Il cyberspazio è un non-luogo per natura, e questo rende sfumata la dimensione della sovranità statuale o sovranazionale, presupposto per l’esercizio di ogni potere pubblico, strettamente legata al territorio.
Indice degli argomenti
Infrastrutture critiche, la spina dorsale del Paese
La sicurezza informatica si articola in diverse dimensioni, beni e processi che gli Stati devono potenziare per rafforzare la sicurezza interna e garantire un’efficace difesa nel cyberspazio, considerando anche i recenti eventi geopolitici.
La protezione delle infrastrutture informatiche è prioritaria ed essenziale sia per la sicurezza nazionale che per quella economica. Le infrastrutture critiche infatti costituiscono la spina dorsale delle economie dei Paesi sviluppati.
Il benessere di ampie porzioni della popolazione, nei paesi industrializzati, dipende e dipenderà sempre di più dalla disponibilità e dal corretto funzionamento di infrastrutture tecnologiche.
È il momento di prendere sul serio le minacce della guerra informatica
Per la loro rilevanza queste infrastrutture sono generalmente indicate con il termine di infrastrutture critiche poiché un loro non corretto funzionamento, anche per un periodo di tempo limitato, può incidere negativamente sulle attività di singoli o di gruppi comportando perdite economiche se non addirittura mettendo a rischio la sicurezza di cose e persone.
L’utilizzo di internet, inoltre, sta portando alla creazione di un’infrastruttura globale world-wide, incrementando la vulnerabilità dell’intero sistema poiché ogni errore o guasto che si verifica in un’infrastruttura può propagarsi ad altre infrastrutture provocando inconvenienti e danni anche a soggetti remoti (sia dal punto di vista geografico che logico) rispetto alla causa del danno.
Elevare il livello di sicurezza di reti e infrastrutture
La necessità di elevare il livello di sicurezza di reti e infrastrutture, per prevenire la sempre maggiore esposizione delle imprese, degli enti e delle realtà coinvolte ai rischi di perdita, diffusione illecita di dati e di informazioni e, con quest’ultime, ai rischi informatici e alle minacce che possono inevitabilmente compromettere anche la continuità operativa rispetto ai servizi erogati, rappresenta una priorità che due norme europee come il GDPR e la Direttiva NIS1 hanno definitivamente sancito con l’acquisizione di una nuova consapevolezza (con la direttiva UE 2016/1148 – appunto la c.d. NIS-Network and Information Security – l’Unione Europea ha introdotto misure comuni al fine di conseguire un «livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea».
Quest’ultima, attualmente in fase di revisione e aggiornamento (cd. NIS2), ha il merito di aver introdotto una strategia coerente ed un quadro normativo uniforme a livello di Unione, che tiene anche conto della interdipendenza delle reti e dei sistemi, in assenza del quale la protezione del cyber-spazio dell’UE non sarebbe stata sufficiente.
La direttiva è stata recepita dal legislatore italiano con il d.lgs. n. 65/2018, il quale definisce la cornice normativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti a livello europeo).
In seguito il decreto legge n. 105/2019 ha istituito un perimetro di sicurezza nazionale cibernetica per garantire un alto livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, enti e operatori nazionali, pubblici e privati, prevedendo misure per minimizzare i rischi.
Le norme ci sono
L’UE ha adottato il Cyber security Act (Regolamento UE 2019/881) per armonizzare la sicurezza cibernetica a livello comunitario, attribuendo un ruolo operativo all’ENISA e creando un quadro comune per la certificazione della sicurezza informatica dei prodotti ICT e dei servizi digitali.
La Commissione europea vede la cyber security come elemento chiave della transizione digitale e del Recovery Plan. La cyber security è vista sia come bene meritevole di tutela in sé, sia come bene strumentale alla garanzia dei diritti e libertà fondamentali.
Del resto il PNRR include la cyber security tra gli investimenti per la digitalizzazione della pubblica amministrazione, con stanziamenti finalizzati a creare e rafforzare le infrastrutture di protezione cibernetica. Il Piano ha previsto anche l’istituzione di un’Agenzia di cybersicurezza nazionale.
Il decreto legge n. 82/2021, convertito dalla legge n. 109/2021, ha definito la governance nazionale del sistema di sicurezza cibernetica, con il Presidente del Consiglio dei ministri al vertice, responsabile delle politiche di sicurezza cyber, dell’adozione della strategia nazionale e della nomina dei vertici dell’Agenzia per la cybersicurezza nazionale.
Direttiva NIS 2: la sicurezza delle infrastrutture critiche, tra normativa e buone prassi
Il modello integrato per infrastrutture sicure
Dunque, è stato necessario costruire un modello integrato, che facesse riferimento ai supporti normativi in particolare riguardo alla cyber security e alla data protection, nel quale la tutela fosse creata grazie a strategie, progetti, scelte tecnologiche e adozione delle misure necessarie per valorizzare due aspetti: da un lato, l’importanza dei dati e della loro protezione, dall’altro – ma strettamente connesso con questo – la sicurezza delle infrastrutture e dei sistemi sui quali questi dati viaggiano e vengono conservati, attraverso il controllo delle vulnerabilità in caso di attacchi informatici.
Ricordiamo che la data protection è un tema di estrema importanza per le infrastrutture critiche, poiché le informazioni sensibili possono essere compromesse in caso di violazione della sicurezza informatica. La protezione dei dati personali diventa quindi una priorità assoluta per garantire la sicurezza e la stabilità delle infrastrutture critiche.
Le organizzazioni che gestiscono le infrastrutture critiche devono adottare misure di sicurezza avanzate per proteggere i dati personali, tra cui l’implementazione di controlli di accesso, l’utilizzo di crittografia e la gestione delle vulnerabilità.
Inoltre, è importante che queste organizzazioni conducano regolarmente test di sicurezza e valutazioni del rischio per identificare potenziali vulnerabilità e attuare soluzioni tempestive.
Così come diventa priorità promuovere la cultura e la cooperazione in ambito di sicurezza informatica e migliorare le capacità nazionali e la resilienza delle infrastrutture cyber dell’intero Sistema Italia, che svolgono un ruolo essenziale per la produzione e circolazione di beni, servizi e persone.
Incident response per i servizi cloud: le strategie per garantire la business continuity
Quell’inaccettabile ritardo
A tal proposito, al di là delle buone intenzioni di cui è lastricato, talvolta ma ancora troppo spesso, l’inferno della cyber security nella PA e pur nelle attuali disponibilità scientifiche, finanziarie e culturali finalizzate a rendere più impermeabili le nostre infrastrutture strategiche, non si può sottacere come, a 5 anni dal recepimento in Italia del RGPD (il Regolamento Generale sulla Protezione dei Dati), siano ancora quasi 1.000 i comuni italiani che non hanno ancora nominato un DPO (Data Protection Officer).
Tale forma di inaccettabile sciatteria, nel 2023, rischia di creare un’autostrada per la penetrazione malevola di molte delle nostre infrastrutture strategiche ad iniziare da quelle comunali che dovrebbero tutelare una gran mole di dati non solo personali ma, addirittura, sensibili quando non biometrici.
Non si tratta solo ottemperare ai programmi di compliance – ovvero di essere conformi a quanto stabilito dalle normative – ma soprattutto di essere proattivi e responsabili per confermare ciò che si definisce accountability, quel principio di responsabilizzazione richiesto non solo dal GDPR ma dalla stessa NIS1 e da tutte le normative europee che, a prescindere dal settore di applicazione, hanno il medesimo approccio.
