I meccanismi e/o accordi di condivisione (noti anche come “information sharing agreement”) costituiscono uno strumento naturalmente incoraggiato sia dal Regolamento DORA (UE 2022/2554) che dalla direttiva NIS2 (UE 2022/2555) al fine di scambiare informazioni relative alle minacce informatiche tra operatori. Per la Nis 2 per altro ricordiamo la scadenza del 31 luglio.
Per quanto riguarda gli accordi di condivisione, risulta, infatti, evidente il vantaggio per la collettività di condividere con i propri “peers”, ad esempio, una nuova strategia di mitigazione di una minaccia cyber, con l’effetto di “rinforzare” la resilienza dell’intero comparto. Tuttavia, ove lo scambio di informazioni non avvenga secondo rigorosi protocolli, sia tecnici che comportamentali, detti accordi potrebbero invece prestare il fianco a possibili “leakage” di informazioni riservate, anche di natura industriale, e/o dati personali di dipendenti, grazie anche solo alle inferenze.
Indice degli argomenti
La disciplina degli accordi di condivisione Nis e Dora
La normativa regolamenta questi accordi in modo relativamente puntuale, lasciando ampio spazio all’autonomia (e responsabilità) delle parti, e prevede la notifica alle autorità competenti sia al momento della loro adesione che del recesso, nonché della loro variazione. Si noti che per i soggetti NIS la notifica degli accordi sottoscritti successivamente all’entrata in vigore del decreto n. 138/2024 (di attuazione della NIS2) deve avvenire entro il 31 luglio 2025, ai sensi della Determina ACN n. 136118/2025.
L’art. 45 del Regolamento DORA
L’articolo 45 del Regolamento DORA consente la condivisione volontaria (tra operatori) di informazioni concernenti le minacce informatiche (indicatori di compromissione, tattiche, tecniche e procedure, segnali di allarme per la cibersicurezza e strumenti di configurazione) nella misura in cui tale condivisione:
(a) sia mirata alla resilenza del settore, migliorando la possibilità di prevenzione, risposta e rilevamento degli attacchi;
(b) si svolga nel rispetto della riservatezza dell’attività economica, delle linee guida sulla politica in materia di concorrenza[1] e della tutela dei dati personali (GDPR);
(d) avvenga in modo sicuro (“entro comunità fidate”), anche al fine di proteggere la sensibilità e la riservatezza delle informazioni.
L’art. 45 specifica, inoltre, che i meccanismi di condivisione definiscono le norme di condotta per la partecipazione, le relative condizioni e, se del caso, il coinvolgimento de: (a) le autorità pubbliche, (b) i fornitori terzi di servizi ICT, nonché gli elementi operativi con cui effettuare la condivisione (tra cui l’utilizzo di apposite piattaforme informatiche).
Lo scopo è chiaramente quello di agevolare il rilevamento precoce delle minacce, identificando – ad esempio – tipologie di attacchi emergenti e così aumentare la resilenza collettiva del settore finanziario. Non è da escludere (anzi auspicabile), inoltre, anche un effetto di riduzione dei costi, sebbene lo stesso sia un effetto marginale rispetto al miglioramento, in termini di rapidità e profondità, delle risposte alle crisi e all’aumento della consapevolezza delle minacce di settore.
Da notare che nei propri Considerando (n. 32) il Regolamento DORA enfatizza ancor di più il ruolo degli accordi di condivisione, facendoli assurgere a strumento abilitatore della stessa resilenza: “di fronte ai rischi informatici che si fanno sempre più complessi e sofisticati, la validità delle misure di individuazione e prevenzione dei rischi informatici dipende in larga misura da una costante condivisione delle analisi delle minacce e delle vulnerabilità tra le entità finanziarie“. Tuttavia, prosegue il medesimo Considerando, in assenza di orientamenti a livello di Unione, numerosi fattori, tra cui in particolare l’incertezza sulla compatibilità con le norme in materia di protezione dei dati, antitrust e responsabilità, hanno apparentemente ostacolato la condivisione dei dati”.
