Il DDL cyber, di cui è iniziato l’esame al Senato nei giorni passati, riguarda alcune disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.
Indice degli argomenti
Cosa prevede il DDL Cyber
Il DDL comprende al Capo I una serie di disposizioni che si riconducono in buona parte alla sicurezza nelle grandi pubbliche amministrazioni e in alcuni soggetti collegati. Il Capo II prevede invece principalmente una serie di modifiche alla normativa sui reati informatici, molta della quale risale ancora agli anni Novanta. Queste modifiche riguardano in gran parte il Codice penale e il Codice di procedura penale.
L’ultimo articolo del DDL, il 24, è uno dei più discussi, e riguarda l’attuazione della legge senza maggiori oneri. È anche, fortunatamente, oggetto di diversi emendamenti proposti, che cercano di eliminare questo vincolo qui ed in altri punti del DDL.
L’attuazione di iniziative in materia di cyber security senza maggiori oneri non deporrebbe sicuramente a favore dell’idea di un’attenzione alla tematica coerente con le esigenze attuali delle nostre PA, e non prometterebbe bene neanche per quanto riguarda gli stessi temi nel recepimento della Direttiva NIS2.
Fondi PNRR, serve cautela
Naturalmente, in questo periodo si fa spesso riferimento all’utilizzo di fondi PNRR, ma ormai da tempo nelle PA c’è la consapevolezza che, a parte i limiti sulle tipologie di investimento possibili con questi fondi, si tratta di una soluzione “a termine”, e quindi serve cautela nell’utilizzo per iniziative che prevedano poi dei costi operativi che si protraggono nel tempo, come sono molte delle azioni realmente efficaci nel campo della cyber security.
DDL cyber approvato: tra crittografia e resilienza delle PA, così cambia la security nazionale
Molto opportune quindi le ipotesi di fonti di finanziamento specifiche e rinnovate annualmente. Meno interessante invece, sempre in alcuni emendamenti, il riferimento specifico al finanziamento per l’acquisto di strumentazioni tecnologiche, che, per la gran parte delle amministrazioni, potrebbero non essere il vero problema: le PA hanno in generale un grosso problema di disponibilità di competenze e di organizzazione, molto più che l’esigenza di comprare tecnologie che non sarebbero in condizioni di sfruttare in modo adeguato.
Il DDL affronta, nei primi quattro articoli, il tema della segnalazione di incidenti allo CSIRT Italia da parte di diversi soggetti, fra cui le PA centrali, i grandi comuni, le città metropolitane, e alcune società ad esse collegate, quali le rispettive in house che forniscono servizi informatici e società di trasporto pubblico che operano in quelle aree.
E’ necessario “anticipare” la NIS2?
Si fa riferimento esplicitamente ad alcuni articoli DL 105/2019 (sul Perimetro di Sicurezza Nazionale Cibernetica), ma è evidente anche la sovrapposizione con alcuni requisiti che dovranno essere definiti con il recepimento, entro ottobre 2024, della Direttiva NIS2. In effetti, questo DDL è stato visto da più parti come una sorta di “anticipo” della NIS2.
C’è da chiedersi però, su alcuni temi, quanto possa avere senso un anticipo di ormai solo qualche mese (sempre che l’Italia non preveda già di non rispettare la scadenza prevista dalla Direttiva), introducendo per alcuni soggetti che sicuramente saranno in perimetro NIS2 degli obblighi, ad esempio su un tema tecnico come appunto la segnalazione di incidenti allo CSIRT, che si colloca in parziale sovrapposizione sia con il PSNC che con la NIS2.
Da una parte infatti, le segnalazioni, che si riconducono alle casistiche definite per il PSNC, sono più onerose di quelle previste dalla NIS2 (che entro 24 ore prevede essenzialmente di comunicare solo un preallarme che indichi se un incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli). Dall’altra, però, i commi 5 e 6 lasciano ampio spazio all’inosservanza, e l’art. 3, dove si parla di sanzioni, introduce una sanzione massima di 125.000 euro per la casistica a cui si riferisce, mentre la Direttiva NIS prevede, all’art. 34 comma 4, massimali ben più “dissuasivi” in caso di inadempienze relative agli obblighi di segnalazione.
Segnalazioni incidenti, per la PA rischio confusione
Viene da chiedersi se non sia più opportuno lasciare che le PA adottino un processo di gestione e segnalazione efficace su casistiche e in modalità coerenti con al Direttiva NIS2, passando solo dopo a casistiche più complesse e segnalazioni più onerose, anziché prevedere requisiti onerosi sapendo e prevedendo però già che ci saranno ampie inadempienze da gestire. Il tutto, comunque, dà l’impressione di generare l’ennesima complessità e confusione nelle fonti normative alle quali fare riferimento per le azioni di attuazione delle disposizioni nelle diverse PA.
Seguono poi alcuni articoli che danno ulteriori indicazioni sul coordinamento fra i diversi soggetti istituzionali che possono essere coinvolti nella gestione degli incidenti. L’attenzione al coordinamento ritorna anche all’art. 22, dove si richiede che in alcuni casi di particolare interesse venga informata la Direzione nazionale antimafia e antiterrorismo.
