Lo scenario internazionale è sempre più caratterizzato da profondi mutamenti nei rapporti di forza fra Stati e centri di potere. La competizione è sempre meno militare – o meglio, l’ambito militare è meno evidente e più chirurgico – ma sempre più frequentemente si svolge in settori quali la cybersecurity, la finanza, la tutela degli interessi industriali.
Sicurezza degli operatori economici
In un contesto simile l’azione di un qualsiasi operatore economico e di un governo deve prendere atto della crescente complessità in cui viene posta in essere e, per essere efficace, non può che essere svolta in un contesto partecipato dai vari attori coinvolti e nell’alveo di un perimetro di protezione il più ampio e allo stesso tempo flessibile e adattivo possibile.
In questo senso vanno lette le iniziative legislative nazionali e delle varie organizzazioni transnazionali che individuano una serie di settori critici e disegnano attorno ad essi una serie di strumenti, organismi, flussi informativi, aventi per obiettivo la protezione dei settori critici stessi in linea con gli interessi di sicurezza nazionale.
Diventa quindi obbligo normativo, architrave della moderna organizzazione di sicurezza nazionale, la necessità di “creare sistema” tra quelle professionalità e organizzazioni, pubbliche e private, che possiedono sensibilità e capacità adeguate a sviluppare e accrescere quell’insieme di processi finalizzati alla protezione degli asset strategici nazionali.
In questo contesto rientrano la normativa Golden Power, la Direttiva NIS, la Direttiva sulla protezione delle infrastrutture critiche, il perimetro di sicurezza nazionale cibernetica ed altri aventi lo scopo di sviluppare una fattiva cooperazione pubblico-privato in materia di security, che compongono gli ingranaggi di una macchina che va perfezionandosi e che cerca di inseguire i passi, ahimè ben più veloci, degli sviluppi tecnologici.
Nella creazione di tale infrastruttura giocano un ruolo chiave non solo le agenzie di sicurezza e i governi, ma anche e soprattutto le organizzazioni di security delle aziende strategiche in quanto sono quelle in cui sono presenti le sensibilità e professionalità capaci di far propria questa mission. Va da sé che un professionista che respira quotidianamente la gestione dei rischi, il dovere di protezione, l’attività di intelligence, non può che essere il protagonista nell’affrontare tali necessità diventando, pur essendo organico di un operatore economico, parte integrante, antenna qualificata, organo operativo della sicurezza del sistema Paese.
Il corpus normativo oggi vigente cerca di inglobare nella propria essenza gli standard internazionali, dando il giusto riconoscimento ai processi oramai consolidati di gestione dei rischi e business continuity, rivolgendosi a diversi gruppi omogenei di imprese ed enti che, se da un lato devono quindi ottemperare a svariati obblighi normativi, dall’altro hanno a disposizione crescenti strumenti di tutela del proprio business e dei propri asset.
Dispositivi normativi: non solo freni
Tengo a sottolineare l’aspetto positivo legato all’opportunità che tali strumenti normativi forniscono agli operatori economici poiché, per quanto alcuni dettami normativi possano determinare complicazioni dei processi aziendali, apparenti freni al naturale sviluppo delle attività di business, nel momento in cui se ne coglie la proattività, consentono alle aziende di proteggere il proprio know-how, i propri asset, le proprie attività anche a livello internazionale.
Strumenti come la limitazione alla diffusione di informazioni per ambito nazionale (ESCLUSIVO ITALIA, SPECIAL FRANCE, UK EYES ONLY etc), se da un lato possono limitare l’azienda nelle proprie attività di business e di impiego del personale, dall’altro, come ben sanno i nostri alleati d’oltralpe, possono essere leve utili alla tutela delle imprese nazionali a discapito della concorrenza, anche alleata. L’obbligo di costituire al proprio interno delle strutture di sicurezza, formate da personale qualificato, processi certificati, adesione a standard internazionali e codici di condotta, può comportare dei costi iniziali anche consistenti ma decisamente sostenibili alla luce del ritorno in termini di protezione dai rischi a medio e lungo termine.
