Cybersecurity: la guida
- Cybersecurity: cos'è
- Interessi in gioco: dai dati sensibili ai segreti industriali
- L'escalation di attacchi informatici
- Interventi normativi in Italia e UE
- Cybersecurity Act e Direttiva NIS
- Direttiva NIS2 e CVCN
Cybersecurity: cos'è
Interessi in gioco: dai dati sensibili ai segreti industriali
Da alcuni anni, ormai, sono all'ordine del giorno le notizie che riportano episodi di attacchi informatici, più o meno estesi, il cui obiettivo può essere mutevole: dai dispositivi elettronici di uso comune, come smartphone e pc, alle reti aziendali, dai profili dei social network alle grandi banche dati in possesso di enti pubblici, banche e istituti sanitari e farmaceutici.
Oggetto degli attacchi possono essere i dati sensibili delle persone, i file e i documenti in possesso della pubblica amministrazione, i codici di accesso alle caselle e-mail o a conti bancari e carte di credito, brevetti e progetti delle grandi industrie o la funzionalità stessa dei sistemi informatici di enti e aziende.
L'escalation di attacchi informatici
E i rischi sono ancora maggiori se si pensa che oggi gran parte dei dati informatici sono conservati in maniera virtuale, con i sistemi cloud, e che viviamo in piena epoca dell'Internet of Things, dove ogni accessorio, elettrodomestico, dispositivo elettronico è costantemente connesso a reti informatiche.
Malware, spyware, attacchi DoS ad opera di hacker più o meno strutturati possono arrivare a mettere in crisi interi settori della società, dai trasporti alle comunicazioni: ne sa qualcosa anche l'ambito forense, che ha di recente conosciuto notevoli disagi per un esteso attacco alle caselle PEC dei professionisti legali.
Interventi normativi in Italia e UE
Proprio per questo motivo, la disciplina normativa e regolamentare in tema di sicurezza informatica appare in costante evoluzione, per dare risposte sempre più concrete ed efficienti all'eventualità di minacce che provengano dagli hacker e dal c.d. dark web, ma anche e soprattutto per sensibilizzare e creare una nuova consapevolezza negli utenti di ogni livello, dai semplici privati ai professionisti ed imprenditori, rispetto a tale fenomeno.
Se è vero che a già a livello nazionale esistono strutture che hanno nella lotta al cybercrime il loro oggetto principale (si pensi ai CERT e CSIRT istituiti a livello ministeriale per la gestione delle emergenze informatiche), è importante che un simile impegno sia affrontato anche a livello comunitario.
E proprio in quest'ottica rientra la recente adozione del c.d. Cybersecurity Act, con il Regolamento Europeo 881/2019 che mira, da un lato, a potenziare i poteri d'intervento dell'Agenzia dell'Unione Europea per la cibersicurezza (ENISA) in occasione di emergenze informatiche all'interno degli Stati membri, e dall'altro a creare un più pregnante sistema di certificazione in tema di cybersecurity per tutte le tecnologie informatiche e le reti di comunicazione.
Cybersecurity Act e Direttiva NIS
Il Cybersecurity Act, direttamente efficace in ogni Stato membro, va così ad affiancare la Direttiva NIS (Network and Information Security) del 2016, recepita in Italia con d.lgs. 65/2018, per creare un quadro normativo che si propone di coordinare, uniformare e standardizzare, per quanto possibile, le normative e le operazioni tecniche in tema di sicurezza informatica nei Paesi UE.
La cyber security, in questo modo, diviene sempre più un aspetto che le imprese e ogni altro operatore devono considerare con attenzione sin dall'inizio dell'attività, anche nell'ottica di accrescere la fiducia dei consumatori nella fruizione di beni e servizi che comportano la connessione a reti informatiche.
Ed è proprio in quest'ottica che gli interventi normativi sopra esaminati predispongono un dettagliato impianto di regole, destinato a tutti gli operatori, e in particolare a quelli attivi nei settori dei servizi essenziali e nella fornitura dei servizi digitali.
In particolare, è prevista una serie di obblighi in tema di certificazione dei sistemi, di notifica in caso di emergenze informatiche, di trattamento dei dati personali, e ad essi è ricollegato un articolato sistema di sanzioni amministrative (ad es., v. art 21 del d.lgs. di recepimento della direttiva NIS).
Si tratta pertanto di una serie interventi normativi quanto mai necessari e da tempo auspicati, in risposta al rilevante e sempre crescente fenomeno delle minacce informatiche, registrato negli ultimi anni nei più diversi ambiti.
Direttiva NIS2 e CVCN
Interventi normativi che però non si fermano qui. A livello europeo, nei primi mesi del 2022, anche a cause del conflitto Russia- Ucraina, è stata predisposta la bozza di un nuovo regolamento che eleva i livelli di sicurezza di istituzioni, agenzie e organi al fine di contrastare con più efficacia gli attacchi cyber.
Consiglio e Parlamento hanno inoltre trovato un accordo sulla Direttiva NIS2 che innalza il sistema di sicurezza in tutta Europa e che si propone di rafforzare la risposta agli attacchi cyber sia nel settore pubblico che in quello privato. Direttiva questa che una volta pronta andrà a sostituire la precedente Direttiva NIS, che come abbiamo visto, è stata recepita in Italia con il Dlgs n. 65/2018.
Centro di valutazione e Certificazione nazionale
Il 2022 però è anche l'anno in cui il Centro di valutazione e di Certificazione Nazionale diventa operativo a partire dal 30 giugno. Trattasi di un organismo istituito presso il Ministero dello Sviluppo Economico, previsto dal dlgs n. 105/2019, contenente "Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica", il cui funzionamento è disciplinato dal DPR n. 54/2021.
Al Centro di Valutazione è stato affidato il compito di valutare beni, sistemi e servizi, che devono essere impiegati su infrastrutture ICT di supporto alla fornitura di servizi o di funzioni essenziali per lo Stato (i soggetti pubblici e privati fornitori dei suddetti servizi sono individuati dal DPCM n. 131/2020, mentre per quanto riguarda le misure di sicurezza, che i soggetti compresi nel Perimetro devono adottare e le modalità di notifica degli incidenti sono state indicate e definite dal DPCM n. 81/2021).
Chiaro quindi come il Centro di valutazione e di Certificazione Nazionale giochi un ruolo fondamentale nell'ambito della cybersicurity. Esso ha infatti il compito di definire le condizioni che i fornitori devono rispettare e i test hardware e software che dovranno eseguire. Condizioni e test che saranno inseriti nei bandi di gara e nei contratti con clausole in grado di condizionare l'accordo al rispetto delle condizioni e dei risultati dei test disposti dal CVCN.
Data: 07/07/2022 07:00:00Autore: Marco Sicolo