La prossima definizione dell’iter di approvazione del Regolamento Europeo noto come Cybersecurity Act, introdurrà negli Stati membri il quadro Europeo unico per la certificazione della sicurezza informatica di prodotti e processi determinando le condizioni per la creazione di un mercato unico digitale finalizzato ad accrescere la fiducia degli utenti sempre più eterogeneamente connessi nell’era dell’IoT.
La certificazione europea, seppur su base volontaria, sarà certamente utile ad incentivare le aziende ad investire maggiormente nella cybersicurezza di prodotti e processi, con l’obiettivo di costruire modelli virtuosi di management del rischio, degli incidenti e relativi impatti nonché della resilienza operativa.
La certificazione europea, unita al nuovo ruolo di intervento e supporto dell’Agenzia Europea ENISA, non potranno certamente tradursi in un modello effettivo se non saranno parimenti introdotte delle misure di incentivazione degli investimenti in cybersicurezza, soprattutto per le PMI italiane che si connotano per la ricorrente esiguità dei budgets.
A tal proposito, il sottosegretario alla Difesa Angelo Tofalo ha recentemente dichiarato che “la sicurezza informatica è in cima all’agenda del Governo la cui azione combinata punta a investire sullo sviluppo delle nuove tecnologie e la sensibilizzazione degli utenti attraverso la diffusione della cultura della sicurezza e la formazione e, che la cybersicurezza è un bene comune che deve essere quindi considerata un investimento per la nostra comunità e non un costo, nell’ottica di Sistema Paese. Per questa ragione, ha continuato il Sottosegretario, stiamo lavorando a una proposta per la defiscalizzazione dei costi per la sicurezza per le grandi ma soprattutto piccole e medie imprese”.
In tale prospettiva, l’auspicabile defiscalizzazione dei costi per la cybersicurezza, costituirà verosimilmente il vero propulsore del modello virtuoso di sicurezza partecipata e sistemica nell’ambito della collaborazione pubblico-privato previsto dalla Direttiva Europea UE 2016/1148 (Direttiva NIS), come recepita in Italia con il D.lgs. 62/2018.
La Direttiva, come notorio, ha l’obiettivo di incrementare i livelli di sicurezza e resilienza di reti e sistemi informativi a supporto dell’erogazione di servizi essenziali all’interno dell’Unione Europea, prescrivendo obblighi di sicurezza e di notifica di incidenti cibernetici per gli operatori di servizi essenziali e per i fornitori di servizi digitali identificati da ciascuno Stato membro per settore di riferimento (sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali).
Dunque, ratio della Direttiva NIS e del relativo Decreto attuativo è quella aumentare il livello di consapevolezza in materia di cybersecurity e, per l’effetto, accrescere il livello complessivo di sicurezza, anche attraverso un la condivisione di informazioni (information sharing).
A seguito del recepimento della Direttiva NIS, in Italia è stato istituito presso il Ministero dello sviluppo economico l’elenco nazionale degli OSE che verrà aggiornato, almeno ogni due anni, a cura delle Autorità competenti.
Gli OSE e gli FSD sono tenuti a:
- adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e a prevenire e minimizzare l’impatto degli incidenti a carico della sicurezza delle reti e dei sistemi informativi, al fine di assicurare la continuità del servizio;
- notificare, senza ingiustificato ritardo, gli incidenti che hanno un impatto rilevante, rispettivamente sulla continuità e sulla fornitura del servizio, al Computer Security Incident Response Team (CSIRT) italiano, informandone anche l’Autorità Competente NIS di riferimento.
Viene sancito l’obbligo per gli Stati Membri di designare Autorità Nazionali Competenti, Punti di Contatto Unici e CSIRT.
In Italia vengono individuate competenti le seguenti Autorità:
- Ministero dello sviluppo economico;
- Ministero delle infrastrutture e dei trasporti;
- Ministero dell’economia e delle finanze;
- Ministero della salute;
- Ministero dell’ambiente e della tutela del territorio e del mare e le Regioni e le Province autonome di Trento e di Bolzano.
Le superiori Autorità sono responsabili dell’attuazione del decreto e, pertanto,
- esercitano potestà ispettive e sanzionatorie;
- individuano le soglie in ragione delle quali un incidente è da considerarsi pregiudizievole per la sicurezza delle reti e dei sistemi informativi;
- hanno facoltà di predisporre linee guida per la notifica degli incidenti e dettare specifiche misure di sicurezza, sentiti gli OSE.
Punto di Contatto Unico in materia di sicurezza delle reti e dei sistemi informativi è nel nostro Paese il Dipartimento delle Informazioni per la Sicurezza (DIS) che svolge una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità competenti NIS con le autorità competenti degli altri Stati membri, nonché con il gruppo di cooperazione e la rete di CSIRT di cui all’articolo.
Il CSIRT (Computer Security Incident Response Team) italiano:
- definisce le procedure per la prevenzione e la gestione degli incidenti informatici;
- riceve le notifiche di incidente, informandone il DIS, quale punto di contatto unico e per le attività di prevenzione e preparazione a eventuali situazioni di crisi e di attivazione delle procedure di allertamento affidate al Nucleo per la Sicurezza Cibernetica;
- fornisce al soggetto che ha effettuato la notifica le informazioni che possono facilitare la gestione efficace dell’evento;
- informa gli altri Stati membri dell’UE eventualmente coinvolti dall’incidente, tutelando la sicurezza e gli interessi commerciali dell’OSE o del FSD nonché la riservatezza delle informazioni fornite;
- garantisce la collaborazione nella rete di CSIRT, attraverso l’individuazione di forme di cooperazione operativa, lo scambio di informazioni e la condivisione di best practices.
Proprio nella cornice dello scambio di informazioni e condivisione di best practices va ad inserirsi la realizzazione in house ovvero l’outsourcing di un servizio SOC (security operation center).
A tal riguardo l’ETSI, organizzazione di standardizzazione leader per gli standard ICT (Information and Communication Technology) che soddisfano le esigenze del mercato europeo e globale, ha recentemente pubblicato la specifica ETSI GS ISI 007 che evidenzia le linee guida per la progettazione e la gestione di un Security Operation Center (SOC), con un particolare riferimento al servizio di rilevazione degli incidenti.
La specifica rappresenta un importante set di linee guida preordinate a rilevare tempestivamente e monitorare un incidente, per la sua corretta gestione in termini di mitigazione degli impatti e resilienza operativa, che si rivela particolarmente funzionale alla protezione delle infrastrutture critiche del Paese.
In tale scenario, assume sempre più rilevanza il ruolo del Security Manager che, per la sua professionalità trasversale e multidisciplinare, declinata nella norma tecnica UNI 10459/2017, possiede conoscenze, abilità e competenze tali da garantire la gestione complessiva del processo di security aziendale.
L’auspicabile istituzionalizzazione della figura del Security Manager potrà certamente meglio favorire il partenariato pubblico-privato nell’ambito della condivisione delle informazioni e, in ultimo, della sicurezza sempre più partecipata del Sistema Paese.
