La cyber security nazionale fa sistema o almeno ci prova, con l’adunata nell’aula magna della Sapienza attorno alla direttiva NIS2 con l’intento di alzare il livello di cyber sicurezza del sistema Paese.
Il convegno (disponibile in streaming sul canale YouTube dell’Agenzia n.d.r.) ha rappresentato un momento di formazione e informazione per tutti gli stakeholder nazionali, ovvero gli attori del settore pubblico e privato, sulle responsabilità introdotte dalla normativa e sul percorso da intraprendere per una maggiore resilienza digitale del Paese.
La direttiva UE 2022/2555, infatti, pone obblighi di sicurezza a livello di reti e sistemi. Dalla sua entrata in vigore, 16 ottobre 2024, grazie al decreto legislativo che la recepisce (decreto NIS n. 138 del 4 settembre 2024), nessuno dei soggetti ricompresi nel perimetro della sua applicazione potrà sottrarsi, non adempiere o restare indietro nella roadmap cadenzata da passi incrementali costituiti dai futuri DPCM e determine attuative.
Indice degli argomenti
Cambiare la visione della sicurezza, il passo e la cultura
Se i recenti e meno recenti fatti di cronaca geopolitica (guerre e attacchi n.d.r.) possono concorrere a far considerare l’universo cyber come una “guerra fra le guerre” tanto che l’ambito civile interferisce con il contesto militare, contrariamente dal solito, allora si capisce l’intento di voler formare e informare sulla nuova relazione che la cyber security sta assumendo con il resto della “res pubblica”.
Il Direttore ACN, Bruno Frattasi, infatti, ha spiegato che “la direttiva NIS2 è un cambio di passo fondamentale. Ha sorpassato le debolezze intrinseche della prima direttiva NIS, e oggi si pone come base per una più alta capacità di protezione da esprimersi da parte di ogni paese della UE. La sicurezza informatica compulsa la sicurezza nazionale e se dalla legge 105/2019 era già cominciata la protezione del perimetro digitale italiano, oggi la coppia NIS2 e legge Perimetro sono i capisaldi generali della resilienza e sicurezza del paese”.
Frattasi ha aggiunto: “Nessuno può chiamarsi fuori, perché anche i soggetti esclusi dalla NIS2 devono raggiungere un adeguato livello di sicurezza e misure equivalenti di protezione ai rischi. Ci si vuole rivolgere al mondo pubblico e privato non solo per una valenza tecnica della NIS2 ma per il cambio di registro dello scenario di riferimento in materia di sicurezza informatica”.
Un cambio di passo sottolineato anche da Alfredo Mantovano, sottosegretario di stato alla PDCM e autorità delegata per la sicurezza della repubblica, secondo cui: “Il cambio di passo ha il sapore di una svolta culturale necessaria, perché la scarsità di competenze cyber è il secondo maggior motivo di costi da incidenti cyber, a maggior ragione, se si pensa ai danni su infrastrutture critiche e ricorda ambito sanitario”.
Fa eco Nunzia Ciardi, Vice Direttore ACN, che chiede di “investire in cultura, formazione e consapevolezza perché occorre un’azione di livello ‘porta a porta’ per divulgare la sicurezza, insieme allo sviluppo dei processi, non guardando solo alla tecnologia ” e come esempio di tale esigenza di preparazione, si può guardare all’ambito della sanità che insieme al settore educazione è bersagliata di attacchi (fonte rapporto OAD 2024 della Associazione Italiana Professionisti Sicurezza Informatica AIPSI).
L’elemento di vero cambio è però la responsabilità di ciascuno e su questo la Vicedirettrice punta l’attenzione: “la sicurezza è uno sforzo collettivo per una democrazia digitale che sia la somma della responsabilità di ciascuno. Ognuno è interprete di una quota di cyber sicurezza, sia come osservanza delle regole che come opportunità. I concetti di sicurezza informatica devono essere metabolizzati, ma è questo l’unico livello di consapevolezza da dover raggiungere”.
