L’uscita delle “Misure minime di sicurezza ICT per le pubbliche amministrazioni” Agid in Gazzetta Ufficiale, pochi giorni fa, conferma che il tema della cybersecurity è stato promosso all’attenzione generale. E’ entrato nelle agende dei manager e dei board aziendali, degli amministratori pubblici e dello stesso Legislatore.
Il rischio cui la società potrebbe andare soggetta è anzi, paradossalmente, quello di sovraesposizione a questi temi: dopo decenni nei quali la questione sicurezza era relegata ai soli tavoli degli addetti ai lavori, infatti, oggigiorno il discorso sulle minacce cyber ha pieno diritto di cittadinanza in ambiti ed eventi nei quali fino a poco tempo fa era impensabile trattare argomenti che, erroneamente, venivano considerati come meramente tecnici. Sappiamo invece che la minaccia cyber è trasversale, e che dunque ogni serio approccio per la prevenzione e la difesa non può che essere che multidisciplinare nella sua struttura, collaborativo nella sua attuazione, e collocato al più alto livello di governance nella sua organizzazione.
Da qui discende la convinzione che vi sia l’oramai imprescindibile necessità dotarsi di una serie di regole e di strutture condivise che disegnino la macchina complessiva della protezione e della reazione alle crescenti minacce cyber per i sistemi nazionali e sovranazionali in un’ottica di partecipazione duale: da un lato ognuno deve fare e garantire la propria sicurezza interna, e dall’altro tutti devono collaborare per mettere a fattor comune risorse, informazioni, capacità ed esperienze.
Ecco quindi perché, in modo apparentemente improvviso ed un lasso di tempo piuttosto ristretto, stanno convergendo diverse iniziative sia nazionali che internazionali finalizzate ad innalzare i livelli di sicurezza e cooperazione in vari settori critici per il regolare funzionamento della società civile, quali la pubblica amministrazione ed i fornitori di servizi essenziali e/o digitali. Il combinato disposto di tali iniziative, le quali purtroppo ma non solo per caso giungono a maturazione quasi contemporaneamente, sarà certamente impattante sul breve periodo per i settori coinvolti, i quali dovranno adottare misure tecniche ed organizzative di protezione talvolta anche non banali; ma sul medio e lungo periodo assicurerà una migliore e più e efficace risposta globale una volta che tutti i tasselli saranno stati correttamente disposti in esercizio.
La più estesa di tali iniziative, in senso non solo temporale e di profondità ma anche meramente geografico, è l’oramai nota “Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”, più brevemente conosciuta come “Direttiva NIS”. Si tratta di una normativa estesa a tutti gli Stati membri dell’UE, ciascuno dei quali dovrà recepirla con una propria legislazione nazionale avendo peraltro tempo fino a maggio 2018 per adottare tutte le misure in essa contenute. Fra le più importanti previsioni della norma comune vi sono: il miglioramento delle capacità di cyber security dei singoli Stati dell’Unione mediante adozione di specifiche misure di sicurezza a carico dei settori interessati; l’aumento del livello di cooperazione tra gli Stati dell’Unione; l’obbligo per gli operatori di servizi essenziali e dei fornitori di servizi digitali di adottare un approccio basato sulla gestione dei rischi, nonché di riportare ad un’apposita autorità (ed in ultima analisi all’Agenzia europea ENISA) tutti gli incidenti di una certa entità. Ciascuno Stato membro dovrà anche designare un’apposita autorità che funga da punto di contatto per gli scambi internazionali, dotarsi di una strategia cyber e costituire uno o più CERT/CSIRT; l’Unione dovrà invece costituire un gruppo di cooperazione al quale parteciperanno tutti gli Stati membri, la Commissione e l’ENISA. Da notare che, mentre alcune altre Nazioni sono praticamente già in regola, lo stato di attuazione della Direttiva nel nostro Paese è alle sue prime fasi: deve infatti ancora essere emanata dal Governo la relativa legge di recepimento che dettaglierà le specifiche azioni da intraprendere.