Più potere ai CISO
In un’ottica di capacità delle PA di presidiare i rischi di cyber security, molto importante è certamente l’art. 8, che istituisce una struttura di governo di questi temi e la figura del “Referente per la cybersicurezza”, una figura che, come è stato detto da più parti, corrisponde sostanzialmente al CISO (Chief Information Security Officer), che ha un ruolo di gestione e coordinamento molto più che di presidio tecnico.
Si tratta di un passo fondamentale, ed anticiparlo rispetto al recepimento della NIS2 può aiutare le PA ad affrontare efficacemente le complessità che l’adeguamento comporterà nei prossimi anni. Purtroppo, questa ottima disposizione è minata in modo importante dalla previsione, ulteriormente rafforzata dai commi 2 e 3 che, richiede che la struttura sia individuata “anche tra quelle esistenti, nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente” con il solito obiettivo di ottenere risultati senza investimenti.
Se ne otterrebbe in molti casi un ruolo in forte conflitto di interessi, perché in carico a chi ha anche obiettivi diversi e anche contrastanti, e spesso prioritari perché più visibili e sentiti.
Sicuramente opportuno invece quanto previsto al comma 4 in tema di compiti esercitati in forma associata. Non dobbiamo dimenticare infatti che si tratta di competenze comunque costose e scarse anche sul mercato: dove si faccia riferimento, ad esempio, strutture o consorzi regionali, che quindi possono investire quanto necessario per adottare soluzioni adeguate ed acquisire le competenze necessarie, il presidio rispetto ai temi di cyber security sembra essere stato nel complesso piuttosto efficace, anche in relazione agli investimenti necessari.
Crittografia, un nodo da sciogliere
Gli articoli 9 e 10 affrontano il tema dell’utilizzo della crittografia. Seppure in alcuni passaggi si entri in un dettaglio tecnico che sarebbe opportuno lasciare alla gestione dell’ACN, anziché inserirlo in un articolo di legge (ad esempio il riferimento alla conservazione delle password), si porta effettivamente l’attenzione sull’esigenza di avere indicazioni, queste sì dall’ACN, rispetto a quali siano gli standard da adottare.
Ad oggi, si fa riferimento principalmente a indicazioni mutuate come buone pratiche da standard principalmente degli Stati Uniti, che non risultano né vincolanti né sempre adeguati.
L’importante però, è che non ci si faccia tentare dall’idea di standard “nazionali”, facendo comunque riferimento a standard almeno europei: nel campo della crittografia, qualsiasi soluzione puramente nazionale risulterebbe non solo quasi certamente tecnicamente più debole, ma introdurrebbe delle complessità sul mercato che difficilmente sarebbero giustificabili.
È invece importante che l’Italia sviluppi e mantenga le competenze per partecipare fattivamente ad iniziative europee e per valutare le esigenze che si possano presentare per casi specifici di interesse nazionale.
Come spendere in cyber security
Un ulteriore punto interessante è dato dall’art. 14, in riferimento agli acquisti da parte delle PA, che apre la strada alla definizione di caratteristiche che beni e servizi acquisiti dovrebbero avere in tema di cyber security.
Si tratta anche in questo caso di un requisito che può avere effetti positivi in termini di miglioramento del livello di sicurezza non solo delle PA, ma anche dell’intero paese, ma che può anche, a seconda di come sarà poi realizzato, diventare un vincolo importante dal punto di vista del mercato, in termini di disponibilità di soluzioni conformi.
Delicato quanto previsto dal comma 2 alla lettera e, relativamente alla possibilità di favorire i prodotti nazionali anche rispetto a quelli europei. Dato il ritardo cronico dell’Europa su tanti temi di mercato delle tecnologie, probabilmente sarebbe più utile cooperare nello sviluppo di tecnologie europee di ampio utilizzo e competitive, evitando la tentazione di scelte nazionali che avrebbero un mercato irrilevante.
Di particolare interesse sono invece le lettere b. e c. dello stesso comma 2, che assicurano che i temi di cyber security siano comunque almeno considerati anche quando sia utilizzato il criterio del miglior prezzo.
Conclusioni
Nel complesso, il DDL prevede quindi alcune disposizioni molto interessanti dal punto di vista del miglioramento della gestione e della resilenza ai rischi di cyber security delle PA interessate, primi fra tutti la definizione di una struttura e un ruolo specifici, e l’attenzione al tema negli approvvigionamenti di beni e servizi, come anche alcuni aspetti di coordinamento fra le strutture nazionali.
Ci sono sicuramente alcuni punti critici, primo fra tutti quello delle risorse, che rischia di ridurre il tutto ad un mero adempimento formale, se non ad un’inosservanza “tacitamente accettata” che rischierebbe, in vista del recepimento della Direttiva NIS2, di lasciare le PA ad essere l’anello debole per mancanza di risorse e competenze.
Ci sono poi alcune attenzioni opportune riguardo ad un possibile impatto, solo apparentemente positivo, sul mercato della cyber security nazionale.
Infine, c’è il tema di un rapporto complesso fra quanto previsto da questo DDL e quanto previsto e vincolante dalla Direttiva NIS2, con il rischio di creare per le PA delle complessità forse non così necessarie.