Andremo ora a scorrere, in maniera breve e volutamente non esaustiva, i principali dispositivi normativi che sono di interesse:
- Normativa “Golden Power” la quale consente:
- l’imposizione di specifiche condizioni relative alla sicurezza degli approvvigionamenti, alla sicurezza delle informazioni, ai trasferimenti tecnologici, al controllo delle esportazioni nel caso di acquisto, a qualsiasi titolo, di partecipazioni in imprese che svolgono attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale;
- il veto all’adozione di delibere dell’assemblea o degli organi di amministrazione di un’impresa aventi ad oggetto la fusione o la scissione della società, il trasferimento dell’azienda o di rami di essa o di società controllate, il trasferimento all’estero della sede sociale, la modifica dell’oggetto sociale, lo scioglimento della società, la modifica di clausole statutarie, le cessioni di diritti reali o di utilizzo relative a beni materiali o immateriali o l’assunzione di vincoli che ne condizionino l’impiego;
- opposizione all’acquisto, a qualsiasi titolo, di partecipazioni in un’impresa di cui alla lettera a) da parte di un soggetto diverso dallo Stato italiano, enti pubblici italiani o soggetti da questi controllati, qualora l’acquirente venga a detenere, direttamente o indirettamente, anche attraverso acquisizioni successive, per interposta persona o tramite soggetti altrimenti collegati, un livello della partecipazione al capitale con diritto di voto in grado di compromettere nel caso specifico gli interessi della difesa e della sicurezza nazionale.
a tutela di:
- imprese ritenute strategiche per la difesa e la sicurezza nazionale;
- operatori di telecomunicazioni a banda larga con tecnologia 5g (per cui vigono una serie di controlli relativi alla qualifica delle apparecchiature);
- operatori strategici in ambito energia, trasporti e comunicazioni, settori ad alta intensità tecnologica tra cui le infrastrutture critiche o sensibili, tra le quali cui quelle operanti in settori quali l’immagazzinamento e gestione dati, le infrastrutture finanziarie, tecnologie critiche, compresa l’intelligenza artificiale, la robotica, i semiconduttori, le tecnologie con potenziali applicazioni dual use, la sicurezza in rete, la tecnologia spaziale o nucleare.
- Direttiva NIS che definisce le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi. Il decreto si applica agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD).
Gli OSE sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali.
I FSD sono le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale esclusi gli operatori con meno di 50 dipendenti e un fatturato o bilancio annuo non superiore ai 10 milioni di Euro annui.
Security di reti e sistemi informativi
OSE e FSD devono adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e a prevenire e minimizzare l’impatto degli incidenti a carico della sicurezza delle reti e dei sistemi informativi, al fine di assicurare la continuità del servizio. Hanno inoltre l’obbligo di notificare gli incidenti che hanno un impatto rilevante, rispettivamente sulla continuità e sulla fornitura del servizio, al Computer Security Incident Response Team (CSIRT) italiano, informandone anche l’Autorità competente NIS di riferimento. Per gli operatori non OSE o FSD le notifiche sono su base volontaria.
Il Computer Security Incident Response Team (CSIRT) italiano definisce le procedure per la prevenzione e la gestione degli incidenti informatici; riceve le notifiche di incidente, informandone il DIS, quale punto di contatto unico e per le attività di prevenzione e preparazione a eventuali situazioni di crisi e di attivazione delle procedure di allertamento affidate al Nucleo per la Sicurezza Cibernetica. Questo fornisce, al soggetto che ha effettuato la notifica, le informazioni che possono facilitare la gestione efficace dell’evento, informa gli altri Stati membri dell’UE eventualmente coinvolti dall’incidente, tutelando la sicurezza e gli interessi commerciali dell’OSE o del FSD nonché la riservatezza delle informazioni fornite e garantisce la collaborazione nella rete di CSIRT, attraverso l’individuazione di forme di cooperazione operativa, lo scambio di informazioni e la condivisione di best practices.
Le Autorità competenti NIS, a loro volta, quali responsabili dell’attuazione del decreto, vigilano sulla sua applicazione ed esercitano le relative potestà ispettive e sanzionatorie.
Il punto di contatto unico NIS assicura, a livello nazionale, il coordinamento delle questioni relative alla sicurezza delle reti e dei sistemi informativi e, a livello europeo, il raccordo necessario a garantire la cooperazione transfrontaliera delle Autorità competenti NIS italiane con quelle degli altri Stati Autorità competenti NIS
Di seguito un’esaustiva tabella che individua le Autorità competenti NIS in relazione ai settori interessati (dal sito del Governo sulla Sicurezza nazionale)
- Normativa relativa alle Infrastrutture Critiche Europee posta a tutela e protezione di quelle infrastrutture essenziali, con particolare riferimento a energia e trasporti, a quelle necessarie per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale della popolazione ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo in quello Stato.
Le infrastrutture sono individuate da un NISP (Nucleo Interministeriale Situazione e Pianificazione) in cooperazione con la Struttura Responsabile, che incarica i ministeri competenti e, localmente, le prefetture a intraprendere tutte le iniziative necessarie per la protezione delle ICE.
