Mentre a livello internazionale si discute della caduta dei perimetri della cyber security, intesi come limiti oltre i quali non ci si deve preoccupare, e si sta prendendo coscienza dell’impossibilità di confidare su confini “sicuri”, perché tali confini non esisteranno più, in Italia è stata approvata la legge sul perimetro nazionale della cybersecurity, dopo un grande lavoro di cucitura tra i diversi governi, i diversi ministri e i diversi destini dell’AGID, e con la collaborazione decisiva del Dipartimento delle informazioni per la sicurezza (DIS).
Per l’attuazione del complesso processo previsto dalla legge, i tempi previsti sono di poco inferiori a un anno, ma, come sappiamo, un conto sono le previsioni di legge e un altro conto sono le capacità di attuazione da parte delle amministrazioni, per di più distratte o peggio ancora strattonate da un governo che si muove con orizzonte politico precario.
Gli aspetti critici da valutare nella fase di implementazione che investirà i prossimi mesi sono parecchi, come vedremo, ma prima di addentrarci negli aspetti cruciali della legge, vogliamo sgombrare il campo dall’equivoco ingenerato dal termine “perimetro”, perché la legge non resuscita, come si sarebbe indotti a credere, il concetto di perimetro in senso statico, ma introduce una categoria di servizi e apparati rilevanti e definisce soggetti privati e pubblici che debbono collaborare in modo dinamico al fine di assicurare la maggiore sicurezza possibile dal punto di vista cyber.
Il perimetro cyber – per dirla con Roberto Baldoni capo della Cybersecurity come vice direttore del DIS – sarà l’asticella che può aiutare a compiere un salto di qualità al mercato dei prodotti e servizi di cyber security, rafforzando il profilo normativo che impone elevati standard di sicurezza per i servizi essenziali e per il procurement della PA; un perimetro dinamico e graduale, per tener conto dell’evoluzione del mercato e delle nuove minacce che maturano nel contesto internazionale.
E questo pur in un contesto in cui l’internet delle cose e la diffusione di servizi e infrastrutture 5G determineranno la fine di questi perimetri di sicurezza, portandoci in una dimensione della rete con illimitati punti di accesso e quindi con superfici di attacco, come si dice, molto più estese delle attuali.
La messa in opera della nuova legge sul perimetro di sicurezza cibernetica
Qual è il processo che la legge 133/2019 pone in atto? Eccolo in estrema sintesi:
- vengono individuati enti pubblici e privati che gestiscono reti di importanza strategica;
- da questi enti vengono segnalati i problemi di sicurezza delle reti e delle apparecchiature relative;
- l’Autorità (Presidenza del Consiglio e Ministero dello Sviluppo Economico) stabilisce principi e linee guida di intervento che riguardano gli acquisti, l’organizzazione e le responsabilità interne;
- il Centro Nazionale di valutazione e Certificazione (CNCV) istituito presso il Ministero dello Sviluppo economico, valuta le segnalazioni sugli acquisti “critici”, indirizza le procedure d’acquisto di tali beni e servizi, individua i laboratori in grado di effettuare test e certificazioni, si raccorda con i Centri autonomi della Difesa e degli Interni.
La produzione dei decreti attuativi dei punti 1, 2 e 3 ricade sostanzialmente sulla Presidenza del Consiglio e quindi sul DIS che dovrà approntarli. E’ probabile che questa sequenza verrà rispettata, nonostante le limitazioni delle risorse.
La sicurezza come investimento
Occorre infatti stigmatizzare che in questa legge si continua a ripetere l’antico ritornello dell’amministrazione emergenziale italiana, che si dichiara in emergenza da decenni (e quindi nei fatti e nella logica non può continuare ad esserlo), ripetendo che alcune attività vanno fatte “nell’ambito delle risorse finanziarie e umane disponibili a legislazione vigente”.
Ma per fare bene ciò che la legge prevede, occorrono risorse finanziarie addizionali e soprattutto nuove risorse umane con esperienza internazionale.
Semmai sarebbe bene prevedere, nella fase di implementazione che investe i prossimi mesi, incentivi concreti (risorse finanziarie e risorse umane) da mettere a disposizione delle amministrazioni incluse nel perimetro cyber e incentivi agli investimenti delle imprese private che a loro volta entreranno a farne parte.
La sicurezza, infatti, è un investimento, non un lusso. La sicurezza fa risparmiare risorse, non le fa perdere, non le fa bruciare o evaporare. Gli investimenti si fanno a fronte dei risparmi futuri e come tali si finanziano, anche da parte dell’amministrazione pubblica, il cui orizzonte deve essere collocato in un futuro a cui poter giungere con una strada da percorrere nei prossimi anni, non nelle prossime settimane.
I settori più critici nella filiera della sicurezza
Tra i settori più critici dell’intera filiera della sicurezza cyber c’è quello della sanità, anche perché ci sono 20 sistemi informativi diversi uno per Regione (in realtà sono centinaia poiché la maggioranza delle Regioni non ha unificato i sistemi delle diverse ASL).
