A distanza di un anno dall’entrata in vigore del D.Lgs. n. 65/2018 di recepimento, in ambito nazionale, della Direttiva NIS (Direttiva UE 2016/1148), il Parlamento europeo ed il Consiglio hanno adottato il Regolamento (UE) 2019/881, meglio conosciuto come Cybersecurity Act, reso esecutivo dal 27.6.2019. Due regolamenti-pilastro che, insieme al GDPR, danno forma a un sistema paneuropeo di sicurezza digitale. Vediamo in dettaglio i due atti e i traguardi raggiunti nella messa a punto di standard e certificazioni.
Direttiva Nis e Cybersecurity Act si caratterizzano per la loro complementarietà. Volti ad assicurare un “livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea”, l’una, e “a garantire il buon funzionamento del mercato interno perseguendo nel contempo un elevato livello di cibersicurezza, ciberresilienza e fiducia all’interno dell’Unione”, l’altro, il parallelismo tra i citati documenti si impone già dall’incipit delle norme.
Direttiva Nis e Cybersecurity Act: i punti in comune
La direttiva NIS, al considerando 1, dispone che “Le reti e i sistemi e servizi informativi svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per le attività economiche e sociali e in particolare ai fini del funzionamento del mercato interno”. Di pari, il Regolamento (UE) 2019/881, al medesimo considerando, sottolinea l’importanza delle reti e dei sistemi informativi e dei servizi di comunicazione elettronica che nella società costituiscono “i pilastri della crescita economica. Le tecnologie dell’informazione e della comunicazione (TIC) sono alla base dei sistemi complessi su cui poggiano le attività quotidiane della società, fanno funzionare le nostre economie in settori essenziali quali la sanità, l’energia, la finanza e i trasporti e, in particolare, contribuiscono al funzionamento del mercato interno”.
L’impegno transnazionale in materia di sicurezza delle reti e dei sistemi informativi si è, di recente, imposto per quanto concerne le reti 5G. Nella raccomandazione (UE) 2019/534 della Commissione europea del 26.3.2019 si fa espresso riferimento al ruolo dell’ENISA, al gruppo di cooperazione istituito dalla direttiva (UE) 2016/1148 nonché al quadro europeo di certificazione della cybersicurezza, di cui al successivo Regolamento (UE) 2019/881, manifestando l’esigenza di garantire la sicurezza dei dati e della vita privata delle comunicazioni elettroniche nell’ambito delle reti 5G come anche al fine di prevenire l’accesso non autorizzato ai dati personali o agli strumenti di trattamento dei dati e l’utilizzo illegittimo degli stessi.
Cybersecurity, l’emergenza attacchi
Dal Rapporto CLUSIT 2019 emerge che gli attacchi, che hanno avuto un considerevole coinvolgimento nel mondo digitale, sono aumentati rispetto all’anno precedente. A destare maggiori preoccupazioni è l’incremento della severità degli impatti di tali attacchi. Nel rapporto si legge che “nelle categorie dello spionaggio e dell’information warfare i casi classificati come critici nel 2018 sono stati rispettivamente l’80% e il 70% dei casi analizzati”.
Con il dichiarato intento di garantire un elevato livello di cybersicurezza nel mercato unico digitale, la Direttiva NIS impone l’adozione di misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi in settori critici e strategici identificati negli operatori dei servizi essenziali e nei fornitori di servizi digitali. Il Cyber Security Act contribuisce a rafforzare il ruolo dell’ENISA e la certificazione della sicurezza by Design e by Default nei prodotti, servizi e processi afferenti le tecnologie dell’informazione e delle comunicazioni (TIC). Seppur differenti per obiettivi, medesimo è il contesto applicativo e l’approccio sinergico volti all’adozione di misure tecniche e organizzative appropriate per salvaguardare la sicurezza dei servizi offerti promuovendo, nel contempo, una cultura della gestione dei rischi.
Quindi, il fil rouge che accumuna questi documenti normativi con la legislazione in materia di protezione dei dati personali è l’impegno assunto a livello europeo, declinato in ambito nazionale, di investire sulla compliance e sicurezza, digitale ed organizzativa, dei dati e delle informazioni e di avvalersi di strumenti sicuri in quanto certificati.
Sicurezza informatica nel settore pubblico
Anche nel settore pubblico il sentimento di emergenza non muta. L’AGiD, nel suo piano triennale 2019-2021, sottolinea la necessità dell’adozione di misure volte a garantire la sicurezza informatica per assicurare la disponibilità, l’integrità e la riservatezza delle informazioni del Sistema informativo della Pubblica Amministrazione nonché la resilienza della macchina amministrativa. A tale scopo ha sviluppato il documento delle “Misure minime per la sicurezza ICT delle Pubbliche amministrazioni” volto ad indentificare i presidi di sicurezza per garantire il livello minimo di protezione, obbligatorio per tutte le PA.