Diritti e doveri della cyber security nazionale: fasi della NIS2
A partire dal prossimo primo dicembre è resa disponibile la nuova piattaforma di registrazione sul sito ACN (pulsante Accedi al portale servizi) e tutti i soggetti cui si applica la NIS2 dovranno manifestarsi all’Autorità nazionale competente NIS2 procedendo alla loro registrazione fino al 28 febbraio, data di deadline.
La dott.ssa Milena Antonella Rizzi, capo del servizio regolazione ha spiegato i passaggi del processo di registrazione e l’importanza di rendere sostenibili gli obblighi per i soggetti essenziali e importanti anche grazie al principio di proporzionalità degli obblighi distinti per tipologia di soggetto NIS.
Bruno Frattasi ha chiarito che “la piattaforma rappresenta l’asset digitale che consentirà il dialogo tra l’Agenzia e i soggetti NIS. Attraverso questa piattaforma sono offerti orientamento e supporto perché la definizione della platea NIS segue un processo bottom-up, dal basso verso l’alto grazie al quale si verifica una emersione della platea dei soggetti NIS basata su regole chiare e strumenti affidabili, ma anche sulla collaborazione reciproca”.
In relazione agli obblighi di notifica degli incidenti Gianluca Galasso, Capo del Servizio Operazioni e gestione delle crisi cyber di ACN, ha suggerito che “per segnalare incidenti presso le aziende è necessario, avere soggetti che siano capaci di comprendere il fenomeno accaduto e sappiano seguire le modalità di notifica”.
La strada tracciata dalla NIS2 prevede una prima fase attuativa già iniziata e che arriverà fino ad aprile 2025 non solo per il censimento dei soggetti NIS, ma anche per la formalizzazione e l’elaborazione degli obblighi di base.
Una seconda fase attuativa, fino a metà aprile 2026, riguarderà l’implementazione e il monitoraggio degli obblighi di base, fra cui i termini della notifica incidenti e l’elaborazione degli obblighi a lungo termine.
Infine, la terza fase attuativa successiva ad aprile 2026 sarà centrata sul completamento degli obblighi di base e sulla implementazione degli obblighi a lungo termine. Ogni step attuativo sarà regolato da un DPCM o da una determina esplicativa dei dettagli.
Ad esempio, nel caso dei dieci ambiti di applicazione delle misure di sicurezza, saranno specificati e resi coerenti con le misure indicate nella legge Perimetro e con l’approccio del framework nazionale della Cybersecurity.
La voce (preoccupata) delle associazioni professionali
Le associazioni di professionisti e aziende alla luce della NIS2 e della prospettiva di compliance esprimono pareri contrastanti: dalla preoccupazione all’offerta di collaborazione, dal terrore, alla completa disponibilità per ogni esigenza di attuazione.
È Paola Generali, presidente di Assintel, la prima a parlare delle difficoltà di chi supporta e di chi deve osservare i regolamenti nell’ambito PMI. Spiega infatti che “implementare è difficile a causa del mindset diffuso fra le piccole e medie imprese. La percezione è quella di una imposizione. Il principale e immediato approccio passa per un audit tecnico che funzioni da checkup ma subito a seguire si presenta un problema di costi e di competenze per fare quanto necessario”.
La proposta suggerita da Assintel sta in una compliance finanziata per le azione PMI, piuttosto che farla apparire come una addendum alle cose da fare. “Supportare le PMI significa aiutarle anche economicamente”, conclude la Generali.
Associso, per voce del suo presidente Yuri Rassega, richiede di “ascoltare chi è in trincea occupandosi di quelle persone che poi scaricano a terra sui sistemi”.
Dello stesso parere AIPSA che, con il suo presidente Alessandro Manfredini, sostiene una “sicurezza partecipata e non delegabile, perché ognuno di noi deve fare il suo compito. I tavoli di lavoro tecnici un ottimo modo per incubare idee e scambiare e condividere, prima del disegno della misura tecnica attuativa”. L’auspicio rivolto da ACN è quello di “trovare momenti di condivisione per sostenere le aziende e un servizio al Paese”.
