Apparecchio approvato ma non omologato: multa nulla  Redazione - 04/11/24  |  Omessa restituzione documenti al cliente: illecito permanente per l'avvocato  Redazione - 03/11/24  |  La scienza smascherata United Lawyers for Freedom - ALI Avvocati Liberi - 21/06/23  |  Compiti a casa: i docenti devono usare il registro elettronico  Redazione - 12/04/23  |  Annullate multe over50: la prima sentenza United Lawyers for Freedom - ALI Avvocati Liberi - 26/03/23  |  

Cybersecurity: la guida

Cos'è la cybersecurity, l'importanza della sicurezza informatica nello scenario attuale, gli interessi in gioco e i più recenti interventi normativi in ambito nazionale e comunitario


Cybersecurity: cos'è

[Torna su]
La cybersecurity è l'insieme di tutte le tecniche, mezzi e tecnologie che consentono di proteggere un sistema informatico da attacchi malevoli provenienti dall'esterno, mirati a sottrarre dati e informazioni o a compromettere il funzionamento del sistema stesso.
Nel mondo contemporaneo, la sicurezza informatica rappresenta un argomento di primaria importanza. Ogni ambito della vita quotidiana, soprattutto lavorativo e professionale, è ormai coinvolto in un sistema di relazioni digitali e informatiche, grazie alla costante connessione "always on" su reti internet pubbliche o private. Il tema della protezione di reti e sistemi informatici, pertanto, è in continuo sviluppo non solo dal punto di vista tecnico, ma anche da quello giuridico e normativo, come testimoniano i più recenti provvedimenti adottati a livello nazionale e comunitario.

Interessi in gioco: dai dati sensibili ai segreti industriali

[Torna su]
La posta in gioco, per quanto attiene il tema della cybersecurity, è davvero alta, perché coinvolge interessi di persone e aziende, di privati ed enti pubblici, di imprese e professionisti.

Da alcuni anni, ormai, sono all'ordine del giorno le notizie che riportano episodi di attacchi informatici, più o meno estesi, il cui obiettivo può essere mutevole: dai dispositivi elettronici di uso comune, come smartphone e pc, alle reti aziendali, dai profili dei social network alle grandi banche dati in possesso di enti pubblici, banche e istituti sanitari e farmaceutici.

Oggetto degli attacchi possono essere i dati sensibili delle persone, i file e i documenti in possesso della pubblica amministrazione, i codici di accesso alle caselle e-mail o a conti bancari e carte di credito, brevetti e progetti delle grandi industrie o la funzionalità stessa dei sistemi informatici di enti e aziende.

L'escalation di attacchi informatici

[Torna su]

E i rischi sono ancora maggiori se si pensa che oggi gran parte dei dati informatici sono conservati in maniera virtuale, con i sistemi cloud, e che viviamo in piena epoca dell'Internet of Things, dove ogni accessorio, elettrodomestico, dispositivo elettronico è costantemente connesso a reti informatiche.

Malware, spyware, attacchi DoS ad opera di hacker più o meno strutturati possono arrivare a mettere in crisi interi settori della società, dai trasporti alle comunicazioni: ne sa qualcosa anche l'ambito forense, che ha di recente conosciuto notevoli disagi per un esteso attacco alle caselle PEC dei professionisti legali.

Interventi normativi in Italia e UE

[Torna su]

Proprio per questo motivo, la disciplina normativa e regolamentare in tema di sicurezza informatica appare in costante evoluzione, per dare risposte sempre più concrete ed efficienti all'eventualità di minacce che provengano dagli hacker e dal c.d. dark web, ma anche e soprattutto per sensibilizzare e creare una nuova consapevolezza negli utenti di ogni livello, dai semplici privati ai professionisti ed imprenditori, rispetto a tale fenomeno.

Se è vero che a già a livello nazionale esistono strutture che hanno nella lotta al cybercrime il loro oggetto principale (si pensi ai CERT e CSIRT istituiti a livello ministeriale per la gestione delle emergenze informatiche), è importante che un simile impegno sia affrontato anche a livello comunitario.