L’operatore riconosciuto come infrastruttura critica deve quindi dotarsi di una struttura di security e, nello specifico, comunicare il nominativo di un funzionario di collegamento in materia di sicurezza (Security Liason Officer) incaricato di redigere un PSO (piano di sicurezza dell’operatore PSO).
Tale documento, ispirandosi ai consolidati processi di risk management deve necessariamente comprendere:
- l’individuazione degli elementi più importanti dell’infrastruttura, ovvero beni, risorse e attività la cui disponibilità dovrà essere sempre garantita e ai quali applicare le azioni preventive e difensive che permettano un’efficace protezione dell’infrastruttura;
- l’analisi dei rischi, realizzata sulla prefigurazione degli scenari di rischio più rilevanti e allo scopo di individuare le vulnerabilità degli elementi dell’infrastruttura e le conseguenze che deriverebbero dal mancato funzionamento di ciascun elemento sulla funzionalità dell’intera infrastruttura;
- l’identificazione delle misure e procedure più idonee alla prevenzione e protezione distinguendole tra misure permanenti e misure ad applicazione graduata. Le misure permanenti, cioè quelle destinate ad essere utilizzate in modo continuativo, sono i sistemi di protezione fisica (ad esempio gli strumenti di rilevazione, il controllo accessi, altre misure di prevenzione ed elementi di protezione), le predisposizioni organizzative per l’allertamento comprese le procedure di gestione delle crisi (ad esempio il Crisis Management Plan, il Crisis Management Team), i sistemi di controllo e verifica esterni e interni allo scopo di testare le misure e procedure di sicurezza adottate, i sistemi di comunicazione, le attività di addestramento e accrescimento della consapevolezza del personale, i sistemi per la continuità del funzionamento dei supporti informatici (Disaster Recovery) Le misure ad applicazione graduata, sono quelle attivabili in relazione ai rischi e alle minacce contestualizzate nell’arco del tempo e quindi variabili al variare delle condizioni e livelli di rischio dell’infrastruttura. Viene inoltre normata la predisposizione di un Piano di Emergenza Interno a cura dell’operatore e di un Piano di Emergenza Esterno a cura della Prefettura.
- Perimetro nazionale di sicurezza cibernetica: composto da diversi attori, pubblici e privati. Essi vengono individuati sulla base di due specifici criteri:
- Il soggetto, avente una sede nel territorio nazionale, esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;
- L’esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici e al cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, può derivare un pregiudizio per la sicurezza nazionale.
Tali soggetti devono essere identificati entro quattro mesi dall’entrata in vigore della legge di conversione del decreto, tramite un criterio di gradualità che tenga conto dell’entità del pregiudizio per la sicurezza nazionale, in relazione alle specificità dei diversi settori di attività che “può derivare dal malfunzionamento, dall’interruzione, anche parziali, ovvero dall’utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti”.
Il provvedimento conferma il ruolo di primo ordine del Centro di Valutazione e Certificazione Nazionale (CVCN) nell’assicurazione delle garanzie di sicurezza e dell’assenza di vulnerabilità di prodotti, hardware e software, destinati a essere impiegati sulle reti, sui sistemi informativi e servizi informatici degli attori del perimento di sicurezza cibernetica, rafforzando quindi i controlli relativi alle fasi di procurement ICT.
Operatori inclusi nel Perimetro
Gli operatori inclusi nel Perimetro che intendano procedere a una fornitura di beni, sistemi e servizi ICT devono dare comunicazione al CVCN specificando quale è la valutazione del rischio associata all’oggetto del fornitura e all’ambito di impiego. Il CVCN quindi può effettuare “verifiche preliminari ed eventualmente imporre condizioni e test di hardware e software secondo un approccio gradualmente crescente nelle verifiche di sicurezza”.
Il decreto va anche a corroborare il corpus normativo Golden Power in materia del 5G e ai rischi ad esso associati rafforzando le verifiche sulle eventuali vulnerabilità presenti sulle reti e i sistemi basati sulla tecnologia in parola che possono anche comportare “la sostituzione di apparati o prodotti ove indispensabile al fine di risolvere le vulnerabilità accertate”.
Infine, è interessante sottolineare come venga riconosciuta al Presidente del Consiglio dei Ministri la facoltà di disattivare, “totalmente o parzialmente, uno o più apparati o prodotti impiegati nelle reti e nei sistemi o per l’espletamento dei servizi interessati” qualora vi sia un “rischio grave e imminente per la sicurezza nazionale”.
L’individuazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica è demandata ad un decreto del Presidente del Consiglio dei ministri, adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR).