Per l’ambiente è perfino difficile parlare di sistemi informativi e servizi on line, poiché esistono solo a macchia di leopardo. Qui, nell’ambiente, il lavoro da fare potrebbe essere impostato ex novo, con una legge che attribuisca a ISPRA il compito di definire il sistema informativo dell’ambiente, e ciò renderebbe il compito della tutela della sicurezza dei dati e della privacy assai più agevole di quanto risulterà se si lasceranno proliferare i sistemi regionali.
La scelta potrebbe essere di comprendere questi settori, per le componenti più importanti in termini di sicurezza, con gradualità, in modo da inserirli nel perimetro nazionale una volta maturate le condizioni operative del CVCN e indirizzati i sistemi regionali verso una convergenza di standard.
Il Centro di Valutazione e Certificazione Nazionale, gli aspetti critici
Un aspetto critico della massima importanza della l. 133/2019 è costituito dal fatto che l’operatività del terzo punto sopra richiamato, che costituisce la macchina operativa più rilevante prevista dalla nuova norma, ricade ampiamente sul CVCN istituito presso il MISE.
Questo ministero ha patito le alternanze politiche che hanno caratterizzato gli ultimi anni. Il Centro era previsto dal DPCM 17 febbraio 2017, è stato poi istituito due anni dopo da Di Maio ministro pro tempore ed è stato oggetto di una successiva comunicazione dell’ISCTI (Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione) alla Commissione Finanze del Senato in questi termini:
“Il Centro è stato istituito presso l’ISCTI del Mise…In considerazione della complessità della realizzazione del CVCN, il Centro si svilupperà con la necessaria gradualità sulla base delle risorse umane e finanziarie disponibili, avvalendosi soprattutto nella fase iniziale di collaborazioni con Università e Centri di Ricerca nell’ottica di porre solide basi ad una iniziativa così strategica. Al di là degli aspetti tecnici di realizzazione del Centro l’impatto delle sue attività dipenderà da una serie di fattori, in particolare la definizione di un quadro normativo che individui le infrastrutture critiche e strategiche – problematica comunque già all’attenzione del DIS – e stabilisca specifici obblighi per l’acquisizione di prodotti e sistemi destinati alle predette infrastrutture. Tale quadro dovrà tenere anche conto delle disposizioni sulla realizzazione del “framework” di certificazione europea, contenute del cosiddetto “Cyber Act”, come già detto di prossima adozione nell’Unione Europea”.
Si noti come dall’ISCTI vengano messe le mani avanti: da un lato il Centro verrà avviato con risorse limitate (torniamo al punto!) e quindi con una gradualità determinata dai vincoli esterni, dall’altro il suo funzionamento è legato alla definizione dei Decreti della presidenza del Consiglio e alle previsioni delle norme europee.
Su questo ultimo punto ISCTI manifesta una giusta preoccupazione, che va al di là dei confini del Paese e investe il quadro europeo del mercato unico.
Il Regolamento 881/2019 su ENISA e la certificazione si pone l’obiettivo di creare “un quadro per l’introduzione di sistemi europei di certificazione della sicurezza cyber al fine di garantire un livello adeguato di sicurezza dei prodotti, servizi e processi ICT nell’Unione, oltre che al fine di evitare la frammentazione del mercato interno per quanto riguarda i sistemi di certificazione della sicurezza cyber nell’Unione”.
Lo sviluppo di un sistema di certificazione europeo
Questo ultimo obiettivo, al momento, rientra nelle competenze generali della direttiva NIS e si trova al di fuori della portata della nuova legge 133/2019 che si concentra sui servizi e sulle infrastrutture critiche per la sicurezza del Paese da includere nel perimetro cyber.
Il regolamento europeo prevede tutte le funzioni dell’ENISA in estremo dettaglio e ciò avrebbe dovuto essere l’oggetto di un provvedimento autonomo di tipo finanziario e organizzativo. Sull’altro lato, per garantire la non frammentazione del mercato europeo occorreva un autonomo provvedimento nel quale fossero definite in modo altrettanto puntuale le modalità e le procedure di certificazione europee. Esse, infatti sono delineate in modo troppo complesso e confuso nel Regolamento, con una pluralità di soggetti le cui competenze si sovrappongono, lasciando spazio a futuri contenziosi a livello internazionale e quindi anche ad azioni protezionistiche dei singoli Stati in contrasto con il mercato unico.
Lo sviluppo di un sistema di certificazione europeo, che spinga le autorità nazionali a collaborare e la regolazione a convergere, può dare un contributo decisivo alla crescita il mercato unico della cybersecurity, ma si tratta ancora di obiettivi da delineare e sviluppare concretamente con processi di convergenza e di collaborazione a livello europeo. Tutto il nesso tra perimetro nazionale e perimetro europeo è ancora da disegnare ed è terreno assai delicato per i motivi sopra ricordati.
Da questo punto di vista, la legge n. 133/2109 con l’approccio gradualista e dinamico al perimetro nazionale, segue una impostazione che dimostra di conoscere i limiti dell’amministrazione (nazionale e comunitaria) e di puntare alla difesa delle competenze strategiche nel campo della sicurezza cybernetica.
Ogni paese dell’Unione Europea che si illudesse di poter risolvere il tema della protezione delle risorse critiche con un approccio autarchico e con una definizione statica del perimetro nazionale, in un contesto in cui gli attacchi alla sicurezza vengono pianificati e perseguiti su scala globale, diverrebbe la preda prediletta degli squali del web.
