NUOVE REGOLE

Cybersecurity Officer, così la sicurezza entra nei porti USA: quali impatti sul Codice ISPS

La Guardia Costiera USA introduce una proposta di rafforzamento delle misure di cyber security di navi e impianti portuali. Lo fa con la figura del Cybersecurity Officer (CySO), responsabile della redazione e applicazione del piano di cyber dell’impianto portuale. Scenari di aggiornamento e convergenza nell’evoluzione della normativa IMO

Pubblicato il 28 giu 2024

Giovanni Campanale

Security Manager, Data Protection Officer e Formatore

Cybersecurity Officer sicurezza porti americani

Il primo trimestre 2024 è stato un periodo piuttosto interessante per l’Amministrazione Biden, in materia di cyber security nei porti e negli impianti portuali.

In questo senso, si parte il 21 febbraio 2024 con l’emanazione da parte della Presidenza americana, di un ordine esecutivo (executive order n. 14006) sulla modifica dei regolamenti relativi alla salvaguardia di navi, porti e strutture sul litorale marittimo degli Stati Uniti.

Con questo provvedimento si procede, sostanzialmente, ad una serie di emendamenti del Titolo 33, “Navigation and Navigable Waters”, Part 6, “Protection and Security of Vessels, Harbors, and Waterfront Facilities”, del Code of Federal Regulations (testo normativo composto di 50 titoli corrispondenti ad altrettante aree di regolamentazione del governo federale, da intendersi come una raccolta strutturata di norme e regolamenti di diritto pubblico, emessi dalle agenzie governative e dall’ufficio del Presidente, e soggetto ad aggiornamento annuale), con la premessa che, “la sicurezza degli Stati Uniti è messa in pericolo a causa di disturbi nelle relazioni internazionali, riconducibili a campagne informatiche dannose, persistenti e sempre più sofisticate contro gli Stati Uniti stessi, e che tali disturbi continuano a mettere in pericolo tali relazioni”.

Il provvedimento indicato garantisce, quindi, ulteriormente la protezione e la sicurezza di navi, porti e strutture sul litorale, con specifico riferimento alle minacce informatiche.

In particolare, viene riconosciuto al Comandante del Porto nell’ambito della propria Direzione Marittima, la facoltà di rispondere ad eventuali attività informatiche malevole, stabilendo zone di sicurezza[1] specifiche, controllando il movimento delle navi che presentano una minaccia informatica nota o sospetta[2], e mantenendo il potere di visita sulle navi e strutture del litorale[3], unitamente al riconoscimento del dovere di segnalare attività riconducibili a incidenti informatici[4].

Cyber risk management per porti e impianti portuali ISPS: regole per la valutazione del rischio

Indice degli argomenti

La cyber security nel Maritime Transportation System americano

Nel segno della continuità, rispetto a quanto indicato sopra, assume rilievo la pubblicazione lo scorso 22 febbraio 2024 di una Notice of Proposed Rulemaking (NPRM)[5] emessa dalla United States Coast Guard, in qualità di agenzia federale governativa, ed avente ad oggetto una proposta di aggiornamento delle proprie norme sulla sicurezza marittima, attraverso l’integrazione con requisiti minimi di security informatica per le navi battenti bandiera USA, e le infrastrutture USA[6] soggette all’applicazione del Maritime Transportation Security Act del 2002.

L’ambito di applicabilità generale della proposta esclude coerentemente le navi battenti bandiera straniera[7], poiché “Cyber regulations for foreign-flagged vessels under domestic law may create unintended consequences with the ongoing and future diplomatic efforts to address maritime cybersecurity in the international arena”.

In sintesi, la proposta integrativa della USCG si pone quale obiettivo primario, la salvaguardia del sistema di trasporto marittimo interno (MTS) dalle minacce attuali ed emergenti associate alla security informatica, attraverso l’introduzione di requisiti minimi di sicurezza da collocarsi nella parte 101, Subchapter H “Maritime Security”, del Titolo 33 del Code of Federal Regulations (CFR), al fine di rilevare, rispondere e ripristinare i processi colpiti dagli scenari di minaccia di cyber security, che potrebbero causare incidenti nel settore dei trasporti.

Elementi rilevanti della proposta di aggiornamento del MTS

In questo senso, i requisiti minimi di sicurezza informatica proposti per le navi ed infrastrutture portuali USA, nell’ambito della proposta di aggiornamento, sono costituiti in via principale dalle seguenti sezioni[8], che vediamo nello specifico:

Applicabilità
Definizioni
Proprietario o Gestore
CyberSecurity Officer
Cybersecurity Plan e Cybersecurity Assessment
Drills ed Exercises
Cybersecurity training e audit annuali sul Cybersecurity Plan

Applicabilità

Assume rilievo il seguente passaggio della proposta di modifica: “U.S. Mobile Offshore Drilling Units (MODUs), cargo vessels, or passenger vessels subject to the International Convention for Safety of Life at Sea, 1974, (SOLAS), Chapter XI-1 or Chapter XI-2”.

