A cura di Milena Antonella Rizzi
La crescente estensione della proiezione digitale delle Istituzioni, delle imprese, della pubblica amministrazione e dei singoli cittadini ha progressivamente fatto emergere una sempre maggiore esigenza di protezione dalle minacce informatiche contribuendo ad elevare la consapevolezza della rilevanza strategica della resilienza cyber a livello unionale e nazionale.
La notevole accelerazione impressa dall’Unione Europea all’evoluzione della regolazione, anche a supporto della strategia Unionale di cybersecurity, ha visto l’introduzione di una moltitudine di prescrizioni attraverso l’adozione della Direttiva Network and Information Systems (NIS) nel 2016 e del Cyber Security Act (CSA) nel 2019, l’istituzione del Centro di competenza in cybersicurezza (ECCC) nel 2021, l’adozione del Regolamento Digital Operational Resilience Act (DORA) e della Direttiva NIS2 nel 2022, cui si aggiunge la prossima conclusione del negoziato sul Cyber Resilience Act (CRA) e l’imminente avvio di quello inerente al Cyber Solidarity Act (CSoA) ed alla revisione del citato CSA.
Tale ingente produzione normativa ha contribuito ad ulteriormente stimolare, a livello nazionale, il dibattito sulla necessità di dotare il Paese di una cornice normativa a protezione della sicurezza cibernetica degli asset strategici che ha condotto, nel 2019, all’istituzione del Perimetro di sicurezza nazionale cibernetica (PSNC) nonché, più di recente, ai regolamenti e ai decreti attuativi previsti dall’articolo 33-septies del D.L. 172/2012 per la messa in sicurezza delle infrastrutture digitali e dei servizi digitali per la Pubblica Amministrazione.
In tale percorso evolutivo e di crescente consapevolezza della non più procrastinabile esigenza di investire nel potenziamento delle misure di sicurezza cibernetica per l’innalzamento del livello della resilienza nello specifico settore, particolare rilevanza ha assunto la riorganizzazione dell’architettura nazionale cyber introdotta dal D.L. 82/2021 che – razionalizzando le iniziative volte a rafforzare costantemente la postura e la resilienza cyber del nostro Paese e dell’Unione – ha istituito l’Agenzia per la Cybersicurezza Nazionale (ACN) ed ha creato le condizioni per favorire, a livello nazionale, la coerenza normativa, regolamentare e applicativa nello spazio cibernetico.
Proprio in tale ottica ACN, nel contesto dello sviluppo delle iniziative regolamentari cyber e della loro attuazione, coltiva una costante interlocuzione con i soggetti e gli attori dei settori vigilati ai sensi dell’articolata e complessa soprarichiamata normativa, al fine di fornire supporto nel percorso di implementazione delle misure di sicurezza e nella conduzione dell’attività di compliance, formale e sostanziale, alle prescrizioni nazionali ed Unionali.
Con riferimento a queste ultime e, in particolare, a quelle dettate dalla Direttiva NIS1, recepite con il decreto legislativo n. 65/2018, e dalla Direttiva NIS2 in corso di recepimento, occorre evidenziare il ruolo attribuito ad ACN dalla nuova architettura istituzionale, che l’ha individuata quale Autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, a tutela dell’unità giuridica dell’ordinamento, competente altresì all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative previste in materia.
Come noto, la Direttiva NIS2 prevede l’ampliamento del suo ambito di applicazione in cui sono inclusi anche la pubblica amministrazione centrale (lasciando discrezionalità agli Stati membri di inserire gli enti locali in base all’assetto istituzionale), le piccole e microimprese (se operano in settori chiave per la società) e, indipendentemente dalle dimensioni, fornitori di servizi di comunicazione elettronica e di reti di comunicazione elettronica, giungendo a interessare 18 settori distinti in altamente critici (energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC business-to-business, pubblica amministrazione, spazio) e critici (servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, manifatturiero, fornitori di servizi digitali, ricerca).
La nuova Direttiva introduce inoltre un approccio «all-hazards» alla cybersicurezza, che considera cioè tutte le minacce, includendo profili di sicurezza fisica per la protezione del perimetro delle reti e dei sistemi informativi in raccordo con la collegata Direttiva sulla resilienza delle infrastrutture critiche ed amplia la definizione di incidente includendovi anche quelli capaci di compromette la “disponibilità”, la “autenticità”, la “integrità” o la “riservatezza” di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi, non limitandosi, dunque, solo a quelli che hanno un impatto rilevante sulla “continuità” dei servizi essenziali prestati con conseguente, prevedibile, considerevole aumento delle notifiche di incidente.
Il recepimento della Direttiva NIS2 produrrà un significativo impatto anche sugli operatori TELCO, a seguito della loro inclusione all’interno del settore delle infrastrutture digitali, la cui regolamentazione, anche in materia di integrità delle reti, risiede nel ben consolidato Codice Europeo delle Comunicazioni Elettroniche (EECC), novellato nel 2018 per adattare il codice alle nuove realtà tecnologiche e di mercato e recepito dal D.Lgs. 207/2021, che tra l’altro estende il suo ambito di applicazione anche ai cd. servizi di comunicazione interpersonali indipendenti dal numero (Number-Independent Interpersonal Communication Services – NI-ICS) come WhatsApp e la posta elettronica.
