Cybersecurity act: il nuovo che avanza

(di Federico Di Benedetto)

Cos'è la cyber-security? Perché è importante per la nostra vita quotidiana? In che modo l'Unione Europea (UE) ha posto particolare attenzione negli ultimi anni alla cyber-security e quali sono gli sviluppi legislativi più recenti in materia in quest'ambito? Il seguente articolo cercherà di rispondere a queste domande, tracciando delle linee guida ovviamente da non considerarsi esaustive data la vastità dell'argomento.

La definizione

Il termine cyber-security non è un concetto che appartiene solo al glossario dell'UE. I servizi segreti italiani lo interpretano come la protezione del cyber-space "rispetto ad eventi, di natura volontaria od accidentale, consistenti nell'acquisizione e nel trasferimento indebito di dati, nella loro modifica o distruzione illegittime ovvero nel blocco dei sistemi informati, grazie ad idonee misure di sicurezza fisica, logica e procedurale."[1] Sempre il glossario dell'intelligence italiana definisce il cyber-space come " l'insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti nonché delle relazioni logiche, comunque stabilite, tra di essi. Include tra l'altro internet, reti di comunicazione, sistemi attuatori di processo ed apparecchiature mobili dotate di connessione di rete." [2]

Queste definizioni ci aiutano a sviluppare una considerazione molto semplice. Nel corso degli ultimi anni, la Commissione Europea, consapevole della rilevanza delle tecnologie digitali per l'economia europea ed il mercato unico, ha deciso di innalzare il livello di protezione delle infrastrutture informatiche. Quest'ultime sono connesse a servizi fondamentali tra i quali quelli bancari e sanitari, l'energia ed i trasporti. Ogni attacco cyber può pertanto portare all'interruzione di questi servizi che permettono la sussistenza della nostra società. Va da sé che, in un sistema di economie interconnesse, un'offensiva cibernetica può aggredire le c.d. infrastrutture critiche europee, ossia quelle infrastrutture che sono situate in più Stati membri ed il cui mancato funzionamento può avere un impatto significante per almeno due paesi dell'Unione. La complessità di un quadro d'interconnessioni come quello europeo ci aiuta nel capire che non ci sono in gioco solo interessi economici di aziende o imprese, ma il benessere economico dei cittadini, la sicurezza nazionale, il funzionamento di servizi vitali per la sussistenza di una società.

Per questo motivo appare importante delineare cosa l'UE ha fatto finora per garantire la protezione del cyber space e cercare di delineare le novità introdotte dal cybersecurity act, pubblicato nella gazzetta ufficiale europea lo scorso 7 giugno.

Lo sviluppo delle politiche cyber nell'UE

A partire dal 2013, l'UE ha posto la cybersecurity al centro della sua agenda politica. Proprio nel 2013, la Commissione ha adottato la strategia sulla cybersecurity, tra cui obiettivi vi era la volontà di dotare l'UE di resilienza in questo settore, combattere i crimini cibernetici attraverso il rafforzamento dell'expertise a livello europeo, sviluppare una Politica di Difesa cibernetica all'interno della Politica di Sicurezza e Difesa Comune (PSDC), promuovere risorse industriali e tecnologiche e investimenti in Ricerca e Sviluppo, cosi come potenziare il ruolo globale dell'UE nella protezione del cyber-space. Nell'Agenda Europea sulla Sicurezza del 2015, la lotta contro il cybercrime venne resa come una delle tre priorità dell'UE, insieme al terrorismo e al crimine organizzato. Particolare rilevanza in questo documento venne dato all'implementazione di politiche di cyber-security esistenti, la lotta a mezzi di pagamento illeciti e al rafforzamento delle competenze nel settore. Tuttavia, è solo con la direttiva NIS 2016/1148 che l'UE si è dotata di un importante atto legislativo capace di incrementare la protezione delle infrastrutture informatiche interconnesse. Trattandosi di una direttiva, gli Stati Membri hanno avuto l'obbligo di adottare un provvedimento legislativo interno che la recepisse. In Italia ciò è avvenuto con il Decreto Legislativo (DL) del 18 maggio 2018 n.65. La Direttiva NIS si è posta l'obiettivo di rafforzare l'impegno dell'UE nel campo della cybersecurity attraverso una serie di interventi. Il primo riguarda la capacità di preparazione degli Stati membri, i quali si sono dovuti dotare del Computer Security Incident Response Team (CSIRT) e hanno dovuto individuare le autorità competenti in materia. Inoltre, la direttiva NIS si è posta l'obiettivo di rafforzare la cooperazione tra gli Stati attraverso uno specifico gruppo di cooperazione al fine di permettere uno scambio di informazioni e best practices tra i paesi dell'UE. Ultimo, ma non per importanza, l'UE ha altresì evidenziato la necessità di stimolare una cultura della sicurezza nei settori vitali per le nostre economie e società, tra i quali l'energia, i trasporti, l'acqua, il settore bancario e finanziario, quello della salute e delle infrastrutture digitali. In particolare, l'UE ha posto attenzione alla protezione dei fornitori di servizi digitali, come i motori di ricerca, i servizi cloud e le piattaforme per acquisti online.