Con questo, si estende l’applicabilità della proposta normativa indicata alle navi passeggeri, ricadenti nell’applicazione del Capitolo XI – 2 della SOLAS e dunque del Codice ISPS. Rispetto invece alle facilities, e dunque agli impianti portuali, l’applicabilità è riferita all’elencazione di cui al Titolo 33, Capitolo 1, Subcapitolo H, Parte 105, Sub. A, par. 105.105, e nella quale si fa riferimento a, “Facility that receives vessels subject to the International Convention for Safety of Life at Sea, 1974, chapter XI”.

Trovo utile precisare come nel caso delle facilities, parrebbe non essere precisato (come fatto invece per i passenger vessels) l’assoggettamento altresì alla disciplina di cui al Capitolo XI – 2 SOLAS, relativamente agli elementi di port e maritime security, successivamente espressi nel collegato Codice ISPS.

Diversamente argomentando, verrebbe a mancare la corrispondenza tra nave sottoposta al Capitolo XI – 2 SOLAS ed impianto portuale ricevente, che dovrà necessariamente ricollegarsi alla disciplina indicata.

Definizioni

Le definzioni aggiuntive proposte vanno nell’ottica di integrare la temrinologia di port e maritime security (intesa come security fisica) contenute nel Titolo 33, Capitolo 1, Sucapitolo H, parte 101 del Code of Federal Regulations e laddove ritroviamo definizioni “familiari”[9] per forma e contenuto, rispetto a quanto parallelamente definito nel Capitolo XI – 2 SOLAS (Regola 1, Definizioni) e nel Codice ISPS, Parte A.

Questa sezione elenca, dunque, nuove definizioni relative alla cybersecurity, che la Guardia Costiera propone di includere nel Titolo 33 CFR.

Proprietario o gestore

Questo elemento pone elementi di forte interesse, poiché si richiede che il proprietario o gestore di una facility nazionale (USA nel caso di specie) (a livello nazionale italiano potrebbe essere associato al concessionario di un ipotetico impianto portuale ex Legge 84/94), provveda a nominare, “qualified personnel to develop a Cybersecurity Plan and ensure the Cybersecurity Plan incorporates detailed preparation, prevention, and response activities for cybersecurity threats and vulnerabilities”.

In particolare, il gestore della facility dovrà provvedere a:

Nominare un CySO (o CyberSecurity Officer). Nomina che deve avvenire per iscritto ed indicando i dati per rintracciare la persona in permanenza e la cui principale funzione è la redazione del Cybersecurity Plan, assicurandone l’attuazione ed il rispetto[10].
Assicurare che sia redatto un Cybersecurity Assessment a cadenza annuale.
Assicurare che sia redatto e sviluppato un Cybersecurity Plan[11], che sia successivamente sottoposto alla Guardia Costiera in approvazione (o Autorità Designata facendo un collegamento con il Codice ISPS), sia come documento separato o allegato ad un Facility Security Plan (o Port Facility Security Plan nell’ambito del Codice ISPS) o Vessel Security Plan (o Ship Security Plan nell’ambito del Codice ISPS).
Rapportare eventuali incidenti di cybersecurity alle autorità competenti.
Eseguire un drill ogni tre mesi su singoli elementi del Cybersecurity Plan, ed ogni 18 mesi procedere ad eseguire un exercise[12] (addestramento) inteso come un’esercitazione complessa, coinvolgente più elementi del Cybersecurity Plan, anche in combinazione con altri piani di security.

Conclusioni

La proposta integrativa è molto ampia ed articolata e di fatto disegna un sistema di gestione della cyber security nell’ambito marittimo e portuale americano (lato nave e impianto portuale), che nella sua struttura di fondo richiama in più occasioni gli elementi costitutivi del Codice ISPS[13].

La centralità del ruolo riconosciuto in capo al Cybersecurity Officer (CySo), unitamente agli obblighi posti in capo ad esso (redazione ed applicazione di un Cybersecurity Plan sulla base di un Cybersecurity Assessmet, unitamente agli obblighi di esercitazioni, rapportazione alle autorità e formazione all’interno dell’Organizzazione), non possono che ricondurre questa figura al già noto Port Facility Security Officer (PFSO) (quale soggetto che nell’ambito della port facility, è addetto in via principale alla redazione ed applicazione di un Port Facility Security Plan sulla base di un Port Facility Security Assessmet, unitamente agli obblighi di esercitazioni, rapportazione alle autorità e formazione all’interno dell’Organizzazione, con le medesime scadenze ed obiettivi).

