La relazione al Parlamento dell’Agenzia per la cybersicurezza nazionale relativa all’anno 2023 dedica un’attenzione particolare alla certificazione. È opportuno partire da questa evidenza per svolgere alcune riflessioni su una concomitanza importante: l’imminenza della trasposizione nell’ordinamento nazionale della direttiva NIS 2 e lo sviluppo del percorso di certificazione di sicurezza informatica nel panorama europeo con le possibili ricadute sul territorio nazionale.
Per alcune considerazioni organiche, un buon punto di partenza è rappresentato dal tema della fornitura di strumenti e servizi informatici, bene evidenziato dalla relazione in quanto si tratta di un aspetto per troppo tempo gestito senza la benché minima attenzione ai profili di cybersecurity.
La percezione e poi il convincimento che le acquisizioni di beni e servizi informatici stavano diventando l’anello più debole di una catena complessa, ha portato alle prime iniziative riguardanti per esempio i bandi di gara della Pubblica Amministrazione, con le prime approfondite analisi delle modalità tecniche di espletamento al fine di eliminare eventuali procedure incrostate, spesso inadeguate a garantire approvvigionamenti di qualità.
Procurement pubblico, le indicazioni dell’Acn
Per ottenere un certo grado di affidabilità, in termini cyber, di una catena di fornitori spesso identificabili con aziende di piccole o medie dimensioni, si è dovuto imporre l’adozione di una postura completamente innovativa. Alcune misure di sicurezza informatica andavano poste anche a carico di processi di quel tipo; per questo motivo, nella relazione di ACN sono stati esposti riferimenti precisi e circostanziati ai processi di procurement ICT della PA, alle problematiche più comuni e ai correttivi che andavano proposti con urgenza.
Nella relazione sono così citati i contributi e le proposte di ACN che sono stati presentati, cogliendo l’occasione della fase di predisposizione del nuovo Codice degli Appalti, (D.Lgs. n. 36/2023), per blindare di fatto alcuni capisaldi e principi di garanzia da tenersi ben presenti nelle procedure di gara.
Cybersecurity e stazioni appaltanti
In relazione per esempio ai criteri di aggiudicazione, nell’art.108 del D.Lgs. 36/2023 il legislatore, dovendo garantire fra l’altro la sicurezza di una transizione digitale che si annuncia epocale per il nostro Paese, ha previsto forti novità quali l’obbligo di tenere sempre la massima attenzione sui profili di sicurezza cyber in caso di acquisti di beni e servizi informatici, soprattutto se destinati ad operare in ambiti nei quali si trattano interessi strategici nazionali.
Le stazioni appaltanti, secondo la previsione normativa, devono quindi adottare una postura altrettanto innovativa nelle valutazioni tecnico-economiche, riservando importanti pesi agli aspetti tecnici anche rispetto a quelli prettamente economici.
Appare chiaro quanto questo approccio rappresenti un’inversione di tendenza rispetto alle modalità purtroppo diffuse in precedenza. La questione della sicurezza della supply chain, ma più in generale la costruzione di una policy di cybersecurity dal respiro importante, può ragionevolmente partire da qui.
Supply chain, gli impatti sulla sicurezza nazionale
Quanto agli aspetti di sicurezza nazionale, gli obblighi che devono essere considerati con assoluta precisione per assicurare il rispetto di esigenze primarie, stanno irrompendo in un numero crescente di tipologie di acquisti, non solo quindi in quelli riferiti alle infrastrutture critiche oppure nelle operazioni di grandi aziende, ma possono coinvolgere anche piccole e medie aziende per possibili contiguità con settori altamente sensibili, o semplicemente con soggetti inseriti nel Perimetro di sicurezza nazionale cibernetica.
L’importanza delle certificazioni di sicurezza
Per essere più espliciti, non si potrà prescindere, nelle operazioni di procurement in questo ambito, dall’assegnare un peso crescente alle certificazioni di sicurezza informatica, in quanto strumento indispensabile in un ecosistema digitale in cui si debba alimentare la resilienza di sistemi altamente strategici. Il possesso di certificazioni di sicurezza informatica, inoltre, contribuisce in generale a potenziare la fiducia nei confronti di prodotti, servizi e processi ICT.
Naturalmente, nel caso di forniture per infrastrutture o componenti non dedicati alla sicurezza nazionale, l’obbligo di disporre di una certificazione di sicurezza informatica come garanzia di una fornitura di qualità, ripercorrerebbe quanto già normato e reso obbligatorio per certe fattispecie riguardanti soggetti del Perimetro, con il noto coinvolgimento del Cvcn, una eventuale soluzione di questo tipo dovrebbe essere adottata con gradualità, considerato che per il Framework unico europeo è stato ribadito il carattere della volontarietà.
I temi della sicurezza della supply chain e della certificazione ad oggi necessitano di attenzioni particolari, il primo per la frammentarietà dei passaggi che la compongono caratterizzati da livelli di sicurezza diversificati, il secondo perché sarà necessario coordinare diversi interventi normativi, tra i quali il Cybersecurity ACT, lo schema EUCC, la legge di istituzione del Perimetro di sicurezza nazionale cibernetica e la NIS 2.
