Nello scenario della digitalizzazione, nel quale minacce tecnologiche ed emorragie economiche dovute al cybercrime giocano il ruolo di protagonisti indiscussi nel panorama mondiale, l’Unione Europea lavora con buon ritmo per tentare di configurare strumenti normativi utili, finalizzati a preservare gli aspetti sociali ed economici, con la speranza di riuscire a trainare – con più o meno fatica – tutti gli stati membri in una condizione di sicurezza accettabile.
Sotto questo spirito è stata emanata il 6 luglio del 2016 la direttiva NIS UE 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. Nel concreto la normativa estende il concetto di infrastruttura critica, coinvolgendo gli operatori di servizi essenziali e digitali:
- fornitori di energia (elettricità, gas, petrolio)
- gestori dei trasporti (aerei, navali, ferroviari, stradali)
- banche ed infrastrutture nei mercati finanziari
- operatori sanitari
- fornitori di acqua potabile
- gestori di infrastrutture digitali (punti di interscambio internet, sistemi dei nomi di dominio e registro dei nomi di dominio di primo livello)
- servizi digitali (mercati on-line, motori di ricerca, servizi in cloud)
Entro il 9 novembre 2018, ogni stato membro UE dovrà identificare i soggetti pubblici e privati coinvolti e segnalarli, unitamente alle tipologie di servizi erogati, in uno specifico elenco, secondo le definizioni all’art. 4 (in dettaglio, agli allegati II e III).
In ogni caso, sulla base di quanto indicato all’art. 5, la normativa coinvolge ciascun […] soggetto [che] fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali; la fornitura di tale servizio dipende dalla rete e dai sistemi informativi; e un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio.
La normativa è caratterizzata da alcuni elementi distintivi, con i quali già abbiamo avuto modo di familiarizzare in occasione delle attività di adeguamento al GDPR. L’approccio del legislatore europeo focalizza tutta l’attenzione sull’attuazione di un processo di individuazione, analisi e valutazione dei rischi, sull’adozione di misure tecniche ed organizzative commisurate ai livelli di rischio e sul coordinamento delle attività di comunicazione, incluse le notifiche ai centri preposti, ovvero gli CSIRT – gruppi di intervento per la sicurezza informatica in caso di incidente. In sostanza prevale ancora una volta lo spirito di accountability invece del principio di determinazione da parte delle autorità nazionali di misure minime di sicurezza, che in ogni caso hanno la facoltà di definirle.
Dal punto di vista operativo, la direttiva presenta anche un’ulteriore caratteristica distintiva. Sebbene ci sia esplicito riferimento alla capacità preventiva delle organizzazioni in ambito di sicurezza delle informazioni (o più specificatamente di sicurezza informatica), molti passaggi che riguardano la fase reattiva in caso di incidente – con focus sul monitoraggio dei tempi di ripresa del servizio e sulle comunicazioni tra le parti interessate, autorità comprese – sono anche riconducibili ad aspetti più propriamente attribuibili alla continuità operativa. È pertanto auspicabile che le organizzazioni coinvolte, che in ambito di adeguamento al GDPR hanno preso dimestichezza con i domini di controllo esplicitati nello standard internazionale ISO / IEC 27001 per la definizione dei requisiti di un sistema di gestione per la sicurezza delle informazioni, ora importino nel modello organizzativo anche i requisiti della ISO 22301, per un sistema di gestione per la continuità operativa.
Purtroppo l’Italia è propensa a contraddistinguersi, e non sempre in modo così positivo, rispetto agli altri stati membri. Nel recepimento della Direttiva NIS, con il D.Lgs 65/18 del 18 maggio 2018, non è stata colta l’opportunità di definire quanto era necessario, ma si è proceduto ad un mero esercizio di traduzione.
Allo stato attuale sono riscontrabili alcune anomalie nell’organizzazione delle attività: ad esempio l’estromissione della Pubblica Amministrazione dai soggetti coinvolti, la nomina di ben cinque autorità distinte, riferibili ai ministeri che governano le attività degli operatori chiamati in causa, e il probabile coinvolgimento del Dipartimento delle Informazioni per la Sicurezza come punto di contatto unico per le attività di comunicazione transnazionale, con l’aggravio della gestione delle comunicazioni classificate, obbligo al quale è sottoposto.
Infine, per concludere, il fatto che il Paese non abbia provveduto ad identificare i soggetti coinvolti – si vocifera una richiesta di proroga dei termini all’EU – rappresenta un fallimento iniziale degli intenti normativi di accrescere la sicurezza. Gli operatori non sono pronti e l’incertezza genera un ampliamento significativo della superficie vulnerabile piuttosto che accrescere quella messa in sicurezza.
L’attenzione resta focalizzata sul prossimo 9 novembre, per un’identificazione precisa dei soggetti coinvolti e sulla definizione di eventuali misure minime di sicurezza da parte del Governo. Successivamente gli operatori dovranno identificare framework operativi applicabili – da intendersi come metodologie in grado di coniugare le attività di adeguamento alle misure di sicurezza necessarie con le best practices internazionali già individuate – senza dover affrontare investimenti stellari, con l’auspicio che prima o poi si inneschi un meccanismo incentivante, riferibile proprio alle attività di adeguamento normativo, fondato ad esempio sulla defiscalizzazione.