A livello italiano, la NIS si applica agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD). Gli OSE possono essere sia pubblici che privati. Essi forniscono servizi essenziali per il funzionamento della società nei settori sanitario, dell'energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari e digitali, oltre che nella fornitura e distribuzione di acqua potabile. Gli FSD sono persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca. Numerosi sono i compiti degli OSE e FSD. In primo luogo, essi sono chiamati ad attuare misure tecniche che assicurino la prevenzione di rischi e la minimizzazione dell'impatto di eventuali attacchi cibernetici. OSE e FSD hanno anche l'obbligo di notificare al CSIRT italiano gli incidenti che hanno un impatto rilevante sul sistema paese. Sta poi al CSIRT delineare le procedure per la prevenzione e la gestione degli incidenti informatici. Inoltre, il CSIRT informa gli altri Stati membri dell'UE eventualmente coinvolti dall'attacco cyber, garantendo sia la tutela della sicurezza e gli interessi commerciali degli OSE e FSD, sia la riservatezza delle informazioni fornite. In merito alle autorità nazionali competenti, il DL n.65 del 2018 identifica tra le principali il Ministero dello Sviluppo Economico per i settori dell'energia, delle infrastrutture e servizi digitali; il Ministero delle infrastrutture e dei trasporti per il settore dei trasporti; il Ministero dell'economia e delle finanze per il settore bancario e dei mercati finanziari; il Ministero della Salute per il settore sanitario e il Ministero dell'ambiente per quanto riguarda la fornitura e distribuzione di acqua potabile. È compito di suddette autorità vigilare sull'applicazione della direttiva NIS ed esercitare, ove previsto dalla legge, poteri sanzionatori, oltre a predisporre di linee guida per dettare specifiche misure di sicurezza.

La direttiva NIS si inserisce in un solco tracciato dal legislatore europeo, che ha visto nei giorni scorsi la pubblicazione del cybersecurity act. Quest'ultima costituisce la più recente novità legislativa, la cui rilevanza induce ad una disamina attenta delle principali novità.

Il cybersecurity act

Come accennato, il regolamento 2019/881, meglio noto come cybersecurity act, costituisce la più importante novità nel tema della sicurezza cibernetica a livello europeo. Essendo un regolamento, il cybersecurity act non ha bisogno di un provvedimento legislativo nazionale che ne assicuri il recepimento. Di questo provvedimento, gli esperti tendono ad evidenziare due principali novità.

Il primo riguarda il rafforzamento dell'ENISA, l'Agenzia europea per la sicurezza delle reti e dell'informazione; il secondo consiste "nell'introduzione di un sistema europeo di certificazione di cybersecurity per garantire un livello adeguato di cibersicurezza dei prodotti TIC (Tecnologie dell'Informazione e Comunicazione), servizi TIC e processi TIC nell'Unione, oltre che al fine di evitare la frammentazione del mercato interno per quanto riguarda i sistemi di certificazione della cibersicurezza nell'Unione." [3]

