Direttiva Nis, cosa cambia per la protezione delle infrastrutture digitali Fabio Lazzini

L’intervento di Fabio Lazzini, responsabile Security Governance e Privacy di Sogei

La recente pubblicazione in Gazzetta Ufficiale del DPCM del 17 Febbraio 2017, ovvero della “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali”, rappresenta il primo passo formale del Governo verso l’attuazione della Direttiva NIS. Una decisione importante, che avvia di fatto il complesso processo di recepimento della Direttiva stessa a livello nazionale, con particolari riferimento all’adozione di una strategia nazionale completa e di una Autorità Nazionale con pieni poteri di coordinamento preventivo e reattivo rispetto alla minaccia cibernetica.

Il Governo, attraverso tale Decreto, intende fornire inoltre una risposta concreta allo scenario descritto dalla Relazione annuale sulla Politica dell’Informazione per la Sicurezza, pubblicata dal DIS lo scorso Febbraio. In questa ultima edizione, la relazione fornisce un intero allegato relativo agli aspetti di cyber security, aggiornando puntualmente la nazione sullo stato della minaccia cibernetica e sulle sue potenziali evoluzioni. La Relazione evidenzia un notevole divario tra le minacce contro i soggetti pubblici, che costituiscono la maggioranza con 71% degli attacchi registrati, rispetto a quelli riferiti a soggetti privati, che rappresentano circa il 27% del totale. Uno spaccato che conferma, anche per il nostro Paese, come gli Enti e le Pubbliche Amministrazioni rappresentino di fatto il target primario da parte di hacktivisti ed altri attori ostili.

Vale la pena ricordare che l’Europa, attraverso la Direttiva NIS, ha fortemente richiamato l’attenzione degli stati membri sulla necessità di intervenire in maniera coordinata, uniforme ed incisiva per contrastare la minaccia cyber ed innalzare il livello di difesa dello spazio cibernetico nazionale e comunitario. Dal punto di vista della PA e, in generale delle infrastrutture critiche, la Direttiva rappresenta un passo in avanti epocale, non solo nell’intenzione di ridurre il profilo di rischio complessivo, ma soprattutto come opportunità per accelerare ed agevolare il processo di digitalizzazione in atto, aumentando il livello di fiducia e confidenza dei cittadini nell’utilizzo del digitale.

In particolare alcuni elementi della Direttiva, sebbene dovranno essere correttamente recepiti dal Legislatore, forniscono principi ed obblighi di assoluta rilevanza, che probabilmente cambieranno, in positivo e definitivamente, il ruolo della cyber security nello sviluppo dei servizi digitali. Costituisce ad esempio una novità assoluta l’obbligo, a livello nazionale, di censire e pubblicare l’elenco degli operatori di servizi essenziali (Art. 5); tale obbligo non è da intendersi come una generica attribuzione ad un settore critico, bensì come una identificazione puntuale del soggetto giuridico che opera in qualità di fornitore critico per la nazione. Ciò dovrebbe garantire trasparenza ed accountability diretta da parte di coloro a cui sarà formalmente attribuita una rilevanza strategica delle proprie infrastrutture digitali per il sistema Paese e per questo saranno obbligati ad attuare un insieme di misure di sicurezza appropriate. Ed è proprio sulle misure di sicurezza, siano esse di carattere tecnico o organizzativo, che la Direttiva introduce un altro cambiamento di paradigma importante rispetto al passato. Tali misure dovranno essere infatti adeguate e proporzionali alla gestione dei rischi. Sebbene possa apparire scontato per chi si occupa di sicurezza ragionare in termini di rischio, è la prima volta che il legislatore attribuisce un peso specifico e rilevante ad un processo di valutazione dei rischi, quale elemento fondamentale per stabilire l’adeguatezza di una misura di sicurezza, rispetto all’impatto che una mancata adozione della stessa potrebbe causare a livello di singolo operatore e quindi di Paese. L’introduzione di un simile cambiamento è reso ancora più rilevante se combinato con quanto previsto dall’Art. 15; ovvero le autorità competenti dovranno infatti essere dotate dei poteri e soprattutto dei mezzi necessari per valutare l’effettiva conformità degli operatori agli obblighi di attuazione delle misure di sicurezza e, pertanto, indirettamente anche della correttezza del processo di valutazione del rischio, che ha portato alla definizione delle stesse contromisure.

Auspichiamo in questo senso che, dinanzi ad un preciso obbligo di attuazione delle misure di sicurezza, nonché di controllo da parte delle Autorità, gli investimenti in cyber security diventino effettivamente adeguati e proporzionati ai rischi esistenti e che in nessun caso, trattandosi di operatori essenziali, possano essere ridimensionati da logiche di mercato o di business, non coerenti con la sicurezza dei servizi vitali per la nazione, nonché per la crescita dei servizi digitali.

Nell’introdurre tali principi, la Direttiva intende inoltre contribuire al raggiungimento di un livello comune di sicurezza, riducendo le frammentazioni esistenti tra uno Stato e l’altro, che si traducono poi concretamente in un rischio complessivo per le infrastrutture digitali, già fortemente dipendenti le une dalle altre. In questo senso la sfida più importante che le istituzioni e le autorità nazionali dovranno affrontare nel recepire la Direttiva, consiste proprio nella definizione di un insieme di misure di sicurezza standard. Questo è in parte l’obiettivo che si prefiggono di raggiungere le “Misure minime di sicurezza informatica” elaborate da AgID”, recentemente pubblicate in Gazzetta Ufficiale e rese pertanto obbligatorie nell’adozione da parte della PA entro dicembre di questo anno. Seguendo lo spirito della Direttiva NIS, ciò potrebbe tuttavia non essere sufficiente a garantire un livello di sicurezza effettivamente comune e soprattutto adeguato ai rischi degli operatori essenziali.

Concretamente un insieme di pratiche e capacità di difesa nazionale, definite ad esempio attraverso la cooperazione tra gli Enti e le Amministrazioni più virtuose nell’ambito della cyber security, potrebbe costituire la base per lo sviluppo di un insieme pragmatico di modelli, soluzioni e metodologie standard e di facile adozione da parte di tutti gli operatori essenziali. Ciò favorirebbe certamente il raggiungimento di livelli di sicurezza comuni, volti non solo a soddisfare la Direttiva, ma a garantire la continua crescita dei servizi digitali nel nostro Paese.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *