Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

le linee d'azione

Cyber sicurezza, le tre sfide per il nuovo Governo

Attuazione del Disegno di legge sul perimetro nazionale di sicurezza cibernetica; messa a sistema di tutti gli adempimenti NIS; supporto e direzione strategica a favore dei Centri di competenza. Ecco alcune tra le sfide che si pongono di fronte al nuovo esecutivo nella gestione della sicurezza cibernetica

11 Set 2019

Alessandro Bruttini

Associazione Italiana esperti in Infrastrutture Critiche

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Andrea Lucariello

Security Analyst and Privacy Consultant


Il nuovo esecutivo si trova ad affrontare diverse sfide, non solo squisitamente politiche ma anche in relazione alla sicurezza del sistema-Paese con particolare riferimento alla gestione della sicurezza cibernetica.

Si pone, infatti, la necessità di consolidare e mettere a sistema l’insieme dei diversi elementi sul tema rimasti in agenda dalla precedente esperienza di governo. Tra questi, vi sono alcune azioni che rivestono un ruolo particolarmente strategico per la sicurezza del nostro Paese e che possono, secondo noi, configurarsi come prioritarie:

Perimetro nazionale di sicurezza cibernetica

Il 19 luglio 2019 è stato approvato il disegno di legge in materia di perimetro di sicurezza nazionale cibernetica. Pubblicato il 12 luglio, l’obiettivo del disegno di legge è quello di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informativi delle amministrazioni pubbliche e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di funzioni essenziali per lo Stato (per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato) e dal cui malfunzionamento o interruzione, anche parziali, ovvero utilizzo improprio, potrebbe derivare un pregiudizio per la sicurezza nazionale.

Tale obiettivo strategico può declinarsi secondo una serie di linee di azione. Tra queste potrebbero essere considerate le seguenti:

  • L’individuazione dei soggetti pubblici e privati che rientrano nel perimetro cyber nonché la definizione dei criteri per assicurare l’innalzamento e l’armonizzazione della sicurezza delle reti, dei sistemi informativi e dei servizi informatici;
  • Il consolidamento dei ruoli e delle responsabilità nella gestione tecnica delle varie strutture che ad oggi sono incaricate della sicurezza cibernetica. A titolo di esempio, diventa fondamentale la piena operatività del Centro di valutazione e certificazione nazionale (CVCN) che, istituito presso il MISE, ha il compito di assicurare che i prodotti ICT utilizzati da attori con rilevanza strategica per il sistema-Paese rispondano a specifici requisiti di sicurezza. L’utilità primaria della valutazione/certificazione della Sicurezza di un sistema/prodotto è fornire una stima del livello di sicurezza secondo standard condivisi da tutti i soggetti coinvolti e di garantire che tale stima venga eseguita da una terza parte indipendente rispetto ai soggetti stessi;
  • La definizione delle modalità per assicurare il procurement di beni e servizi ICT sicuri ed affidabili destinati a essere impiegati sulle reti, sui sistemi e per i servizi rilevanti. L’esigenza, emersa già nel mese di maggio quando sono state sottoposte a consultazione pubblica le Linee guida specifiche di AGiD, necessita di una traduzione operativa per la standardizzazione di tutto il processo di approvvigionamento e per l’estensione delle garanzie relative alla cyber security alle supply chain;
  • L’istituzione di un sistema di vigilanza e controllo sul rispetto degli obblighi introdotti;
  • La definizione delle modalità di gestione e di notifica degli incidenti per i soggetti inclusi nel perimetro cyber, in ottemperanza anche alle esigenze derivanti da specifici obblighi normativi nazionali ed internazionali (come il GDPR e la NIS).

Direttiva NIS

In relazione ai principali adempimenti in ambito NIS, occorre mettere a regime un processo organico che coinvolga i diversi attori e comprenda tutti gli elementi funzionali alla gestione della cyber security nazionale. Tra le azioni da porre in essere in tale ottica risultano, a parere degli scriventi, rilevanti le seguenti:

  • Verifica dell’adozione, da parte degli OSE, delle Linee guida per la gestione dei rischi e la prevenzione e mitigazione degli incidenti. Tali Linee guida, basate sul Framework Nazionale per la Cyber Security, hanno l’obiettivo, da un lato, di fornire agli OSE indicazioni circa le azioni migliorative da porre in essere e, dall’altro, di dotare le Autorità competenti di uno strumento di valutazione della postura di sicurezza cibernetica dei relativi OSE;
  • Operatività dello CSIRT Italia in ottemperanza ai requisiti della NIS. Attraverso la sua completa operatività sarà possibile gestire le segnalazioni di attacchi e incidenti che possono colpire attori strategici del nostro Paese;
  • Valutazione dei possibili sviluppi in ambito NIS. In tal senso, potrebbe essere opportuno estendere il campo di applicazione della NIS ad altri OSE e a ulteriori settori, in particolare quello della Pubblica Amministrazione. Inoltre, per quanto concerne il settore delle comunicazioni, è interessante notare come oggi il quadro normativo sia composto da Direttive, decreti legislativi e decreti attuativi[1] il cui combinato disposto determina la piena rispondenza ai requisiti NIS e la armonizzazione nazionale dell’architettura di risposta.

I Centri di competenza

I Centri di competenza, strutture nate per guidare e promuovere l’innovazione tecnologica del nostro sistema-Paese attraverso il tessuto imprenditoriale, hanno definito i progetti e l’ambito di applicazione di cui ciascuno si fa promotore. Sono composti da una serie di organizzazioni, pubbliche e private, che concorrono alla realizzazione dei progetti in ambito Industria 4.0 e innovazione tecnologica in generale.

Tali incubatori di competenze dovranno interfacciarsi con il Ministero dello Sviluppo Economico, ente coinvolto nel finanziamento delle iniziative, che ha assunto il ruolo di coordinamento, verifica e controllo di tutti i progetti promossi dai Centri. In questo senso, i risultati dei lavori saranno, tra le altre cose, funzionali all’incremento del know-how nazionale anche in ambito di sicurezza.

Conclusioni

Le tre prospettive considerate rappresentano alcune tra le sfide che si pongono di fronte al nuovo esecutivo nella gestione della sicurezza cibernetica. Le linee di azione individuate – senza pretesa di esaustività e completezza – sono basate sull’idea che vadano ulteriormente rafforzati i presidi di sicurezza per fronteggiare la minaccia cyber attraverso diversi approcci, tra loro complementari. Tale percorso passa necessariamente per una visione eterogenea delle attività da porre in essere, in accordo con la complessità della materia, coinvolgendo aspetti legislativi, tecnici e organizzativi.

______________________________________________________________________

  1. A titolo di esempio si veda il D. Lgs. del 28 maggio 2012, n. 70 Modifiche al decreto legislativo 1° agosto 2003, n. 259, recante il codice delle comunicazioni elettroniche in attuazione delle direttive 2009/140/CE, in materia di reti e servizi di comunicazione elettronica, e 2009/136/CE in materia di trattamento dei dati personali e tutela della vita privata e i decreti succesivi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4