La sicurezza informatica è attualmente nell’occhio del ciclone: mentre gli attacchi crescono in numero e severità, l’Unione Europea aggiorna continuamente il quadro normativo per difendere informazioni e risorse critiche. Gli Stati membri sono chiamati ad adeguare il proprio sistema giuridico alle nuove direttive e l’Italia ha consolidato un piano strategico concreto, ora da finalizzare sul fronte operativo.
Luigi Martino, professore di cyber security presso l’Università di Firenze, offre un’analisi accurata sul contesto legislativo nazionale in materia di sicurezza ICT, evidenziando le dipendenze dalla cornice UE e le possibili zone di miglioramento.
Cyber security: le migliori quattro tecnologie che funzionano contro il cyber crime
Indice degli argomenti
Le prime iniziative italiane in materia di cyber sicurezza
Le considerazioni del docente partono con un excursus doveroso sull’evoluzione normativa degli ultimi anni.
«L’Italia – esordisce Martino – ha maturato una consapevolezza nell’ambito della cybersecurity a partire dal 2008, quando viene costituito il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic), anche se già operante dal 2005. L’impulso era partito dalla direttiva ECI (European Critical Infrastructure), che evidenziava la necessità di proteggere le infrastrutture critiche dal punto di vista fisico (data la recrudescenza degli attacchi terroristici) ma anche informatico. Da qui, tutti gli Stati membri hanno iniziato a implementare degli organismi dedicati alla cyber security nazionale».
Nel 2013 l’Unione Europea approva la prima Cybersecurity Strategy e anche la Nato (North Atlantic Treaty Organization) spinge perché gli Stati membri si dotino di un framework dedicato alla sicurezza informatica.
«Sulla spinta dei nuovi input – prosegue Martino -, il Decreto Monti dota l’Italia della prima architettura nazionale per la sicurezza informatica. Nel 2015 la direttiva Renzi mette ordine all’architettura e, come il precedente decreto, inserisce il tema della cyber security nel più ampio contesto della sicurezza nazionale, da affrontare sotto la prerogativa della Presidenza del Consiglio dei Ministri».
Nel 2017 il Decreto Gentiloni implementa le indicazioni della direttiva Renzi, ma introduce una novità: le competenze strategiche in materia di cyber security rimangono alla Presidenza del Consiglio dei Ministri, mentre le competenze operative passano ai servizi di intelligence, dove viene nominato un vice direttore ad hoc per la cyber security all’interno del Dipartimento delle informazioni per la sicurezza (Dis).
«Il Decreto Gentiloni – commenta Martino – è stato concepito sull’onda della direttiva europea NIS, ovvero Network and Information Security, discussa a partire dal 2016 e ufficialmente implementata nel 2018. Tuttavia, mostra subito i suoi limiti, soprattutto per il ruolo affidato ai servizi segreti. Occuparsi di sicurezza informatica infatti cozzava con la normale missione dell’Intelligence, che ha il compito di raccogliere e custodire informazioni segrete, mentre la condivisione della conoscenza è alla base di una cyber security matura».
Perimetro di sicurezza nazionale e certificazioni tecnologiche
Nasce quindi l’esigenza di creare un quadro normativo efficace per proteggere gli operatori di servizi essenziali e con il Decreto Legge 113/2019 viene istituito il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), con l’obiettivo di elevare la security dei sistemi Ict per le pubbliche amministrazioni e alcune imprese private selezionate.
«Lo scopo – sottolinea Martino – era allargare il numero dei soggetti da includere nel perimetro. La direttiva europea NIS permetteva infatti ai singoli Stati membri di ampliare l’alveo degli operatori perimetrati a seconda delle esigenze nazionali. Tuttavia, nell’atto del recepimento nel 2018, l’Italia si è limitata a trasporre il testo approvato a Bruxelles nel proprio ordinamento giuridico, senza apportare modifiche e perdendo così una grande occasione».
Il senso del perimetro, come evidenzia Martino, è infatti creare una community, portare avanti il concetto di sicurezza condivisa e individuare i soggetti vulnerabili all’interno del nostro sistema Paese, sotto il profilo economico, sociale, politico e così via. L’istituzione competente per la difesa informatica può quindi interfacciarsi direttamente con le aziende perimetrate, ma anche fornire loro indicazioni, metodologie e strumenti per migliorare i livelli di sicurezza.