In particolare, la Direttiva NIS2, nell’assorbire le previsioni in materia di integrità delle reti dell’EECC – ad oggi disciplinate a livello nazionale dal decreto ministeriale adottato dal MIMIT (a quel tempo MISE) il 18 dicembre 2018, cd. DM Telco – a favore di una maggior armonizzazione e orizzontalità della disciplina cyber, postula la realizzazione di un articolato quadro di cooperazione Unionale per la supervisione, la gestione degli incidenti e delle crisi cyber, l’esercizio di poteri regolamentari, ispettivi e sanzionatori rafforzati per assicurare l’implementazione degli obblighi di notifica di incidente e di adozione delle misure di sicurezza.
Ciò potrebbe anche comportare riallineamenti nella governance nazionale del settore TELCO negli Stati membri, con un rafforzamento del ruolo delle autorità cyber, nonché una rimodulazione e armonizzazione della regolamentazione, rispetto a quanto già sviluppato per i settori già oggetto della Direttiva NIS1.
In tale quadro normativo in costante evoluzione altro fattore da tenere in debita considerazione concerne l’attività di recepimento della Direttiva Resilience of Critical Entities (CER) del 2022, il cui combinato disposto con la citata NIS2, come si è detto, pone in capo alle Autorità competenti NIS designate a livello nazionale anche la responsabilità di definire obblighi relativi alla resilienza e sicurezza fisica delle infrastrutture critiche del settore delle infrastrutture digitali.
Ne consegue che le novità introdotte a livello Unionale, unitamente al previsto aggiornamento del quadro regolamentare del Perimetro che investiranno anche il settore TELCO, indirizzeranno nei prossimi mesi le attività di regolamentazione e adattamento della disciplina nazionale cyber. In tale ottica, l’accentramento dei poteri regolatori nell’Agenzia consentirà di agevolare, laddove possibile, l’individuazione di soluzioni armoniche e coerenti tra le diverse discipline, nonché rispettose e adeguate alle specificità settoriali.
L’Agenzia è estremamente sensibile a questo tema, caro alla sostanziale totalità dei soggetti vigilati, inerente alla frammentazione e stratificazione della disciplina cyber nazionale e sovranazionale.
Al riguardo, proprio nell’ottica di mitigare tale criticità, dal 2016 la definizione delle misure di sicurezza a livello nazionale è incardinata nel Framework Nazionale per la Cyber Security e la Data Protection1, basato sull’analogo Framework di cybersicurezza del National Institute of Standards and Technology (NIST), uno strumento operativo che consente di organizzare funzionalmente le misure di sicurezza che un’organizzazione può implementare.
L’uso di tale strumento di supporto, che ha già registrato una forte adozione a livello nazionale anche al di fuori del contesto della compliance normativa, potrà essere proseguito anche nella regolamentazione discendente dalla NIS2, in coerenza con la disciplina PSNC, ovvero anche per il settore TELCO, consentendo ai soggetti di ricondurre i requisiti delle diverse discipline a un unico indice generale.
Considerato, inoltre, che la descrizione dei requisiti non impone implementazioni specifiche ma consente, in genere, al soggetto di adottare la migliore pratica ritenuta più opportuna sulla base di una analisi del rischio, tale approccio agevola lo sforzo di compliance, specie in fase di transizione da un diverso modello di regolamentazione.
Al contempo, la definizione di strumenti che rafforzino la postura di cybersicurezza dell’Italia individuando l’opportuno bilanciamento rispetto agli oneri, non può prescindere dal coinvolgimento del settore produttivo.
Con questo spirito, nel contesto dell’attuazione del Perimetro di sicurezza nazionale cibernetica (PSNC), l’Agenzia ha avviato da aprile scorso un ciclo di incontri con tutte le organizzazioni pubbliche e private soggette alla disciplina.
Tale attività, è occasione anche per ricevere dal tessuto industriale riscontri circa le difficoltà attuative e prospettive evolutive della disciplina cyber nazionale. Con specifico riferimento al recepimento della Direttiva NIS2, sono in via di programmazione incontri con le Amministrazioni competenti per i settori della Direttiva NIS2, a partire dalle Autorità di settore, nonché con le associazioni datoriali. Queste iniziative saranno proficue per acquisire gli elementi utili a proporre un recepimento della Direttiva e una regolamentazione coerente con le specificità settoriali.
Tali attività, prodromiche alla costituzione dei tavoli settoriali previsti dalla Strategia Nazionale di Cybersicurezza, scaturiscono dalla postura di ascolto dell’Agenzia nei confronti del settore pubblico e privato necessaria per assicurare il dovuto supporto ai soggetti vigilati per una compiuta attuazione della disciplina cyber nazionale. Ciò anche al fine di incrementare il patrimonio informativo in vista dell’adozione di ulteriori iniziative normative finalizzate a rafforzare maggiormente la cornice di sicurezza cibernetica del Paese.
Note:
1. Cognitive_Warfare_Ed.2023, Ministero della Difesa