Questa impostazione, unitamente al fatto che la disciplina IMO ha positivamente regolamentato la sola valutazione del rischio cyber per il naviglio, riconducendone le misure di controllo nel Safety Managament System (Codice ISM) e non nel Codice ISPS nell’ambito dello Ship Security Plan, potrebbe condurre rispetto alle facilities portuali, ad un aggiornamento ed evoluzione della normativa internazionale rappresentata dal Codice ISPS.

In concreto, potrebbe essere introdotto un sistema di governo della cybersecurity degli impianti portuali, che integri (o meglio) affianchi al PFSO, un professionista responsabile della redazione ed applicazione del Cybersecurity Plan.

Questo, fatte salve la normativa NIS2 e di Perimetro Nazionale di Cybersicurezza, sul piano nazionale, eventualmente assorbenti della displina specifica.

[1] § 6.04-6 Establishing security zones; prohibitions with respect thereto. The Captain of a Port may establish security zones subject to the terms and conditions specified in § 6.01-5. No person or vessel shall enter a security zone without the permission of the Captain of the Port. No person shall board or take or place any article or thing, including any data, information, network, program, system, or other digital infrastructure, on board any vessel in a security zone without the permission of the Captain of the Port. No person shall take or place any article or thing upon any waterfront facility in any such zone without such permission.

[2] § 6.04-8 Possession and control of vessels. The Captain of the Port may supervise and control the movement of any vessel and shall take full or partial possession or control of any vessel or any part thereof, within the territorial waters of the United States under the Captain of the Port’s jurisdiction, whenever it appears to the Captain of the Port that such action is necessary in order to secure such vessel from damage or injury, including damage to any data, information, network, program, system, or other digital infrastructure thereon or therein, or to prevent damage or injury to any vessel or waterfront facility or waters of the United States, or to secure the observance of rights and obligations of the United State.

[3] § 6.04-7 Visitation, search, and removal. As consistent with law, the Captain of the Port may cause to be inspected and searched at any time any vessel, waterfront facility, or security zone, or any person, article, or thing, including any data, information, network, program, system, or other digital infrastructure thereon or therein, within the jurisdiction of the United States, may place guards upon any such vessel, waterfront facility, or security zone and may remove therefrom any and all persons, articles, or things, including any data, information, network, program, system, or other digital infrastructure, not specifically authorized by the Captain of the Port to go or remain thereon or therein.

[4] § 6.16-1 Reporting of sabotage, subversive activity, or an actual or threatened cyber incident. Evidence of sabotage, subversive activity, or an actual or threatened cyber incident involving or endangering any vessel, harbor, port, or waterfront facility, including any data, information, network, program, system, or other digital infrastructure thereon or therein, shall be reported immediately to the Federal Bureau of Investigation, the Cybersecurity and Infrastructure Security Agency (for any cyber incident), and the Captain of the Port, or to their respective representatives.

[5] After an agency researches the issues and determines whether a new Rule is necessary, it often proposes a regulation, also known as a Notice of Proposed Rulemaking (NPRM). Typically, these proposals are published in the Federal Register (FR) and made publicly available;

[6] § 105.105 Applicability.

(a) The requirements in this part apply to the owner or operator of any U.S.:

(1) Facility subject to 33 CFR parts 126, 127, or 154;

(2) Facility that receives vessels certificated to carry more than 150 passengers, except those vessels

not carrying and not embarking or disembarking passengers at the facility;

(3) Facility that receives vessels subject to the International Convention for Safety of Life at Sea, 1974,

chapter XI; (Si veda Section 101.605 – Applicability: tra gli altri, “U.S. Mobile Offshore Drilling Units (MODUs), cargo vessels, or passenger vessels subject to the International Convention for Safety of Life at Sea, 1974, (SOLAS), Chapter XI-1 or Chapter XI-2”);

(4) Facility that receives foreign cargo vessels greater than 100 gross register tons;

(5) Facility that receives U.S. cargo vessels, greater than 100 gross register tons, subject to 46 CFR

chapter I, subchapter I, except for those facilities that receive only commercial fishing vessels

inspected under 46 CFR part 105; or

(6) Barge fleeting facility that receives barges carrying, in bulk, cargoes regulated by 46 CFR chapter I,

subchapters D or O, or Certain Dangerous Cargoes.