«Tra le novità introdotte – continua Martino -, la legge prevede una sorta di supply chain certification, già abbozzata dal Decreto Gentiloni, con l’istituzione del Centro di Valutazione e Certificazione Nazionale (CVCN). Viene definito per la prima volta il concetto di screening tecnologico, che impone ai soggetti perimetrati, pubblici o privati, l’obbligo di comunicare alle autorità competenti qualsiasi iniziativa di procurement relativa a tecnologie sensibili (hardware, software o servizi). Le aziende devono dichiarare la lista dei fornitori selezionati ed effettuare una verifica sulle soluzioni scelte così da limitare l’introduzione di vulnerabilità (accidentali o volute) all’interno dei sistemi».
Martino segnala inoltre un ultimo salto di qualità da un punto di vista della governance nazionale in materia di cyber security: l’istituzione nel 2021 dell’Agenzia per la Cybersicurezza Nazionale, che assorbe le prerogative in materia di cyber security prima affidate da un punto di vista operativo ai servizi di intelligence e sparse tra vari altri soggetti istituzionali. L’Agenzia attualmente incorpora e gestisce anche il CVCN e accentra, in qualità di Autorità Nazionale, le attività di cyber security e cyber resilience.
Perimetro cyber, operativo il processo di certificazione: quali implicazioni
Vantaggi e limiti del processo certificatorio
Se il quadro legislativo italiano in materia di cybersecurity sta prendendo finalmente forma, rimangono ancora alcune zone d’ombra. Innanzitutto, non bisogna dimenticare che, nonostante possa muoversi in autonomia, l’Italia resta ancorata a un coordinamento superiore in mano all’Unione Europea.
«Oggi – puntualizza Martino – gli impatti principali derivanti dalle attività in ambito europeo sono essenzialmente legati all’EU cybersecurity certification framework per fornire un quadro certificatorio condiviso, basato essenzialmente sui Common Criteria, lo standard internazionale per la valutazione della sicurezza It. Allo stesso tempo, un impatto molto importante sarà prodotto dal Digital Operational Resilience Act (DORA) relativo agli aspetti finanziari ma che avrà ricadute in vari ambiti trasversali. Sul fronte italiano, ciò che andrebbe implementato è un processo di chiarimento su cosa si intende per screening tecnologico. Quanto deve essere intrusivo? Ad esempio, per valutare l’affidabilità di un software che un soggetto perimetrato intende acquistare, basta effettuare verifiche a livello operativo a valle dell’implementazione oppure bisogna avere accesso al codice sorgente per verificarne la bontà? Aprire il codice a enti terzi significa mettere a rischio la proprietà intellettuale, con potenziali ricadute sulla competitività».
Un’altra questione spinosa riguarda gli asset già presenti all’interno delle pubbliche amministrazioni o delle aziende private soggette a perimetro: andrebbero tutti certificati? Come possono essere aggiornati per soddisfare i nuovi criteri?
«Quando si discute di certificazione – rimarca Martino -, ci sono limiti importanti che andrebbero affrontati. Non ultimo, ad esempio, si dovrà chiarire a quale soggetto imputare i costi dello screening tecnologico. C’è inoltre un problema di capacità: detenere o meno la certificazione, pur non essendo obbligatoria, avrà un effetto discrimine sulla scelta dei fornitori e quindi ci saranno dei pericoli di distorsione di mercato a danno essenzialmente degli operatori più piccoli, che in molti casi rappresentano anche dei campioni nazionali in termini di qualità. Allo stesso tempo si apre un fronte rilevante sui nuovi laboratori specializzati e bisognerà capire come poterli sovvenzionare. Le grandi organizzazioni non hanno difficoltà di spesa e alcune stanno già investendo in laboratori interni per eseguire attività di pre-screening. La questione rimane aperta invece per le piccole e medie imprese. Si potrebbe sperare negli incentivi sotto forma di sgravi fiscali o credito di imposta, previsti dal Governo per chi investe in sicurezza informatica».
Nonostante rimangano da chiarire alcuni interrogativi, l’Italia ha comunque approvato una strategia di cyber security, con un piano di implementazione da seguire. «Insomma – conclude Martino -, stiamo facendo bene a livello istituzionale e dobbiamo ora lavorare sul fronte operativo. Ad esempio, sebbene al momento non ci siano risposte ai quesiti sopra esposti, l’Agenzia di Cybersicurezza Nazionale (ACN) potrebbe dare un aiuto anche fornendo una lista di FAQ (Frequently Asked Questions). L’elenco di domande e risposte, infatti, supporterebbe le pubbliche amministrazioni, le imprese private perimetrate, i fornitori di tecnologia e gli altri soggetti coinvolti nel processo di certificazione nel capire cosa e come devono fare per essere in linea con un quadro normativo dinamico».
Contributo editoriale sviluppato in collaborazione con Huawei Italia
