Tra i numerosi effetti del conflitto in atto tra Russia e Ucraina deve essere senz’altro annoverato anche quello di aver posto l’accento sull’importanza della sicurezza cibernetica delle infrastrutture che erogano un servizio essenziale. Infatti, la crescente preoccupazione di azioni ostili attraverso il cyberspazio ha spinto alcuni tra i più importanti attori nazionali e sovranazionali ad accelerare l’adozione di misure elevate tese ad incrementare i livelli di cyber security dei propri processi critici.
Un esempio su tutti è la progressiva realizzazione, da parte degli Stati Uniti, di normative volte a tutelare le proprie infrastrutture critiche (si vedano, le iniziative finalizzate a proteggerle da attacchi alla supply chain, così come la proposta di regole per gestire e minimizzare gli incidenti informatici segnalati dalle società pubbliche della Securities and Exchange Commission – SEC).
Anche l’Unione europea non è rimasta a guardare e, recentemente, ha pubblicato una bozza di Regolamento volto proprio a innalzare i livelli di sicurezza cibernetica delle proprie istituzioni, organi e agenzie, attraverso l’incremento della resilienza dei sistemi e delle capacità di risposta agli attacchi cyber.
Un decreto per la sovranità tecnologica anche nella cyber: le mosse di Italia ed Europa
Indice degli argomenti
Genesi della bozza di Regolamento UE sulla cyber security
La proposta normativa trova il proprio fondamento nella presa di coscienza della crescita esponenziale degli incidenti informatici significativi subiti dai destinatari del Regolamento.
Nel merito, secondo quanto emerso dalle analisi condotte dal CERT-EU, il Computer Emergency Response Team dell’Unione europea, questi sono rappresentati principalmente da attori cosiddetti APT (Advanced Persistent Threat), ovvero soggetti dotati di capacità tecniche di alto profilo, spesso riconducibili a Stati o sponsorizzati da essi, che effettuano attacchi mirati e persistenti.
In particolare, il CERT-EU ha rilevato come, nella sola prima metà del 2021, si siano verificati tanti incidenti significativi quanti in tutto il 2020, confermando, peraltro, il trend registrato negli scorsi anni, che ha visto nel 2020 il triplicarsi degli attacchi cyber rispetto al 2019.
Laddove la bozza di Regolamento fosse approvata con il testo attuale, tra le principali attività che le istituzioni, gli organi e le agenzie europee dovranno porre in essere per fronteggiare l’incremento degli attacchi cibernetici, vi è l’implementazione della cosiddetta “base di riferimento per la cibersicurezza”, ossia di una serie di norme minime in materia di cyber security alle quali i sistemi informatici e di rete, oltre che i relativi operatori e utenti, dovranno conformarsi per ridurre al minimo questo genere di rischi.
Gestione, governance e controllo dei rischi cyber
Essa deve essere approvata dal livello dirigenziale più elevato di ogni istituzione, organo e agenzia dell’Unione e deve essere finalizzata a gestire i rischi di cyber security che ciascun soggetto avrà precedentemente individuato attraverso un ulteriore adempimento chiave nella visione del legislatore europeo, ovvero il “quadro interno di gestione, governance e controllo”. Tale quadro, infatti, dovrà essere stabilito da ogni istituzione, organo e agenzia dell’Unione europea, in raccordo con la propria missione ed esercitando la propria autonomia istituzionale.
Esso dovrà tener conto della totalità dell’ambiente informatico dell’istituzione, dell’organo o dell’agenzia interessati, compresi ogni ambiente informatico in loco, le risorse e i servizi esternalizzati in ambienti di cloud computing od ospitati da terzi, i dispositivi mobili, le reti interne, le reti professionali non connesse a Internet e qualsiasi dispositivo connesso all’ambiente informatico.
Il quadro, inoltre, dovrà contemplare anche gli aspetti legati alla continuità operativa e alla gestione delle crisi, prendendo in considerazione la sicurezza della catena di approvvigionamento, come pure la gestione dei rischi umani che potrebbero avere ripercussioni sulla cibersicurezza dell’istituzione, organo o agenzia dell’Unione europea.
Raggiungere un comune livello di sicurezza cibernetica
Tale approccio appare fin da ora funzionale a soddisfare due esigenze diverse. La prima, legata alla necessità di raggiungere un livello comune elevato di sicurezza cibernetica nelle istituzioni europee, riducendo l’attuale disomogeneità soprattutto legata agli aspetti di resilienza dei sistemi informatici e delle reti.
Infatti, come emerge finanche dalle parole della stessa Commissione europea, la disomogeneità riscontrata a seguito dell’analisi delle organizzazioni di cyber security dei destinatari del Regolamento rappresenta una delle principali criticità, nonché un ostacolo ad un’amministrazione europea aperta, efficiente e indipendente.
