Il processo di revisione in corso della direttiva (UE) 2016/1148 (cosiddetta direttiva NIS – Network and Information Security) rappresenta un’importante opportunità per tutti gli interessati, a vario titolo, di fornire un utile contributo al miglioramento del pacchetto normativo in materia di sicurezza informatica anche alla luce del radicale cambio di scenario occorso con la pandemia.
Vediamo allora quali sono le principali proposte emerse nel corso della prima parte della consultazione lanciata dalla Commissione europea e chiusa il 13 agosto e quali sono i prossimi step.
La Direttiva NIS
La direttiva NIS – Network and Information Security – è uno strumento normativo che ha introdotto delle misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. Per raggiungere questo obiettivo la direttiva pone al centro della sua azione delle misure volte a elevare il livello di sicurezza della rete e dei sistemi informativi in ambito di ciascuna nazione, incrementando, così, con un effetto a cascata, il livello di sicurezza nell’Unione Europea.
La direttiva individua sette settori strategici che sono strettamente legati alla dimensione della sicurezza, ossia energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali, oltre a motori di ricerca, cloud e piattaforme online. Si tratta di settori vitali per la stabilità del mercato interno che dipendono in larga misura dalle tecnologie digitali. Di fatto lo strumento prevede un obbligo – per le imprese operanti nel mercato interno e per i governi – di adottare misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, come anche la definizione di un piano di valutazione dei rischi connessi ed infine programmi di formazione e sensibilizzazione in materia di cyber security.
Con la NIS ha visto la luce anche l’istituzione di un gruppo di cooperazione in ambito UE per la condivisione delle informazioni e le best practices finalizzate alla più efficiente ed efficace difesa e resilienza cibernetica, il CSIRT (Computer Security Incident Response Team) che nel nostro Paese a decorrere del 6 maggio 2020 ha sostituito il Cert-Pa e il Cert nazionale, ovvero le due strutture che hanno supportato rispettivamente le pubbliche amministrazioni e il settore privato nella prevenzione e nella risposta agli incidenti cyber.
Lo stato dell’arte in Italia
In Italia la direttiva è stata recepita attraverso il decreto legislativo n. 65 del 18 maggio 2018, che ha dettato la cornice legislativa delle misure da predisporre per la sicurezza delle reti e dei sistemi informativi individuando, altresì, i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva NIS. Successivamente, a complemento della NIS, il decreto-legge n. 105 del 2019 ha istituito un perimetro di sicurezza nazionale cibernetica al fine di assicurare, in particolare, un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, con la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi.
Il processo di revisione
Orbene, in un periodo storico come l’attuale, in cui siamo sempre più dipendenti dal digitale e la sicurezza informatica assume una rilevanza fondamentale nella vita di tutti i cittadini europei, la Commissione a decorrere dal 25 giugno 2020 ha ufficialmente aperto la consultazione pubblica relativamente alla futura revisione della direttiva NIS (UE 2016/1148). Se si pensa al fatto che, a soli tre anni dalla sua attuazione, lo scenario della cybersecurity è cambiato radicalmente e che la pandemia di coronavirus ha aperto un nuovo scenario digitale per aziende, cittadini e pubbliche amministrazioni, si comprende il valore indispensabile del processo di revisione che riguarda tutta la direttiva.
Il lancio della consultazione pubblica da parte della Commissione, a cui è possibile partecipare presentando commenti ed opinioni anche attraverso un portale dedicato, è comunque in linea con la revisione periodica della direttiva NIS, prevista dall’articolo 23 dello stesso provvedimento. Si tratta di un processo che è aperto a tutti i cittadini e gli stakeholder chiave dei settori di riferimento, oltre che agli enti istituzionali all’interno dei singoli Stati membri e mira anzitutto a valutare il livello di funzionamento della Direttiva NIS all’interno di ciascun Paese dell’Unione attraverso:
- lo studio del livello qualitativo e quantitativo della sicurezza delle reti e dei sistemi informativi degli Stati membri;
- la determinazione dell’efficacia, efficienza, coerenza e pertinenza della Direttiva NIS alla luce dell’evoluzione del panorama tecnologico degli ultimi anni e delle relative minacce informatiche;
- l’identificazione e la quantificazione dei costi e dei benefici, diretti e indiretti, derivanti dal processo di revisione della normativa;
- l’individuazione delle questioni chiave esistenti e quelle potenzialmente emergenti a livello di sicurezza che incidono sul funzionamento della direttiva.
