Nuove norme cybersecurity, tutto ciò che bisogna sapere

Le nuove linee guida Agid appena uscite in Gazzetta. La Direttiva europea NIS e le prescrizioni del nuovo Regolamento europeo per la protezione dei dati personali. L’ultimo decreto di febbraio 2017. Facciamo il punto sullo stato delle norme in tema di sicurezza informatica

07 Apr 2017
Corrado Giustozzi

Docente LUISS, Rexilience

cyber_398541283

L’uscita delle “Misure minime di sicurezza ICT per le pubbliche amministrazioni” Agid in Gazzetta Ufficiale, pochi giorni fa, conferma che il tema della cybersecurity è stato promosso all’attenzione generale. E’ entrato nelle agende dei manager e dei board aziendali, degli amministratori pubblici e dello stesso Legislatore.

Il rischio cui la società potrebbe andare soggetta è anzi, paradossalmente, quello di sovraesposizione a questi temi: dopo decenni nei quali la questione sicurezza era relegata ai soli tavoli degli addetti ai lavori, infatti, oggigiorno il discorso sulle minacce cyber ha pieno diritto di cittadinanza in ambiti ed eventi nei quali fino a poco tempo fa era impensabile trattare argomenti che, erroneamente, venivano considerati come meramente tecnici. Sappiamo invece che la minaccia cyber è trasversale, e che dunque ogni serio approccio per la prevenzione e la difesa non può che essere che multidisciplinare nella sua struttura, collaborativo nella sua attuazione, e collocato al più alto livello di governance nella sua organizzazione.

Da qui discende la convinzione che vi sia l’oramai imprescindibile necessità dotarsi di una serie di regole e di strutture condivise che disegnino la macchina complessiva della protezione e della reazione alle crescenti minacce cyber per i sistemi nazionali e sovranazionali in un’ottica di partecipazione duale: da un lato ognuno deve fare e garantire la propria sicurezza interna, e dall’altro tutti devono collaborare per mettere a fattor comune risorse, informazioni, capacità ed esperienze.

Ecco quindi perché, in modo apparentemente improvviso ed un lasso di tempo piuttosto ristretto, stanno convergendo diverse iniziative sia nazionali che internazionali finalizzate ad innalzare i livelli di sicurezza e cooperazione in vari settori critici per il regolare funzionamento della società civile, quali la pubblica amministrazione ed i fornitori di servizi essenziali e/o digitali. Il combinato disposto di tali iniziative, le quali purtroppo ma non solo per caso giungono a maturazione quasi contemporaneamente, sarà certamente impattante sul breve periodo per i settori coinvolti, i quali dovranno adottare misure tecniche ed organizzative di protezione talvolta anche non banali; ma sul medio e lungo periodo assicurerà una migliore e più e efficace risposta globale una volta che tutti i tasselli saranno stati correttamente disposti in esercizio.

La più estesa di tali iniziative, in senso non solo temporale e di profondità ma anche meramente geografico, è l’oramai nota “Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”, più brevemente conosciuta come “Direttiva NIS”. Si tratta di una normativa estesa a tutti gli Stati membri dell’UE, ciascuno dei quali dovrà recepirla con una propria legislazione nazionale avendo peraltro tempo fino a maggio 2018 per adottare tutte le misure in essa contenute. Fra le più importanti previsioni della norma comune vi sono: il miglioramento delle capacità di cyber security dei singoli Stati dell’Unione mediante adozione di specifiche misure di sicurezza a carico dei settori interessati; l’aumento del livello di cooperazione tra gli Stati dell’Unione; l’obbligo per gli operatori di servizi essenziali e dei fornitori di servizi digitali di adottare un approccio basato sulla gestione dei rischi, nonché di riportare ad un’apposita autorità (ed in ultima analisi all’Agenzia europea ENISA) tutti gli incidenti di una certa entità. Ciascuno Stato membro dovrà anche designare un’apposita autorità che funga da punto di contatto per gli scambi internazionali, dotarsi di una strategia cyber e costituire uno o più CERT/CSIRT; l’Unione dovrà invece costituire un gruppo di cooperazione al quale parteciperanno tutti gli Stati membri, la Commissione e l’ENISA. Da notare che, mentre alcune altre Nazioni sono praticamente già in regola, lo stato di attuazione della Direttiva nel nostro Paese è alle sue prime fasi: deve infatti ancora essere emanata dal Governo la relativa legge di recepimento che dettaglierà le specifiche azioni da intraprendere.

