La crescente pervasività e pericolosità delle minacce cibernetiche richiede un costante adeguamento delle nostre difese. Scopriamo quindi la ratio della revisione della Direttiva NIS recentemente indetta dalla Commissione Europea e i nuovi obiettivi della strategia Ue sulla cyber security.
SOMMARIO
1.1 Minacce alla cyber security europea
1.2 Novità introdotte dalla Direttiva NIS
1.3 Perimetro di sicurezza cibernetica italiano
1.4 Consultazione pubblica per la revisione della Direttiva NIS
1.5 Obiettivi della nuova strategia dell’UE per la sicurezza cibernetica
1.1 Minacce alla cyber security europea
La minaccia cibernetica diventa sempre più pervasiva, anonima e polimorfa e si caratterizza per uno scenario ibrido preordinato, tra l’altro, alla destabilizzazione di sistemi democratici, anche attraverso la mirate campagne di disinformazione, nonché all’attività di spionaggio e di sabotaggio di presidi strategici di uno Stato.
Per queste ragioni, la natura transnazionale della minaccia e la sua connotazione asimmetrica, hanno richiesto e continuano a richiedere una risposta di sistema, per mitigare le vulnerabilità e le esternalità negative.
Del resto, l’espansione delle tecnologie ICT unita alla forte esigenza di presidiare le infrastrutture critiche di un Paese, nonché l’evoluzione progressiva dell’economia digitale “data driven”, al cui progressivo sviluppo contribuirà l’avvento delle reti di quinta generazione con l’aumento della potenza di calcolo “in locale” (edge computing), attraverso le interconnessioni sempre più eterogenee dei devices dell’Internet of Things, configurano, su scala europea, una road map verso la costruzione di un mercato unico digitale sicuro ed affidabile.
In tale scenario, come recentemente dichiarato dal Vice Presidente Esecutivo della Commissione Europea Margrethe Vestager,
“Poiché la nostra vita quotidiana e le nostre economie diventano sempre più dipendenti dalle soluzioni digitali, abbiamo bisogno di una cultura della sicurezza all’avanguardia in tutti i settori vitali che si affidano alle tecnologie dell’informazione e della comunicazione“.
1.2 Novità introdotte dalla Direttiva NIS
In questa prospettiva, già nel maggio 2018 veniva recepita in Italia la Direttiva Europea UE/2016/1148, sulla sicurezza delle reti e dei sistemi informativi (Directive on Security of Network and Information Systems, NIS).
La Direttiva, molto importante sul piano della strategia europea sulla cybersecurity, introduceva, tra l’altro, tre fondamentali elementi di novità:
- Necessità per gli Stati membri di dotarsi di un’organizzazione nazionale in grado di vincolare a stringenti misure di protezione i maggiori operatori di servizi essenziali (OSE) per l’economia (energia, trasporti, finanza, sanità, erogazione di acqua potabile, smistamento del traffico telematico) e di fornitori di servizi digitali (FSD), quali a titolo esemplificativo, motori di ricerca, mercati online, fornitori di servizi di cloud computing;
- Obbligo a carico degli OSE e FSD di notifica alle autorità degli incidenti con “effetti negativi rilevanti” (la cui definizione dei criteri di individuazione veniva demandata agli Stati membri);
- l’istituzione di un gruppo di cooperazione in ambito UE per l’information sharing e le best practices finalizzate alla più efficiente ed efficace difesa e resilienza cibernetica (CSIRT), che in Italia, a decorrere dal 6 maggio 2020, nell’ambito del piano di attuazione della Direttiva NIS (Decreto legislativo 18 maggio 2018 n. 65) raccoglierà le funzioni del CERT-PA e del CERT Nazionale, con la collaborazione dell’Agenzia per l’Italia Digitale, specificamente in forza del DPCM 8 agosto 2019 in materia di “Disposizioni sull’organizzazione e il funzionamento del Computer Security Incident Response Team – CSIRT italiano”, pubblicato in Gazzetta Ufficiale l’8 novembre 2019.
1.3 Perimetro di sicurezza cibernetica italiano
La Direttiva ha evidentemente contribuito ad aumentare il livello di preparazione degli Stati membri verso una resiliente risposta agli incidenti cibernetici anche attraverso il costante confronto e supporto del Gruppo di cooperazione NIS.
Frattanto, in Italia, con Decreto-Legge del 21 settembre 2019, n. 105 recante “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica” (GU n.222 del 21-9-2019), convertito con modificazioni dalla Legge 18 novembre 2019, n. 133 (in G.U. 20/11/2019, n. 272), è stato introdotto il framework normativo che disciplina organicamente il perimetro di sicurezza cibernetica nazionale, in cui viene inclusa anche la delicata materia del “Golden power” che amplia i poteri speciali del Governo in materia di 5G e su atti ed operazioni delle aziende che detengono asset strategici.
1.4 Consultazione pubblica per la revisione della Direttiva NIS
Orbene, decorsi poco più di due anni dalla sua pubblicazione, la Commissione Europea, nel quadro di un strategia coordinata ed orizzontale alle sfide in materia di sicurezza, ha avviato una consultazione pubblica sulla revisione della Direttiva NIS, preordinata alla raccolta da parte degli stakeholders di opinioni funzionali sulla sua attuazione e sull’impatto di potenziali modifiche al pacchetto normativo, favorendo anche sia l’acquisizione di utili informazioni sullo stato di preparazione della sicurezza informatica di società e organizzazioni sia la proposizione di soluzioni di maggiore efficacia.
La consultazione pubblica, resterà aperta fino alla data del prossimo 2 ottobre 2020 e rappresenta una importante opportunità per tutti gli interessati, a vario titolo, di fornire un utile contributo al miglioramento, se possibile, del pacchetto normativo.
1.5 Obiettivi della nuova strategia dell’UE per la sicurezza cibernetica
Intanto, l’Agenzia Europea per la Sicurezza Informatica (ENISA), nell’ambito del suo mandato permanente, rafforzato dal Cybersecurity Act, ha annunciato i seguenti sette obiettivi della nuova strategia dell’UE per la sicurezza cibernetica:
- Comunità autorizzate e coinvolte nell’ecosistema della sicurezza informatica;
- Sicurezza informatica come parte integrante delle politiche dell’UE;
- Cooperazione efficace tra gli attori operativi all’interno dell’Unione in caso di incidenti informatici gravi;
- Competenze e capacità all’avanguardia nella sicurezza informatica in tutta l’Unione;
- Un alto livello di fiducia nelle soluzioni digitali sicure;
- Lungimiranza sulle sfide emergenti e future della cybersecurity;
- Informazioni e gestione della conoscenza della cybersecurity efficienti ed efficaci per l’Europa.