A livello esclusivamente interno, invece, l’Italia si è già data da fare. Col recente decreto legislativo del 17 febbraio 2017, infatti, il nostro Paese ha riorganizzato la sua architettura di sicurezza per la protezione dello spazio cibernetico nazionale, che era stata stabilita nell’oramai “lontano” 2013, rendendola più snella ed efficace e soprattutto concentrandone la responsabilità di governo all’interno del Dipartimento per le Informazioni e la Sicurezza (DIS). A valle dell’entrata in vigore di tale decreto, che peraltro al momento attuale non è ancora stato pubblicato in Gazzetta Ufficiale, sono attese ulteriori misure di adattamento della capacità difensiva e reattiva nazionale le quali necessitano di una legge per essere emanate: molto probabilmente il Governo le inserirà come pacchetto di misure aggiuntive all’interno della legge di recepimento della Direttiva NIS, cogliendo per così dire l’occasione per proporre un corpus unico di provvedimenti correlati. Tra di essi è prevista almeno la fusione in un’unica struttura degli attuali due CERT che presidiano lo spazio cibernetico nazionale di attinenza non militare, ossia il CERT Nazionale istituito presso il Ministero dello Sviluppo Economico e il CERT della Pubblica Amministrazione istituito presso l’Agenzia per l’Italia digitale.
Sempre a livello interno occorre invece citare la recentissima uscita in Gazzetta Ufficiale (Serie Generale n. 79 del 4 aprile 2017) della Circolare AgID 17 marzo 2017, n. 1/2017, recante le attese “Misure minime di sicurezza ICT per le pubbliche amministrazioni”. Emesse dall’Agenzia per l’Italia Digitale nei suoi poteri di dettare “indirizzi, regole tecniche e linee guida in materia di sicurezza informatica”, anche in ottemperanza alla direttiva del 1° agosto 2015 del Presidente del Consiglio dei ministri che impone l’adozione di standard minimi di prevenzione e reazione ad eventi cibernetici, le Misure minime erano già state anticipate sui siti Web di AgID e del CERT-PA nel settembre 2016, dopo essere state approvate in seguito ad una lunga consultazione con le Pubbliche Amministrazioni ed il Nucleo di Sicurezza Cibernetica. Ora tuttavia, con la pubblicazione in Gazzetta, la loro adozione diviene formalmente obbligatoria per tutte le Pubbliche Amministrazioni, che hanno tempo fino al 31 dicembre per adottarne le prescrizioni. Da notare che le misure prevedono tre livelli di attuazione: quello minimo rappresenta la linea di base alla quale ogni amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere conforme; quello intermedio o standard rappresenta la situazione di riferimento per la maggior parte della amministrazioni; quello superiore rappresenta un optimum che dovrebbe essere adottato da tutte le amministrazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati) ma anche visto come obiettivo di miglioramento da parte di tutte le altre amministrazioni.
Meno rilevante dal punto di vista degli aspetti strettamente legati alla cybersecurity, ma non per questo meno impattante sulle aziende e le organizzazioni, è infine il nuovo Regolamento europeo per la protezione dei dati personali, in breve GDPR. Su di esso sono già stati spesi fiumi di inchiostro perché è il primo caso di norma comune europea sulla privacy. Come è noto, trattandosi di un regolamento e non di una direttiva, esso non richiede una legge nazionale per essere recepito, ed è quindi già in vigore in tutta l’UE sin dal momento della sua pubblicazione sulla Gazzetta Ufficiale dell’Unione. Sono tuttavia previsti due anni di tempo per consentire a tutti gli Stati membri di adottarne le prescrizioni, termini che scadranno (anche loro!) a maggio del 2018. Per quanto riguarda il nostro Paese, occorre considerare che l’Italia già possiede una normativa nazionale particolarmente stringente e concettualmente assai vicina all’impianto del GDPR, quindi la transizione alle nuove disposizioni non dovrebbe essere troppo onerosa per tutte le organizzazioni “virtuose” che già gestiscono la privacy a regola d’arte. È atteso comunque un pronunciamento ufficiale del Garante che faccia luce su quei (pochi) casi di ambiguità o conflitto tra le due norme, e dia indicazioni chiare in merito alle corrette modalità attuative. Tra le cose da sottolineare, in quanto misura di introduzione completamente nuova, va menzionato l’obbligo, a carico di chi chiunque gestisca dati personali altrui, di notificare alle competenti autorità ogni violazione degli stessi.