E proprio in quest'ottica rientra la recente adozione del c.d. Cybersecurity Act, con il Regolamento Europeo 881/2019 che mira, da un lato, a potenziare i poteri d'intervento dell'Agenzia dell'Unione Europea per la cibersicurezza (ENISA) in occasione di emergenze informatiche all'interno degli Stati membri, e dall'altro a creare un più pregnante sistema di certificazione in tema di cybersecurity per tutte le tecnologie informatiche e le reti di comunicazione.

Cybersecurity Act e Direttiva NIS

[Torna su]

Il Cybersecurity Act, direttamente efficace in ogni Stato membro, va così ad affiancare la Direttiva NIS (Network and Information Security) del 2016, recepita in Italia con d.lgs. 65/2018, per creare un quadro normativo che si propone di coordinare, uniformare e standardizzare, per quanto possibile, le normative e le operazioni tecniche in tema di sicurezza informatica nei Paesi UE.

La cyber security, in questo modo, diviene sempre più un aspetto che le imprese e ogni altro operatore devono considerare con attenzione sin dall'inizio dell'attività, anche nell'ottica di accrescere la fiducia dei consumatori nella fruizione di beni e servizi che comportano la connessione a reti informatiche.

Ed è proprio in quest'ottica che gli interventi normativi sopra esaminati predispongono un dettagliato impianto di regole, destinato a tutti gli operatori, e in particolare a quelli attivi nei settori dei servizi essenziali e nella fornitura dei servizi digitali.

In particolare, è prevista una serie di obblighi in tema di certificazione dei sistemi, di notifica in caso di emergenze informatiche, di trattamento dei dati personali, e ad essi è ricollegato un articolato sistema di sanzioni amministrative (ad es., v. art 21 del d.lgs. di recepimento della direttiva NIS).

Si tratta pertanto di una serie interventi normativi quanto mai necessari e da tempo auspicati, in risposta al rilevante e sempre crescente fenomeno delle minacce informatiche, registrato negli ultimi anni nei più diversi ambiti.

Direttiva NIS2 e CVCN

[Torna su]

Interventi normativi che però non si fermano qui. A livello europeo, nei primi mesi del 2022, anche a cause del conflitto Russia- Ucraina, è stata predisposta la bozza di un nuovo regolamento che eleva i livelli di sicurezza di istituzioni, agenzie e organi al fine di contrastare con più efficacia gli attacchi cyber.

Consiglio e Parlamento hanno inoltre trovato un accordo sulla Direttiva NIS2 che innalza il sistema di sicurezza in tutta Europa e che si propone di rafforzare la risposta agli attacchi cyber sia nel settore pubblico che in quello privato. Direttiva questa che una volta pronta andrà a sostituire la precedente Direttiva NIS, che come abbiamo visto, è stata recepita in Italia con il Dlgs n. 65/2018.

Centro di valutazione e Certificazione nazionale

Il 2022 però è anche l'anno in cui il Centro di valutazione e di Certificazione Nazionale diventa operativo a partire dal 30 giugno. Trattasi di un organismo istituito presso il Ministero dello Sviluppo Economico, previsto dal dlgs n. 105/2019, contenente "Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica", il cui funzionamento è disciplinato dal DPR n. 54/2021.

Al Centro di Valutazione è stato affidato il compito di valutare beni, sistemi e servizi, che devono essere impiegati su infrastrutture ICT di supporto alla fornitura di servizi o di funzioni essenziali per lo Stato (i soggetti pubblici e privati fornitori dei suddetti servizi sono individuati dal DPCM n. 131/2020, mentre per quanto riguarda le misure di sicurezza, che i soggetti compresi nel Perimetro devono adottare e le modalità di notifica degli incidenti sono state indicate e definite dal DPCM n. 81/2021).

Chiaro quindi come il Centro di valutazione e di Certificazione Nazionale giochi un ruolo fondamentale nell'ambito della cybersicurity. Esso ha infatti il compito di definire le condizioni che i fornitori devono rispettare e i test hardware e software che dovranno eseguire. Condizioni e test che saranno inseriti nei bandi di gara e nei contratti con clausole in grado di condizionare l'accordo al rispetto delle condizioni e dei risultati dei test disposti dal CVCN.

Data: 07/07/2022 07:00:00
Autore: Marco Sicolo