L'ENISA è stata creata nel 2004 ed il suo scopo è sempre stato quello di garantire una sicurezza delle TIC e lo sviluppo di una cultura della sicurezza in ambito cyber, al fine di provvedere al corretto funzionamento del mercato interno. Tuttavia, l'operato di quest'agenzia è sempre stato caratterizzato da esiguità di fondi e da una temporalità della sua azione. Una delle principali innovazioni del cybersecurity act consiste proprio nel dotare quest'agenzia di un mandato permanente. Inoltre, il regolamento consente all'ENISA di diverse funzioni. In primo luogo, essa assiste gli Stati membri e le istituzioni dell'UE nell'elaborazione di politiche europee in questo settore, attraverso, ad esempio, la formulazione di analisi e pareri tecnici. Secondariamente, l'ENISA sostiene le capacità di sviluppo e preparazione, la resilienza, la capacità di risposta e lo sviluppo di competenze in cybersecurity a livello UE. L'agenzia europea per la cybersecurity promuove la cooperazione tra gli Stati, al fine di garantire un coordinamento a livello europeo e di evitare la frammentazione del mercato unico. Ciò avviene, ad esempio, attraverso la sua funzione di segretariato di tutti i CSIRT nazionali dei paesi membri. Inoltre, tra i nuovi obiettivi fissati dal regolamento, è importante evidenziare la volontà di rendere cittadini, organizzazioni e imprese più consapevoli delle opportunità e delle minacce relative al campo della cybersecurity. L'ENISA, infatti, è chiamata a redigere periodicamente delle relazioni sulla situazione tecnica della cyber security nell'UE concernente gli incidenti e le minacce informatiche.

Circa il sistema europeo di certificazioni di prodotti e servizi TIC, compito dell'ENISA sarà quello di monitorare gli sviluppi normativi nei settori connessi alla cybersecurity, preparando proposte di sistemi europei di certificazione nel settore. L'ENISA ha anche il compito di elaborare e pubblicare orientamenti e sviluppare buone pratiche in materia, contribuire allo sviluppo di capacità relative ai processi di valutazione e certificazione mediante l'elaborazione e la pubblicazione di orientamenti.All'agenzia europea della cybersecurity spetterà anche facilitare la definizione e l'adozione di norme europee e internazionali in materia di gestione dei rischi e di sicurezza dei prodotti, servizi e processi TIC.

Tra le novità importanti di questo provvedimento legislativo, vale la pena evidenziare anche il ruolo dell'ENISA nel campo della ricerca e dell'innovazione, in quanto l'agenzia è chiamata a fornire consulenza alle istituzioni UE e agli Stati membri per consentire a tutti gli stakeholders di reagire efficacemente ai rischi e alle minacce informatiche. Per di più, se la Commissione lo prevede, l'ENISA può partecipare alla fase di attuazione dei programmi di finanziamento per la ricerca e l'innovazione nel settore cyber. Infine, l'ENISA avrà un ruolo determinante nella definizione dell'agenda strategica nel campo della ricerca a innovazione a livello europeo.

Conclusioni

L'approvazione del cybersecurity act presenta un'importante novità a livello Europeo. Si tratta di un segno d'attenzione del legislatore sovranazionale europeo verso una dimensione dell'integrazione europea molto sensibile, considerata la digitalizzazione della nostra epoca e la scarsa conoscenza dei rischi associati ad essa. L'UE ha colto la necessità di aumentare il livello di sicurezza nel campo delle TIC e di ridurre il rischio della frammentazione del mercato unico digitale. Va da sé che la volontà politica degli Stati membri sarà determinante nel far progredire l'actorness dell'UE nel settore della cyber security, visto che "il presente regolamento fa salve le competenze degli Stati membri per quanto riguarda le attività nel settore della pubblica sicurezza, della difesa, della sicurezza nazionale e le attività dello Stato nell'ambito penale."[4]

[1] Presidenza del Consiglio dei Ministri. Dipartimento delle Informazioni per la Sicurezza, "Il linguaggio degli organismi informativi. Glossario Intelligence." Gnosis, Rivista Italiana di Intelligence, Quaderni di intelligence, 2013, voce cyber-security

[2] Ibid, voce cyber-space

[3] Consiglio dell'UE e Parlamento Europeo, "Regolamento 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione Europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n.526/2013 (regolamento sulla cibersicurezza)", L151/32, 7 Giugno 2019, articolo 1

[4] Ibid