In realtà, il Regolamento DORA, pur promuovendo lo scambio di informazioni, di fatto delega ai singoli operatori la risoluzione dei problemi di riservatezza e compatibilità con la disciplina antitrust e privacy che gli stessi pongono. Si rende, quindi, opportuno e, in taluni casi, necessario adottare, ad esempio, meccanismi di cifratura e/o crittografia simmetrica per condividere informazioni ad alto rischio di impatto in termini di privacy, operatività o anche solo di “reputation” per l’azienda. Fermo restando che talune informazioni possono essere diffuse soltanto all’interno dell’organizzazione e comunque in base al principio “need to know”, secondo le policy aziendali e/o le norme di legge applicabili, spesso preceduto dall’esecuzione di una DPIA (art. 35 del GDPR).
La direttiva NIS2
L’art. 17 del Decreto 138/2024 (di attuazione in Italia della NIS2) prevede una disciplina degli accordi di condivisione analoga a quella del Regolamento DORA, prevedendo che i soggetti NIS (e laddove opportuno anche ulteriori soggetti) possano scambiarsi, su base volontaria, pertinenti informazioni sulla sicurezza informatica, “comprese informazioni relative a minacce informatiche, quasi-incidenti, vulnerabilità, tecniche e procedure, indicatori di compromissione, tattiche avversarie, informazioni specifiche sugli attori delle minacce, allarmi di sicurezza informatica e raccomandazioni concernenti la configurazione degli strumenti di sicurezza informatica”, per individuare le minacce informatiche.
Tale condivisione è possibile quando:
a) mira a prevenire o rilevare gli incidenti, a recuperare o a mitigarne l’impatto;
b) aumenta il livello di sicurezza informatica, “sensibilizzando in merito alle minacce informatiche, limitando o inibendo la capacità di diffusione di tali minacce e sostenendo una serie di capacità di difesa, la risoluzione e la divulgazione delle vulnerabilità, tecniche di rilevamento, contenimento e prevenzione delle minacce, strategie di mitigazione o fasi di risposta e recupero, oppure promuovendo la ricerca collaborativa sulle minacce informatiche tra soggetti pubblici e privati”;
c) avviene nell’ambito di comunità di soggetti essenziali e di soggetti importanti e, se opportuno, nell’ambito dei loro fornitori o fornitori di servizi mediante accordi di condivisione “che tengono conto della natura potenzialmente sensibile delle informazioni condivise”.
A differenza del Regolamento RORA, non vi è il rimando alla “fidatezza” della comunità, ma ovviamente questo si deve ritenere scontato.
Inoltre, l’Autorità per la Cybersecurity Nazionale (ACN) nelle proprie FAQ ha fornito importanti chiarimenti in ordine alla circostanza se gli accordi di fornitura ICT, o alcune loro specifiche previsioni, ricadano nella tipologia in esame. In particolare, l’ACN ha specificato che rientrano negli “accordi di condivisione” da notificare anche “lo scambio di informazioni che avviene nel contesto di forniture che hanno oggetto, anche in parte, servizi di sicurezza informatica”. Di conseguenza, sono oggetto di notifica (solo per estratto) i contratti relativi alle forniture di servizi quali:
“NOC (Network Operation Centre);
MDR (Managed Detection and Response);
SOC (Security Operation Centre);
CSOC (Cyber Security Operation Centre);
CERT (Computer Emergency Response Team);
VA/PT (Vulnerability Assessment e Penetration Test);
Red Teaming;
Cyber Threat Intelligence[2]”.
Da notare che il Considerando 121 della NIS2 per gli aspetti di privacy degli accordi di condivisione sembra “suggerire” una possibile base giuridica per il trattamento dei dati. Infatti, specifica: “il trattamento dei dati personali potrebbe essere necessario anche per i legittimi interessi perseguiti dai soggetti essenziali e importanti, nonché dai fornitori di tecnologie e servizi di sicurezza che agiscono per conto di tali soggetti, a norma dell’articolo 6, paragrafo 1, lettera f), del regolamento (UE) 2016/679, anche qualora tale trattamento sia necessario per accordi di condivisione delle informazioni in materia di cibersicurezza o per la notifica volontaria di informazioni pertinenti a norma della presente direttiva “.