In tale ambito un ruolo importante è rivestito dal CERT-PA (Computer Emergency Readiness/Response Team) come unità di crisi per la risposta ad emergenze informatiche a supporto dei sistemi informatici della Pubblica Amministrazione. Nelle more della costituzione del CSIRT, gruppo di intervento per la sicurezza informatica voluto dal D.Lgs. n. 65 del 2018 in caso di incidente ed istituito in seno alla Presidenza del Consiglio dei Ministri, il CERT-PA collabora con il CERT Nazionale a tali scopi, ricevendo notifiche da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali degli incidenti aventi un impatto rilevante sulla continuità dei servizi forniti. Dal rapporto CLUSIT emerge che, nel corso dell’anno 2018, le segnalazioni ricevute sono aumentate del 30% rispetto al 2017.
Cosa si muove sul fronte certificazioni GDPR
Anche il mondo delle certificazioni è in fermento nell’intento di dare attuazione alla disposizione contenuta nell’art. 42 del Regolamento (UE) 2016/679 per la quale “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento”.
Il 4 giugno scorso, le Autorità di protezione dei dati dell’EEA (European Economic Agreement) ed il Garante europeo della protezione dei dati, riuniti nel Comitato europeo per la protezione dei dati (CEDP), hanno adottato, tra l’altro, la versione definitiva dell’Allegato alle Linee guida sull’accreditamento degli organismi di certificazione e dell’Allegato alle Linee guida sulla certificazione volto a stabilire criteri generali su tutti i meccanismi di certificazione.
Sono state, pertanto, poste le basi affinché si proceda con la determinazione dei “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione. In attesa che i tempi siano più maturi, le aziende monitorano quello che tale generoso mercato propone nella consapevolezza che tali schemi, volontari, non possono definirsi conformi agli artt. 42 e 43 del Regolamento (UE) 2016/679, poiché non sono stati ancora determinati i criteri specifici di certificazione.
Protezione dati, tutte le linee guida
In particolare sono già in uso la Linea guida ISO/IEC 27005:2018 (Information technology – Security techniques – Information security risk management) come strumento di valutazione del rischio connesso alla sicurezza delle informazioni, nonché la Linea Guida UNI CEI ISO/IEC 29100:2015 (Tecnologie informatiche – Tecniche per la sicurezza – Quadro di riferimento per la privacy) come modello organizzativo orientato alla protezione dei dati personali. La Linea guida UNI CEI EN ISO/IEC 27002:2017 (Information technology – Security techniques – Code of practice for information security controls) illustra i presidi di sicurezza contenuti nella UNI CEI EN ISO/IEC 27001:2017 (Information technology – Security techniques – Information security management systems – Requirements). Sua ulteriore declinazione è la Linea guida ISO/IEC 29151:2017 (Information technology – Security techniques – Code of practice for personally identifiable information protection) che definisce le contromisure specifiche per la protezione dei dati personali.
Mantiene interesse la norma UNI CEI EN ISO/IEC 27001:2017 che, seppur non specificamente orientata alla protezione dei dati personali, presenta, con essa, forti analogie. Di recente è stata emanata la norma ISO/IEC 29134:2017 (Information technology – Security techniques – Guidelines for privacy impact assessment) specifica per il risk assessment. Nel mondo sanitario è stata adottata UNI EN ISO 27799:2017 (Health informatics – Information security management in health using ISO/IEC 27002) per la gestione della sicurezza dell’informazione riferibile allo stato di salute.
Una delle Linee guida per la gestione dei dati personali in ambito ICT secondo il GDPR, UNI/PdR 43:2018, elaborata con il coordinamento di UNINFO, definisce i processi afferenti al trattamento dei dati personali svolti mediante strumenti elettronici e fornisce i requisiti volti a garantire alle aziende di essere compliant al quadro normativo europeo e nazionale. Sempre in ambito volontario, al pari di tutte le altre norme testè citate, si pone lo schema proprietario ISDP 10003:2015, sviluppato da INVEO s.r.l., che definisce i “Criteri e regole di controllo per la certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali – Reg. UE 679/2016”.
Pertanto, parallelamente alla diffusione della cultura della sicurezza digitale aumenta anche la consapevolezza dei cittadini, delle organizzazioni e delle imprese volta a promuovere la cooperazione e la condivisione delle informazioni ed il coordinamento tra gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione ai fini di prevenzione dei rischi attinenti alla sicurezza dei sistemi informativi e delle informazioni da essi veicolate.