Per partecipare alla consultazione è necessario rispondere ad un questionario, suddiviso in tre sezioni:
- la sezione uno contiene domande di carattere generale sulla direttiva NIS accessibili a tutte le categorie di soggetti interessati;
- la sezione due contiene domande tecniche sul funzionamento della direttiva NIS;
- la sezione tre intende raccogliere pareri sugli approcci alla cybersicurezza nel contesto europeo attualmente non disciplinati dalla direttiva NIS.
Il dibattito in corso
Il 13 di agosto scorso si è chiuso il primo step della consultazione pubblica. Ciò ha consentito alla Commissione di raccogliere le prime opinioni funzionali di alcuni dei principali attori coinvolti sulla attuazione e sull’impatto di potenziali modifiche al pacchetto normativo della Direttiva NIS, come anche informazioni utili sullo stato di preparazione della sicurezza informatica di società ed organizzazioni ed infine alcune proposte risolutive di maggiore efficacia sulle criticità incombenti.
Dagli addetti ai lavori è trapelato come lo gli strumenti di sicurezza informatica di cui si sono dotati gli Stati membri, siano rimasti sostanzialmente diseguali ed inefficienti se posti in relazione a quanto disposto dalla Direttiva. Secondo Evangelos Ouzounis, Head of Unit Secure Infrastructures and Services di ENISA, l’agenzia europea per la cyber security, uno dei motivi per cui è necessario rivitalizzare la direttiva sta nel diminuire quella frammentazione normativa che si verifica al momento della applicazione delle disposizioni della NIS in ciascun Paese. Il processo di adozione della direttiva da parte degli Stati, infatti, genera molto spesso distorsioni o norme discordanti che non favoriscono la creazione di condizioni di parità per sostenere l’ulteriore sviluppo del mercato unico digitale. Per Ozounis, inoltre, tutto quello che si è appreso negli ultimi anni deve essere messo in relazione al processo di aggiornamento dell’intero pacchetto normativo attualmente incluso nella direttiva NIS (Network and Information Security), identificando i settori verticali da coinvolgere ed i relativi elementi tecnici. Per raggiungere questo obiettivo occorre definire “requisiti minimi comuni e regole condivise per una governance europea più performante necessaria da una parte a sovraintendere l’applicazione delle norme su temi così delicati nei Paesi dell’Unione, dall’altra per spendere quei fondi per la cybersecurity elargiti dalla Comunità Europea attraverso una più oculata e responsabile pianificazione degli investimenti”.
Da ciò emerge, quindi, come la cooperazione transnazionale, inter-organizzativa e la condivisione delle informazioni tra tutte le parti interessate siano elementi fondamentali per garantire la resilienza informatica. In questo senso, le piattaforme di collaborazione create dalla direttiva NIS, come la rete di CSIRT / CERT europei, si sono dimostrate efficienti ma potrebbero essere ulteriormente migliorate per colmare quel divario di sicurezza necessario a fronteggiare ogni tipo di minaccia cibernetica. Ne consegue che la sicurezza informatica delle infrastrutture critiche potrebbe anche essere migliorata attraverso una più ampia condivisione di informazioni su minacce informatiche, vulnerabilità ed incidenti, sul modello ad esempio dei centri di condivisione e analisi delle informazioni (ISAC).
Invece, Eugene Kaspersky, fondatore dell’omonima azienda leader nella produzione di software progettati per la sicurezza informatica inserendosi nel dibattito ha introdotto il concetto di “cyberimmunity”. Per Kaspersky, con la revisione della direttiva NIS, si dovrebbe puntare a rendere più difficile la vita dei cyber-attaccanti. Per raggiungere questo obiettivo le autorità preposte dovrebbero mirare al raggiungimento di un livello di protezione tale per cui i costi di un attacco cyber superino quelli degli eventuali danni provocati con l’attacco stesso. Questo è il principio su cui si basa l’immunità informatica ovvero il presupposto che un attacco informatico può essere reso più costoso per l’attaccante rispetto al potenziale danno o profitto proteggendo con sempre più riguardo l’infrastruttura centrale insieme ad i suoi sistemi critici. Una missione che secondo il fondatore di Kaspersky è possibile impiegando un sistema operativo con moduli separati uno dall’altro che non possono comunicare se non con capacità molto limitate . Così facendo, un modulo compromesso non può compromettere gli altri. In tal modo per il CEO si potrebbe raggiungere la “cyber-immunità”, ossia la situazione ideale in cui qualsiasi oggetto all’interno di un ecosistema è protetto.