[7] The IMO addressed cybersecurity measures for foreign-flagged vessels through MSC-FAL.1/Circ.3 and MSC Resolution 428(98). Therefore, based on IMO guidelines and recommendations, an SMS approved under the ISM Code should address foreign-flagged vessel cybersecurity. Vedi qui. Sempre in questo senso, “The IMO has issued other guidance on Cybersecurity in the past 6 years. In 2017, the IMO adopted resolution MSC.428(98) to the ISM Code on “Maritime Cyber Risk Management in Safety Management Systems (SMS).” Generally, this resolution states that an SMS should consider CRM and encourages Administrations to appropriately address cyber risks in an SMS by a certain date, in accordance with the ISM Code. In 2022, the IMO provided further guidance on maritime CRM in MSC-FAL.1/Circ.3-Rev.2, Guidelines on Maritime Cyber Risk Management, in an effort to raise the awareness about cybersecurity risks”.

[8] Vedi qui. In particolare Sezione V “Discussion of Proposed Rule”, per l’elenco completo delle sezioni integrative costituenti la proposta di modifica normativa;

[9] Vedi qui e, fra tutte: “Facility Security Assessment (FSA)means an analysis that examines and evaluates the infrastructure and operations of the facility taking into account possible threats, vulnerabilities, consequences, and existing protective measures, procedures and operations. Facility Security Officer (FSO) means the person designated as responsible for the development, implementation, revision and maintenance of the facility security plan and for liaison with the COTP and Company and Vessel Security Officers.

Facility Security Plan (FSP) means the plan developed to ensure the application of security measures designed to protect the facility and its servicing vessels or those vessels interfacing with the facility, their cargoes, and persons on board at the respective MARSEC Levels”.

[10] Vedi qui. “The most important duties a CySO would perform include ensuring development, implementation, and finalization of a Cybersecurity Plan; auditing and updating the Plan; ensuring adequate training of personnel; and ensuring the U.S.-flagged vessel, facility, or OCS facility is operating in accordance with the Plan and in continuous compliance with this subpart. The CySO would have the authority to assign cybersecurity duties to other personnel; however, the CySO would remain responsible for the performance of these duties”.

[11] “The format of a Cybersecurity Plan required under this proposed rule would include the following individual sections: (1) Cybersecurity organization and identity of the CySO (see proposed § 101.625 Cybersecurity Officer); (2) Personnel training (see proposed § 101.625(d)(8), (9) Cybersecurity Officer); (3) Drills and exercises (see proposed § 101.635 Drills and Exercises); (4) Records and documentation (see proposed § 101.640 Records and Documentation); (5) Communications (see proposed § 101.645 Communications); (6) Cybersecurity systems and equipment with associated maintenance; (see proposed § 101.650(e)(3) Cybersecurity Measures: Routine Maintenance); (7) Cybersecurity measures for access control, including computer, IT, and OT areas (see proposed § 101.650(a) Cybersecurity Measures: Account Measures); (8) Physical security controls for IT and OT systems (see proposed § 101.650(i) Cybersecurity Measures: Physical Security); (9) Cybersecurity measures for monitoring (see proposed § 101.650(f) Cybersecurity Measures: Supply Chain; (h) Network Segmentation; (i) Physical Security); (10) Audits and amendments to the Cybersecurity Plan (see proposed § 101.630(f) Cybersecurity Plan: Audits); (11) Cybersecurity audit and inspection reports to include documentation of resolution or mitigation of all identified vulnerabilities (see proposed § 101.650(e) Cybersecurity Measures: Risk Management); (12) Documentation of all identified unresolved vulnerabilities to include those that are intentionally unresolved due to risk acceptance by the owner or operator (see proposed § 101.650(e) Cybersecurity Measures: Risk Management); (13) Cyber incident reporting procedures in accordance with part 101 of this subchapter (see proposed § 101.650(g) Cybersecurity Measures: Resilience); and (14) Cybersecurity Assessment (see proposed § 101.650(e) Cybersecurity Measures: Risk Management)”, qui.

[12] “Cybersecurity drills would generally test an operational response of at least one specific element of the Cybersecurity Plan, as determined by the CySO, such as access control for a critical IT or OT system, or network scanning. A drill would be required at least once every 3 months and may be held in conjunction with other drills, if appropriate”, qui. Si veda in questo senso, nell’ambito del Regolamento CE 725/2004, questo articolo. In questo approfondimento, tra gli altri, si proponeva di, “includere i test di penetrazione nei drills trimestrali, significherebbe la creazione di nuove sinergie con le funzioni ICT aziendali, contribuendo allo sviluppo di un gruppo interno capace di sviluppare e migliorare congiuntamente, prassi e misure di prevenzione idonee ad essere incluse nel Port Facility Security Plan vigente”.

[13] Vedi qui.

@RIPRODUZIONE RISERVATA