Breve vademecum per adeguarsi alle nuove regole sulla cybersecurity

Dal perimetro nazionale alla direttiva Nis, ecco come muoversi negli obblighi che rafforzano i controlli sulla sicurezza informatica

(Foto: Getty Images)

La pandemia globale ha accelerato il ricorso all’uso degli strumenti informatici alla base dei processi lavorativi ed in particolare di quelli approntati, per lo più all’ultimo momento, per lo smart working. Alle carenze dei sistemi, si accompagna la scarsa cultura digitale del personale che li utilizza spesso con un uso scorretto e imprudente degli stessi e dei device personali. Questa accelerazione ha messo a dura prova i sistemi informativi delle aziende e della pubblica amministrazione con un aumento degli attacchi cyber che in alcuni settori (mondo della ricerca, finanziario, pubblica amministrazione e sanità) ha raggiunto un incremento di oltre il 600% rispetto alla media del periodo precedente.

Gli attacchi sono spesso perpetrati da organizzazioni criminali dotate di enormi risorse finanziarie e capacità tecnologiche, anche riconducibili ad organizzazioni statali. Da qui l’esigenza di leggi comunitarie e nazionali che dettino regole e controlli adeguati per garantire la sicurezza cibernetica di tutte le infrastrutture digitali, in particolate di quelle classificate come “critiche”.

La normativa

La normativa europea si è mossa negli anni per introdurre soluzioni idonee a garantire un adeguato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici, con lo scopo di far fronte alle minacce cibernetiche. Tra gli strumenti più significativi: la Direttiva Nis attuata nel nostro ordinamento con D.lgs 18 maggio 2018, n. 65 e il recente Dpcm 313/2020 che nel disciplinare il “Perimetro nazionale di sicurezza cibernetica” contiene uno dei principali regolamenti di attuazione di recepimento della direttiva.

Chi sono i destinatari e quali i loro obblighi

I soggetti individuati dalla Direttiva Nis sono in linea di massima tutti quelli qualificabili come Ose (Operatori di servizi essenziali) ovvero Fsd (Fornitori di servizi digitali). I primi operano come gestori dei sistemi di rete dedicati ai servizi della sanità dell’energia, dei trasporti, del sistema bancario e dei mercati finanziari, della fornitura e distribuzione di acqua potabile nonché dei servizi e delle infrastrutture dei sistemi di tlc. I secondi forniscono servizi essenziali affinché i sistemi digitali – quali i servizi di ecommerce, di cloud computing e/o i motori di ricerca – possano operare in maniera corretta.

Il Perimetro individua a livello nazionale gli attori pubblici o privati che operano nei settori essenziali per la sicurezza nazionale, come interno, difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie, enti previdenziali e del lavoro. A questi si aggiungono la Presidenza del Consiglio dei Ministri, i Ministeri degli Affari Esteri e della Cooperazione Internazionale, dell’Interno, della Difesa, della Giustizia, dell’Economia e delle Finanze, dello Sviluppo Economico.

La normativa vuole garantire la continuità delle funzioni e dei servizi essenziali svolti dalle strutture critiche tramite a tutela della sicurezza dei loro sistemi. Gli operatori ricompresi nel Perimetro siano essi soggetti pubblici o privati hanno l’obbligo di:
censire le reti, i servizi informativi e i sistemi informatici impiegati;
• adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e alla prevenzione di incidenti informatici;
• notificare eventuali incidenti di sicurezza al Csirt (Computer Incident Response Team-Italia).

Gli operatori del Perimetro sono perciò monitorati, attraverso l’imposizione di obblighi di comunicazione agli enti preposti riguardo agli attacchi subiti e/o all’inefficienza dei propri sistemi
In questa prospettiva sono tenuti ad effettuare continui test di controllo sulla tenuta dei sistemi e, ove non vengano rispettati gli adempimenti previsti, incluso quello di notifica degli incidenti, possono incorrere in sanzioni pecuniarie anche per ragguardevoli importi (fino a 1.800.000 euro).

Il tema della sicurezza dei sistemi di cui si occupano queste norme non va confuso con gli obblighi in materia di privacy. La privacy mira in via “mediata” a proteggere la sicurezza dei sistemi quando si operano trattamenti di dati personali. La Direttiva Nis e le norme nazionali mirano invece a tutelare in via diretta la sicurezza e resilienza dei sistemi e ciò a prescindere che il trattamento riguardi o meno dati personali. Le due normative collimano ma il perno delle norme in materia di sicurezza cibernetica è stabilire un insieme di regole di condotta, monitoraggio, comunicazione e controllo che sia a garanzia di tutti i sistemi informativi in settori dove l’interconnessione è oramai una regola.

Un malfunzionamento di un sistema o una sua vulnerabilità ignota, ancor di più se dovuti ad attacchi malevoli, rischia di pregiudicare anche gli altri sistemi del Perimetro e la stessa erogazione di servizi essenziali da parte dello Stato. Da qui l’automatismo del monitoraggio e degli obblighi di comunicazione che prescindono dal principio di auto responsabilizzazione del titolare (accountability) tipico delle norme in tema di privacy.

Gli attacchi informatici o le carenze dei sistemi inclusi nel Perimetro devono essere notificate all’organo governativo preposto (Csirt), per poter determinare una risposta rapida ed efficace per la tutela della sicurezza nazionale, anche tramite l’adozione delle indicazioni tecniche e delle attività di mitigazione stabilite dal Csirt. La notifica dell’incidente al Garante Privacy è invece eventuale e rimessa alla responsabilità del titolare del trattamento quando la stessa abbia comportato un data breach cioè abbia messo a rischio la riservatezza dei dati.

E per i soggetti non inclusi nel Perimetro o nella Direttiva?

Per i soggetti che non sono i destinatari della legge sul Perimetro e della direttiva Nis si applicano le disposizioni sulla sicurezza dei sistemi in tema di privacy e le specifiche norme di settore o contrattuali stabilite per quei soggetti che entrano nella catena del valore per l’erogazione di servizi digitali essenziali (per esempio le registration authority in tema di nomi a dominio, i proxy per la distribuzione dei servizi di firma elettronica qualificata, etc. etc.).
Investire nella formazione digitale del personale e nella sicurezza interna è lo strumento più efficace per tutte le imprese e gli operatori. Un riassunto dei passi necessari in tal senso è offerto dal documento pubblicato dall’Enisa in tema di cybersecurity e smart working. Tra questi sono inclusi:
• il costante aggiornamento dei software e dei sistemi;
• la previsione di sistemi di autenticazione con password complesse;
• adeguati sistemi di backup dei dati;
• l’utilizzo di reti private virtuali (Vpn) per la navigazione;
• costanti test della sicurezza dei sistemi per individuare per tempo eventuali falle;
• il controllo, tramite apposite piattaforme della sicurezza, dei Byod (bring your own device) come pc portatili o altri dispositivi mobili, in modo da evitare la divulgazione di informazioni aziendali.

Leggi anche

Potrebbe interessarti anche

loading...

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.