A livello esclusivamente interno, invece, l’Italia si è già data da fare. Col recente decreto legislativo del 17 febbraio 2017, infatti, il nostro Paese ha riorganizzato la sua architettura di sicurezza per la protezione dello spazio cibernetico nazionale, che era stata stabilita nell’oramai “lontano” 2013, rendendola più snella ed efficace e soprattutto concentrandone la responsabilità di governo all’interno del Dipartimento per le Informazioni e la Sicurezza (DIS). A valle dell’entrata in vigore di tale decreto, che peraltro al momento attuale non è ancora stato pubblicato in Gazzetta Ufficiale, sono attese ulteriori misure di adattamento della capacità difensiva e reattiva nazionale le quali necessitano di una legge per essere emanate: molto probabilmente il Governo le inserirà come pacchetto di misure aggiuntive all’interno della legge di recepimento della Direttiva NIS, cogliendo per così dire l’occasione per proporre un corpus unico di provvedimenti correlati. Tra di essi è prevista almeno la fusione in un’unica struttura degli attuali due CERT che presidiano lo spazio cibernetico nazionale di attinenza non militare, ossia il CERT Nazionale istituito presso il Ministero dello Sviluppo Economico e il CERT della Pubblica Amministrazione istituito presso l’Agenzia per l’Italia digitale.

Sempre a livello interno occorre invece citare la recentissima uscita in Gazzetta Ufficiale  (Serie Generale n. 79 del 4 aprile 2017) della Circolare AgID 17 marzo 2017, n. 1/2017, recante le attese “Misure minime di sicurezza ICT per le pubbliche amministrazioni”. Emesse dall’Agenzia per l’Italia Digitale nei suoi poteri di dettare “indirizzi, regole tecniche e linee  guida  in  materia  di sicurezza informatica”, anche in ottemperanza alla direttiva del 1° agosto 2015 del Presidente  del  Consiglio dei ministri che impone  l’adozione di  standard minimi di prevenzione e reazione ad eventi cibernetici, le Misure minime erano già state anticipate sui siti Web di AgID e del CERT-PA nel settembre 2016, dopo essere state approvate in seguito ad una lunga consultazione con le Pubbliche Amministrazioni ed il Nucleo di Sicurezza Cibernetica. Ora tuttavia, con la pubblicazione in Gazzetta, la loro adozione diviene formalmente obbligatoria per tutte le Pubbliche Amministrazioni, che hanno tempo fino al 31 dicembre per adottarne le prescrizioni. Da notare che le misure prevedono tre livelli di attuazione: quello minimo rappresenta la linea di base alla quale ogni amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere conforme; quello intermedio o standard rappresenta la situazione di riferimento per la maggior parte della amministrazioni; quello superiore rappresenta un optimum che dovrebbe essere adottato da tutte le amministrazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati) ma anche visto come obiettivo di miglioramento da parte di tutte le altre amministrazioni.

Meno rilevante dal punto di vista degli aspetti strettamente legati alla cybersecurity, ma non per questo meno impattante sulle aziende e le organizzazioni, è infine il nuovo Regolamento europeo per la protezione dei dati personali, in breve GDPR. Su di esso sono già stati spesi fiumi di inchiostro perché è il primo caso di norma comune europea sulla privacy. Come è noto, trattandosi di un regolamento e non di una direttiva, esso non richiede una legge nazionale per essere recepito, ed è quindi già in vigore in tutta l’UE sin dal momento della sua pubblicazione sulla Gazzetta Ufficiale dell’Unione. Sono tuttavia previsti due anni di tempo per consentire a tutti gli Stati membri di adottarne le prescrizioni, termini che scadranno (anche loro!) a maggio del 2018. Per quanto riguarda il nostro Paese, occorre considerare che l’Italia già possiede una normativa nazionale particolarmente stringente e concettualmente assai vicina all’impianto del GDPR, quindi la transizione alle nuove disposizioni non dovrebbe essere troppo onerosa per tutte le organizzazioni “virtuose” che già gestiscono la privacy a regola d’arte. È atteso comunque un pronunciamento ufficiale del Garante che faccia luce su quei (pochi) casi di ambiguità o conflitto tra le due norme, e dia indicazioni chiare in merito alle corrette modalità attuative. Tra le cose da sottolineare, in quanto misura di introduzione completamente nuova, va menzionato l’obbligo, a carico di chi chiunque gestisca dati personali altrui, di notificare alle competenti autorità ogni violazione degli stessi.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati