afferenti le tecnologie dell’informazione e delle comunicazioni (TIC).
Seppur differenti per obiettivi, medesimo è il contesto applicativo e l’approccio sinergico volti all’adozione di misure tecniche e organizzative appropriate per salvaguardare la sicurezza dei servizi offerti promuovendo, nel contempo, una cultura della gestione dei rischi.
Gestione dei rischi: le linee guida
A supporto delle organizzazioni, pubbliche e private, identificate come Operatore di Servizi Essenziali (OSE) in quanto svolgenti attività strategiche nel settore dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, sanitario, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali, ai sensi del D.Lgs. 65/2018, le Autorità del settore di competenza hanno adottato delle Linee guida per la gestione dei rischi, prevenzione e mitigazione degli incidenti aventi impatto rilevante sulla continuità e sulla fornitura di servizi essenziali, emanate il 4.7.2019.
Esse si basano sul Framework Nazionale per Cybersecurity e la Data Protection di elaborazione del CIS-Sapienza e CINI con il supporto dell’Autorità Garante per la protezione dei dati personali e del Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei Ministri.
Gli OSE avranno quattro ovvero dodici mesi di tempo per uniformarsi alle linee guida, a seconda delle specificità settoriali, utilizzando tale Framework come valido strumento di autovalutazione dell’esposizione al rischio cibernetico contestualizzato per singola realtà organizzativa. Il framework consente, a ciascuna organizzazione, di opzionare la funzione, la categoria associata alla funzione, ciascuna subcategoria ad essa legata ed i relativi livelli di priorità e maturità di implementazione.
In tal modo si giunge ad adottare il framework core customizzato al contesto di applicazione. Il modello consente di definire l’as is dell’assetto organizzativo e tecnologico della propria organizzazione e di valutare il profilo di target come proprio desiderata verso cui tendere, andando a comprendere il gap di differenza.
Sicurezza, come si modulano i framework
Associate ad ogni sottocategoria sono gli standard di riferimento cui trarre ispirazione per l’assolvimento dell’informazione richiesta, tra cui ISO/IEC 27001, COBIT 5, CIS CSC, Misure Minime AgID, ISO/IEC 29100, ISO/IEC 29134. Specifiche disposizioni sono dettate per definire la contestualizzazione delle categorie e subcategorie in materia di Protezione dei Dati personali.
Il framework prevede 5 funzioni di: Identify, vale a dire definizione del contesto e degli asset a supporto dei processi critici, Protection come censimento delle misure di protezione dei processi di business e degli asset, Detect intesa come identificazione degli incidenti di sicurezza informatica, Respond come attività di intervento post incidente, Recover vale a dire come censimento di tutte le attività di ripristino dei processi e dei servizi.
Quindi, prendendo come esempio la categoria di Risk Assessment, attività ineludibile per una corretta gestione del rischio di sicurezza anche per la protezione dei dati personali, afferente la funzione Identify, il framework richiede specifiche informazioni, da parte dell’organizzazione, di come essa comprende il “rischio di cybersecurity inerente l’operatività dell’organizzazione (incluse la mission, le funzioni, l’immagine o la reputazione), gli asset e gli individui”.
Ad essa sono associate una serie di subcategorie per cui viene anche richiesto se l’organizzazione ha effettuato una valutazione di impatto sulla protezione dei dati personali il cui adempimento potrebbe imporsi come obbligatorio, a seconda delle informazioni censite, con priorità alta. Vengono quindi richiamate i riferimenti normativi ad essa associati che, come nell’esempio appena svolto, consistono negli artt. 35 e 36 GDPR, nel punto 4.5 della norma ISO/IEC 29100 relativa alle Tecnologie Informatiche – tecniche pe sicurezza – Quadro di riferimento per la privacy, nonché la ISO/IEC 29134 intitolata Information technology — Security techniques — Guidelines for privacy impact assessment.
Il fil rouge che accumuna questi documenti normativi con la legislazione in materia di protezione dei dati personali è l’impegno assunto a livello europeo, declinato in ambito nazionale, di investire sulla compliance e sicurezza, digitale ed organizzativa, dei dati e delle informazioni e di avvalersi di strumenti sicuri in quanto certificati.
La sicurezza in ambito pubblico
Anche nel settore pubblicistico il sentimento di emergenza non muta. L’AGiD, nel suo piano triennale 2019-2021, sottolinea la necessità dell’adozione di misure volte a garantire la sicurezza informatica per assicurare la disponibilità, l’integrità e la riservatezza delle informazioni del Sistema informativo della Pubblica Amministrazione nonché la resilienza della macchina amministrativa.
A tale scopo ha sviluppato il documento delle “Misure minime per la sicurezza ICT delle Pubbliche amministrazioni” volto ad indentificare i presidi di sicurezza per garantire il livello minimo di protezione, obbligatorio per tutte le PA. In tale ambito un ruolo importante è rivestito dal CERT-PA (Computer Emergency Readiness/Response Team) come unità di crisi per la risposta ad emergenze informatiche a supporto dei sistemi informatici della Pubblica Amministrazione.
Nelle more della costituzione del CSIRT, gruppo di intervento per la sicurezza informatica voluto dal D.Lgs. n. 65 del 2018 in caso di incidente ed istituito in seno alla Presidenza del Consiglio dei Ministri, il CERT-PA collabora con il CERT Nazionale a tali scopi, ricevendo notifiche da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali degli incidenti aventi un impatto rilevante sulla continuità dei servizi forniti.
Protezione dati, il fronte certificazioni
Anche il mondo delle certificazioni è in fermento nell’intento di dare attuazione alla disposizione contenuta nell’art. 42 del Regolamento (UE) 2016/679 per la quale “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento”.
Il 4 giugno scorso, le Autorità di protezione dei dati dell’EEA (European Economic Agreement) ed il Garante europeo della protezione dei dati, riuniti nel Comitato europeo per la protezione dei dati (CEDP), hanno adottato, tra l’altro, la versione definitiva dell’Allegato alle Linee guida sull’accreditamento degli organismi di certificazione e dell’Allegato alle Linee guida sulla certificazione volto a stabilire criteri generali su tutti i meccanismi di certificazione.
Sono state, pertanto, poste le basi affinché si proceda con la determinazione dei “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione. In attesa che i tempi siano più maturi, le aziende monitorano quello che tale generoso mercato propone nella consapevolezza che tali schemi, volontari, non possono definirsi conformi agli artt. 42 e 43 del Regolamento (UE) 2016/679, poiché non sono stati ancora determinati i criteri specifici di certificazione.
In particolare sono già in uso la Linea guida ISO/IEC 27005:2018 (Information technology — Security techniques — Information security risk management) come strumento di valutazione del rischio connesso alla sicurezza delle informazioni, nonché la Linea Guida UNI CEI ISO/IEC 29100:2015 (Tecnologie informatiche – Tecniche per la sicurezza – Quadro di riferimento per la privacy) come modello organizzativo orientato alla protezione dei dati personali.
La Linea guida UNI CEI EN ISO/IEC 27002:2017 (Information technology – Security techniques – Code of practice for information security controls) illustra i presidi di sicurezza contenuti nella UNI CEI EN ISO/IEC 27001:2017 (Information technology – Security techniques – Information security management systems – Requirements). Sua ulteriore declinazione è la Linea guida ISO/IEC 29151:2017 (Information technology – Security techniques – Code of practice for personally identifiable information protection) che definisce le contromisure specifiche per la protezione dei dati personali.
Mantiene interesse la norma UNI CEI EN ISO/IEC 27001:2017 che, seppur non specificamente orientata alla protezione dei dati personali, presenta, con essa, forti analogie. Di recente è stata emanata la norma ISO/IEC 29134:2017 (Information technology – Security techniques – Guidelines for privacy impact assessment) specifica per il risk assessment. Nel mondo sanitario è stata adottata UNI EN ISO 27799:2017 (Health informatics – Information security management in health using ISO/IEC 27002) per la gestione della sicurezza dell’informazione riferibile allo stato di salute.
Una Linee guida per la gestione dei dati personali in ambito ICT secondo il GDPR, UNI/PdR 43:2018, elaborata con il coordinamento di UNINFO, definisce i processi afferenti al trattamento dei dati personali svolti mediante strumenti elettronici e fornisce i requisiti volti a garantire alle aziende di essere compliant al quadro normativo europeo e nazionale. Sempre in ambito volontario, al pari di tutte le altre norme testè citate, si pone lo schema proprietario ISDP 10003:2015, sviluppato da INVEO s.r.l., che definisce i “Criteri e regole di controllo per la certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali – Reg. UE 679/2016”.
Da ultimo è stato emanato lo standard ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines. Esso si pone come estensione della più celebre norma UNI CEI EN ISO/IEC 27001:2017 ed è specifica per la gestione del Personally Identifiable Information (PII).
Pertanto, parallelamente alla diffusione della cultura della sicurezza digitale aumenta anche la consapevolezza dei cittadini, delle organizzazioni e delle imprese volta a promuovere la cooperazione e la condivisione delle informazioni ed il coordinamento tra gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione ai fini di prevenzione dei rischi attinenti alla sicurezza dei sistemi informativi e delle informazioni da essi veicolate.