Benefici operativi e condizioni di efficacia della condivisione di CTI
In linea con le disposizioni del Regolamento DORA e della direttiva NIS2, che promuovono la condivisione strutturata di informazioni tra operatori, è utile analizzare anche alcune esperienze concrete di scambio di Cyber Threat Intelligence (o CTI), al fine di valutarne rischi e benefici operativi.
In particolare, la condivisione di CTI tra organizzazioni non rappresenta una novità assoluta, ma una pratica già ampiamente consolidata. Per esempio, la piattaforma di AT&T, Open Threat Exchange (“OTX”), coinvolge oltre 180.000 partecipanti in tutto il mondo, fornendogli un sistema di scambio strutturato di indicatori di compromissione; quest’ultimi vengono prima anonimizzati, poi verificati e quindi redistribuiti agli altri membri.
Questo approccio collettivo consente di contrastare attacchi cyber basati sul riutilizzo degli stessi strumenti; una tattica diffusa, dati gli alti costi di sviluppo di vettori cibernetici “su misura”. La logica è simile a quella delle comunità hacker che si favoreggiano l’un l’altro, ma ribaltata a fini difensivi: anticipare la minaccia conoscendo in anticipo gli strumenti utilizzati. In uno studio condotto su dati del progetto DShield – una piattaforma collaborativa che raccoglie i log dei firewall per tracciare minacce ricorrenti – è emerso che un approccio cooperativo nella condivisione degli indicatori consente di incrementare la precisione nel rilevamento degli attacchi di oltre il 100% rispetto a modelli basati sull’analisi isolata dei dati da parte dei singoli soggetti.
Il caso Censinet nella condivisione informazioni
Un recente caso nel settore sanitario statunitense mostra in modo chiaro i benefici della condivisione di informazioni. Secondo Censinet – una piattaforma specializzata nella gestione del rischio cyber per le strutture sanitarie – nel solo 2024 sono stati compromessi oltre 276 milioni di cartelle cliniche, con un costo medio per violazione superiore agli 11 milioni di dollari. In questo scenario, la partecipazione a reti fidate come Health-ISAC ha permesso di ridurre del 50% i tempi di rilevamento, accorciare quelli di contenimento da 287 a 73 giorni e ottenere un risparmio sui costi complessivi pari al 25%. Anche in Europa si registrano casi significativi. Nel settore energetico, la piattaforma EE‑ISAC – nata nel 2015 e composta da utility, fornitori di servizi ICT, enti pubblici e accademici – ha facilitato l’adozione di strumenti di threat intelligence personalizzati, come MISP, e integrato oltre 55 fonti diverse in un ambiente condiviso.
Si tratta di dati di settore che, pur riferiti a una specifica industria, evidenziano con chiarezza il potenziale di un information sharing ben strutturato, capace di migliorare le posture difensive, aumentare la visibilità sugli attori malevoli e ridurre l’esposizione complessiva. Tuttavia, anche in questo contesto avanzato, le condizioni per una condivisione efficace restano stringenti: l’articolazione di policy di gestione del rischio, l’adozione di protocolli interoperabili, la presenza di fiducia reciproca e il rispetto delle normative in materia di privacy e sicurezza dei dati – come l’HIPAA nel contesto statunitense – sono considerati prerequisiti indispensabili.
Accordi di condivisione: l’utilità in sintesi
- Gli accordi di condivisione, se stipulati al di fuori di organizzazioni certificate dalle autorità competenti, necessitano, quindi, di particolari cautele nella loro predisposizione al fine di tutelare l’azienda contro violazioni delle diverse discipline sopra richiamate.
- Per la loro natura, inoltre, richiederebbero un’informativa all’organo amministrativo in ordine alla tipologia delle informazioni condivisibili, alle misure tecniche adottate, alle clausole di riservatezza e di responsabilità previste in caso di violazione, nonché all’elenco dei partecipanti.
Come spesso accade, si tratta di opportunità da trattare con particolare cura vista la delicatezza della materia.
[1] Comunicazione della Commissione europea del 14 gennaio 2011 “Linee direttrici sull’applicabilità dell’articolo 101 del Trattato sul funzionamento dell’Unione Europea gli accordi di cooperazione orizzontale” come richiamata nel Considerando 34 del Regolamento DORA.
[2] FAQ “ACI4” sul sito dell’ACN.