Infine il provvedimento definisce poi un articolato sistema sanzionatorio per i casi di violazione degli obblighi ed individua le autorità competenti all’accertamento delle violazioni e all’irrogazione delle sanzioni.
Il ruolo centrale del NOSIS
Esiste una particolare normativa che, per certi versi, va a riunire e armonizzare, grazie alla sua intrinseca flessibilità, tutti questi strumenti normativi. Lo strumento, noto pressoché agli esperti di settore, è il NOSIS, Nulla Osta Sicurezza Industriale Strategico, di cui all’art. 40 del DPCM 5/2015.
Trattasi di una possibilità per la Presidenza del Consiglio dei ministri di porre, in favore di quegli operatori economici la cui attività, per oggetto, tipologia o caratteristiche, assume rilevanza strategica per la protezione degli interessi politici, militari, economici, scientifici e industriali nazionali, una serie di contromisure sia ricomprese in quelle di cui abbiamo brevemente parlato nel presente articolo, sia ulteriori e particolarmente penetranti.
La strategicità cui fa riferimento il NOSIS è un concetto che ricalca tutte le normative singolarmente suesposte e in particolare si riferisce a:
- le attività volte ad assicurare la difesa e la sicurezza dello Stato;
- le attività volte alla produzione o allo sviluppo di tecnologie suscettibili di impiego civile/militare; le attività connesse alla gestione delle infrastrutture critiche anche informatiche e di interesse europeo;
- la gestione di reti, di infrastrutture e di sistemi di ricetrasmissione ed elaborazione di segnali e/o comunicazioni;
- la gestione di reti e infrastrutture stradali, ferroviarie, marittime ed aeree;
- la gestione di reti e sistemi di produzione, distribuzione e stoccaggio di energia ed altre infrastrutture critiche;
- la gestione di attività finanziarie, creditizie ed assicurative di rilevanza nazionale.
Concretamente il NOSIS, oltre a dare accesso alla trattazione di informazioni classificate a prescindere dall’aggiudicazione di contratti classificati, determina che l’operatore economico:
- si doti di una idonea organizzazione di sicurezza;
- si adegui alla normativa per la tutela delle informazioni classificate;
- si adegui alle direttive della Presidenza del Consiglio relativamente alle misure di Cybersecurity;
- ottemperi a ulteriori prescrizioni specificatamente adottate in relazione alla peculiarità dell’impresa in questione.
In una visione olistica del panorama normativo qui accennato, il NOSIS si pone:
- come collante di tutti gli strumenti analizzati;
- come strumento capace di compensare eventuali lacune normative potendo includere in un alveo di protezione anche operatori economici non perfettamente rientranti nelle infrastrutture soggette a specifica normativa;
- come strumento a completamento delle iniziative di protezione descritte dalle varie normative citate poiché, potendo imporre agli operatori economici vincoli ulteriori e “customizzati”, perfeziona gli strumenti di sicurezza dell’operatore stesso e dei suoi asset.
Le sintesi delle normative sopra citate, lungi dal voler essere esaustive, mettono in luce come su un operatore economico possano essere applicabili uno, più di uno, se non tutti i quadri normativi descritti.
Centralità del Security Manager
Una tale sovrapposizione di normative e strumenti, non sempre di facile coordinamento e armonizzazione, richiede l’opera di sintesi e di dimensionamento all’operatore stesso che coinvolge più funzioni aziendali che nel caso specifico devono operare sotto la “direzione d’orchestra” di un Security Manager preparato, dinamico e soprattutto in continuo aggiornamento professionale e capace di addentrarsi in tematiche tanto legate le une con le altre quanto richiedenti una formazione specifica non banale.
È comunque importante sottolineare come il leitmotiv di tutte queste normative è l’approccio “gestione del rischio di security” declinato nelle diverse sfaccettature in una visione integrata della sicurezza.
La trasversalità e pervasività delle attività di security è un requisito imprescindibile oramai per un operatore economico strutturato.
I Security Manager pertanto, siano essi di provenienza militare/di polizia o civile, hanno l’onere di dover coniugare le innumerevoli sfaccettature della sicurezza aziendale con le esigenze operative e di business, muovendosi in un quadro normativo variegato e complesso, ma ricco di opportunità.
In questi termini, le strutture di security degli operatori economici sono un po’ la “longa manu” dell’organizzazione di sicurezza nazionale, le “antenne”, le strutture avanzate che partecipano proattivamente alla sicurezza nazionale e delle imprese stesse, confluenti necessariamente in un unico progetto con stessi obiettivi e professionalità condivise.