Sicurezza supply chain, cosa prevede la NIS 2
Proprio alla Direttiva NIS 2 l’Acn, nella relazione al Parlamento, ha riservato un’attenzione notevole sottolineandone la portata assai potenziata rispetto alla precedente NIS, che viene integralmente sostituita. Il processo di recepimento della NIS 2 dovrà concludersi come noto il 17 ottobre 2024, intanto con la Legge 21 febbraio 2024, n. 15 “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti normativi dell’Unione europea – Legge di delegazione europea 2022-2023”, pubblicata nella Gazzetta Ufficiale n.46 del 24 febbraio 2024, sono stati individuati i princìpi e criteri specifici per il recepimento della direttiva (UE) 2022/2555 che, si ricorda, prevede l’adozione di misure volte ad aumentare la resilienza di soggetti pubblici e privati operanti nell’Unione europea alle minacce nell’ambito cibernetico (Direttiva NIS 2).
I criteri introdotti dalla legge confermano la volontà di procedere con serietà e rigore nell’applicazione di tutti i presidi consentiti, utili al rafforzamento di un impianto normativo già importante;
Tali criteri sembrano ambire anche a raccordare, per esempio, le strutture operanti quali CSIRT a livello nazionale e locale, prevedendo fra l’altro gradualità per la migliore applicazione delle nuove previsioni , revisione del sistema sanzionatorio e chiarificazioni circa l’architettura delle strutture operative.
Le tecnologie da utilizzare
Appare in particolare denso di significato il criterio che richiama la possibilità di fare ricorso ad idonee tecnologie per assicurare l’”effettiva attivazione delle misure “ di cui all’art.21 dal titolo. “Misure di gestione dei rischi di cibersicurezza”.
Ecco, questo articolo della Direttiva racchiude, in sintesi ma in maniera sufficientemente esplicita, tutti i compiti ( e gli investimenti) che un soggetto rientrante tra i soggetti NIS 2 deve svolgere o mettere in campo per essere compliance con la Direttiva. Viene indicato anche il metodo: l’approccio multirischio che consente di effettuare valutazioni composite, a partire da una conoscenza approfondita dei propri asset e delle possibili debolezze eventualmente non ancora protette.
Perché la formazione è una priorità
Prevedibilmente queste serie di analisi dei vari rischi e le conseguenti contromisure risulteranno sostenibili in varia misura; molto potrà dipendere dalla dimensione dell’azienda, dal livello di awareness già raggiunto, dalla formazione dei propri addetti e dagli eventuali percorsi di certificazione avviati o perfezionati.
Da studi condotti negli ultimi due anni risulterebbe che le Pmi abbiano investito in formazione e in organizzazione aziendale, due strumenti di base ma di assoluta pregevolezza in un bilancio purtroppo ancora scadente quanto a sicurezza cyber di una filiera preziosa ma ancora immatura.
Lo scenario delle PMI
Dando per scontato che non sia impossibile impegnarsi in operazioni virtuose come la NIS 2 impone, resta il problema accennato in premessa del procurement e delle eventuali certificazioni opzionali (escludiamo in questo ragionamento gli obblighi di passaggi presso il CVCN ma consideriamo solo le certificazioni volontarie). Uno studio del Campus Biomedico, Unindustria, Competence Center CYBER 4.0 e AIPSA del 2023 sui requisiti nei capitolati di gara in tema di cybersecurity indica come il possesso di certificazioni sembri attestare competenza e sicurezza a favore di un’azienda, ma che in genere possa rivelarsi anche come un obiettivo raggiungibile una volta per tutte, ma non parte di un percorso continuo.
Inoltre le grandi aziende tendono a includere nei propri capitolati requisiti di tipo cyber e chi non li possiede, fra le PMI, vede diminuire le proprie possibilità di partecipazione.
Lo studio inoltre fa emergere l’importanza della formazione del personale e il possesso di adeguate procedure testate proprio per fronteggiare “eventi ordinari o di emergenza”.
Conclusione
In conclusione, il recepimento della NIS 2 movimenterà presumibilmente molto di più il mondo delle PMI che non quello delle grandi aziende, il tema della sicurezza della supply chain emergerà in tutta la sua complessità ma anche in tutto il suo valore strategico e la certificazione dovrà risolvere gli annosi problemi della lunghezza eccessiva dei percorsi di ottenimento e dei costi eccessivi. A queste criticità quasi certamente va aggiunto il tema non secondario della durata della validità dei certificati in situazioni e condizioni operative talvolta soggette a rapide trasformazioni.
Il panorama, complesso ma affascinante, non si farà mancare la componente a volte misteriosa delle tecnologie di Intelligenza artificiale. È pur vero che da tali tecnologie ci si attendono importanti e positivi contributi soprattutto per prevenire situazioni di rischio, ma il panorama che stiamo considerando è anche così intrecciato di compiti, obblighi, rischi reali, rischi ipotetici, dati da proteggere, compliance da garantire, norme da semplificare che dovranno essere gestiti casi complicati e ridotti possibili effetti negativi; l’obiettivo da raggiungere è quello di una trasformazione digitale sicura che ci costerà molto impegno, studio, collaborazioni e investimenti mirati e continui.