Inoltre, sempre la Commissione ha evidenziato che, senza un approccio comune, la sicurezza informatica continuerebbe a svilupparsi lungo direttrici tra loro divergenti, non consentendo, così, il raggiungimento di un livello comune elevato.
La seconda esigenza riscontrabile, invece, emerge con forza dalla lettura del considerando 7 dell’attuale bozza, il quale pone l’accento sulla necessità di non trascurare le peculiarità di ciascuna entità destinataria del Regolamento.
Infatti, appare evidente come le differenze tra le istituzioni, gli organi e le agenzie dell’Unione europea richiedano flessibilità nell’attuazione delle disposizioni normative, poiché – com’è noto – “one size will not fit all” (non esiste una soluzione unica per tutti).
Nella bozza in analisi, quindi, ciò si traduce nella possibilità per i destinatari di individuare un proprio quadro di gestione, governance e controllo del rischio di cyber security a seconda, appunto, delle specifiche esigenze riscontrate e analizzate.
Le novità del Regolamento sul piano istituzionale
Ulteriori elementi di novità che emergono dalla bozza del Regolamento si possono rinvenire sul piano istituzionale. In particolare, esso prevede la creazione di un Comitato Interistituzionale per la Cibersicurezza, con i compiti di monitorare l’implementazione del regolamento, vigilare sull’attuazione delle priorità e degli obiettivi generali da parte del CERT-EU ed imprimergli una direzione strategica.
Inoltre, proprio il CERT-EU acquisirà un ruolo ancora più centrale nel sistema di sicurezza cyber europeo. Infatti, proprio a questo verranno attribuiti nuovi compiti a supporto delle istituzioni, degli organi e delle agenzie europee, tra cui quello di riferire in merito alle minacce informatiche a cui questi soggetti saranno esposti e di contribuire all’unità congiunta per il ciberspazio, laddove sia realizzata.
Quest’ultima nasce da una raccomandazione della Commissione che ha suggerito di valutare la creazione di tale struttura al fine di fronteggiare l’aumento del numero di incidenti di cyber security gravi che colpiscono i servizi pubblici e la vita delle imprese e dei cittadini in tutta l’Unione europea, consentendo, così, un’integrazione della risposta coordinata dell’UE agli incidenti e alle crisi di cibersicurezza su vasta scala. Il CERT-EU contribuirebbe all’unità congiunta per il ciberspazio inter alia, per:
- la preparazione, il coordinamento in caso di incidente, lo scambio di informazioni e risposta alle crisi a livello tecnico relativamente a casi collegati alle istituzioni, agli organi e alle agenzie dell’Unione;
- la cooperazione operativa per quanto riguarda la rete dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) e per l’assistenza reciproca;
- l’attività di intelligence relativa alle minacce informatiche.
I doveri a carico di istituzioni, organi e agenzie UE
Infine, in aggiunta a quanto sopra, di notevole rilievo è anche l’introduzione di un dovere a carico di istituzioni, organi e agenzie europee di notifica al CERT-EU delle minacce informatiche, delle vulnerabilità, nonché degli incidenti significativi senza ingiustificato ritardo e, in ogni caso, non oltre 24 ore dopo esserne venuti a conoscenza.
Tale obbligo presenta profili in comune con quanto richiesto a livello europeo, attraverso la Direttiva NIS, agli operatori di servizi essenziali e a livello nazionale dalla normativa sul Perimetro di Sicurezza Nazionale Cibernetica, che, in maniera analoga, stabiliscono un dovere di comunicazione degli incidenti, prevedendo, però, nel caso del cosiddetto “Perimetro cyber”, tempistiche estremamente più stringenti (1 o 6 ore).
Conclusione
Appare evidente come siano sempre più numerosi gli attori europei e internazionali che, a fronte di un incremento delle attività ostili attraverso il cyberspazio, stiano provvedendo a tutelare i propri servizi e le funzioni essenziali attraverso l’incremento dei livelli di sicurezza cibernetica.
Ciò pare avvenire, peraltro, lungo delle direttrici di azione che convergono tra tutti i principali attori esaminati sia a livello nazionale, che europeo e internazionale, come, ad esempio, l’implementazione di misure di sicurezza comuni, la creazione di istituzioni che fungano da punto di contatto unico, l’introduzione di stringenti obblighi di notifica sugli incidenti subiti, fino alla formazione specifica di settore.
Un allineamento che – si spera – già nel breve periodo potrà porre le basi per un futuro ecosistema digitale delle istituzioni più sicuro, efficace e resiliente.