È dall’AIAD che arriva “un sentimento di diffuso terrore” per voce del suo presidente Giuseppe Cossiga, che sottolinea anche alcune stranezze legate al ‘manchismo’: “alcune aziende e soggetti mancano dalla lista dei soggetti NIS ma devono ottemperare lo stesso; mancano inoltre le risorse finanziare per la PA e il sostegno ai privati del tutto assenti anche nel DDL Cybersicurezza” (attualmente legge 90 del 2024 n.d.r.).
Il presidente di AIAD sottolinea, inoltre, la preoccupazione legata ai temi di sovranità nazionale: “colpisce la soluzione adottata per i Paesi la cui industria dovrebbe assicurare la cyber sicurezza nazionale italiana. Oltre all’industria nazionale e a quella europea si è scelto di estendere non soltanto ai Paesi Nato ma anche a quelli che hanno accordi con la Nato. In buona sostanza allargare eccessivamente il campo suscita perplessità di non poco conto in ordine al perseguimento, già di per sé complesso, di una sovranità paritetica condivisa”.
Infine, Anitec assinform, per voce del suo vice presidente Gianmatteo Manghi, vede con favore alla NIS2 per “interessare l’intera filiera produttive su tre obiettivi: tecnologie nativamente sicure, sviluppare le competenze x la sicurezza e i processi come elementi fondamentali attuativi”, dichiarandosi “a disposizione per collaborare alla applicazione della NIS2 e renderla efficace ed efficiente”.
Osservazioni finali
Nonostante l’esigenza e la disponibilità a cooperare, non vi è garanzia di successo se non si concordano alcuni elementi specifici.
Alcuni esempi a seguire rappresentano casistiche sui cui dettagli si giocherà la partita dell’efficacia dell’attuazione NIS2:
- Le attività di registrazione dei soggetti NIS richiedono un accesso mediante identificazione certa del soggetto che opera come punto di contatto, che per effettuare dichiarazioni per conto della propria entità deve essere in possesso di deleghe esplicite ma deve anche capire cosa sta dichiarando. Questa caratterizzazione del punto di contatto, non è immediatamente nativo per tutte le organizzazioni: la delega estesa, potrebbe essere in contrasto con le politiche di ‘segregation of duties’ (SOD) e con le logiche del ‘Need to know’ che nelle grandi organizzazioni sono normali prassi di security. Inoltre, non tutte le aziende hanno una organizzazione dei ruoli e responsabilità perfettamente definite con deleghe esplicite e talvolta i soggetti di security sono innestati in strutture IT che hanno obiettivi e commitment diversi.
- La numerosa e annunciata emissione di determine e DPCM attuativi dalla NIS2, come anche l’importante normazione Europea per la Digital Europe richiedono di seguire costantemente ogni nuovo atto in uscita: attività necessaria, ma che richiede tempo. Ecco perché da qualche tempo, da più voci delle associazioni di professionisti della security è sorta la richiesta/esigenza di trasformare la copiosa quantità di normative, in un testo unico sulla cyber security e i suoi obblighi, esattamente come si fa per la normativa sulla sicurezza sul lavoro, che tra l’altro condivide con il modello della cyber security alcuni elementi fondanti: modello attuativo basato sul profilo di rischio, la notifica di incidenti, la a formazione preventiva.
- Se è vero che per ogni ambito tecnico è necessario avere personale aziendale in grado di capirlo e attuarlo garantendo compliance ma anche efficacia operativa (notifiche incidenti, compilazione rapporti), allora è da osservare che raramente le PMI hanno figure di questo tipo e spesso accade anche le medie imprese che non assumono personale interno preposto alla sicurezza, per contenere i costi. Ma una possibile soluzione in questo caso potrebbe essere il ricorso a figure di intermediario della sicurezza (prese in outsourcing o consulenziali o previste presso entità territoriali come servizio dell’associazione) che possano supportare la raccolta dei dati, la compilazione dei documenti, esattamente come il pubblico ufficiale di Polizia e Carabinieri raccoglie le denunce presso gli uffici e le questure nazionali.