Le ulteriori criticità
Le opinioni fino ad ora raccolte da parte di aziende pubbliche e private raccontano la condivisione di problematiche sino ad ora non affrontate adeguatamente. È il caso, ad esempio, di Eurosmart oppure della European Banking Federation che vorrebbero più chiarezza ed uniformità nel processo complessivo che regola l’identificazione in ciascuno Stato degli operatori pubblici e privati di servizi essenziali (gli OES) e dei servizi digitali (FSD) ovvero di quelle persone giuridiche che fruiscono servizi quali cloud computing, e-commerce e motori di ricerca con sede (o rappresentanza) sul territorio nazionale. Spesso accade infatti che, ad esempio, chi deve interfacciarsi con un ente omonimo di un altro Stato membro deve sobbarcarsi oneri regolamentari che incidono negativamente sulla propria attività commerciale.
Per BEUC, The European Consumer Organisation, sarebbero utili maggiori informazioni periodiche (trimestrali o più frequenti) e più particolareggiate da parte delle autorità di regolamentazione di ciascun Paese sulle minacce che incombono agli OES su un range geograficamente più ristretto e focalizzato su singole realtà locali. Si richiede, inoltre, un ampliamento del campo applicativo della direttiva a fornitori che attualmente non rientrano nella NIS. Beuc sostiene, ad esempio, che nel settore sanitario, non tutti gli ospedali o gli operatori sanitari possono essere identificati come parte di infrastrutture critiche ed essere disciplinati adeguatamente; lo stesso discorso vale per i social network che secondo più organizzazioni andrebbero inclusi in questa direttiva proprio perché trattasi di fornitori di servizi la cui esposizione agli attacchi informatici è sempre più alta. Si chiede anche uniformità tra gli stati membri nell’identificazione degli OES nel trasporto ferroviario, attraverso la definizione di una metodologia comune, al fine di assicurare un omogeneo livello di sicurezza cyber agli operatori ferroviari che svolgono la propria attività nei Paesi dell’Unione.
Infine, tra le altre, si segnala EuroUSC Italia ltd, società di consulenza per le aziende che vogliono espandere il proprio business attraverso il mercato dei droni; tale società chiede una maggiore collaborazione tra l’Easa e l’Enisa auspicando lo sviluppo di regole per la sicurezza cibernetica degli operatori UAS (Unmanned Aerial Sistema), in conformità con la bozza Parte IV dell’allegato 6 della Convenzione di Chicago (aviazione civile internazionale).
In generale, quindi, alla ricognizione della Commissione stanno partecipando diverse imprese piccole e grandi, le cui richieste spaziano, ad esempio, dall’ampliamento del campo di azione della NIS (si pensi ai produttori di hardware e software) alla necessità di dimostrare che gli operatori di telecomunicazione effettuino acquisti da fornitori sicuri, controllando la filiera di approvvigionamento tramite un approccio di security by design.
Conclusioni
La consultazione pubblica, è rimasta aperta fino al 2 ottobre 2020 con l’obiettivo di chiudere l’aggiornamento del pacchetto di regole, scritto tra il 2014 e il 2015 e approvato nel 2016, già entro la fine dell’anno, in anticipo di qualche mese rispetto alla scadenza inizialmente fissata di maggio 2021.
L’aggiornamento della Direttiva NIS è quindi un ulteriore tassello irrinunciabile nella strategia dichiarata dal Presidente della Commissione Europea Ursula Von Der Leyen per realizzare quell’ “Europa pronta per l’era digitale” annunciata all’inizio dell’anno assieme ai membri della Commissione che verrà realizzata di concerto con altri progetti in materia, tra i quali, la revisione del programma europeo per la protezione delle infrastrutture critiche, la proposta di legge sulla resilienza operativa digitale nel settore finanziario e la creazione di un codice sulla sicurezza informatica. Si tratta di nuove sfide che richiedono risposte adattive ed innovative da parte di tutti i gruppi di interesse.