Ott 05, 2020 Alessia Valentini Approfondimenti, In evidenza, Scenario, Women for Security 0

Cosa significa la sua istituzione, come è stato individuato il Perimetro di sicurezza Cibernetica e quali conseguenze comporta.

Sebbene il Cyberspazio sia considerato “senza confini”, sono lontani gli anni in cui era percepito anche come luogo libero da bandiere e ostilità. Da quei primi anni della “internet libera”, agli attacchi informatici svolti per motivi di spavalderia e/o Cyber-attivismo si sono inizialmente aggiunti quelli perpetrati dalla criminalità organizzata per azioni di Cybercrime e infine quelli indirizzati alla cyberwarfare nello scontro fra attori Statali, senza dimenticare che gli attacchi informatici possono diventare in qualsiasi momento anche un mezzo di Cyber-terrorismo.

Proteggere quindi reti e sistemi connessi al World Wide Web (internet) è progressivamente diventato una priorità non più rimandabile; anzi, in relazione alle nuove tecnologie ed ai sistemi che le adottano, il tema della sicurezza informatica è da considerarsi un elemento intrinseco abilitante senza il quale saremmo di fronte ad un “gigante tecnologico con le ginocchia di argilla”. In Italia la definizione ed attuazione del Perimetro di Sicurezza Cibernetica è solo l’ultimo tassello in ordine temporale di un lungo percorso di organizzazione della Protezione Cyber e della sicurezza informatica per tutti gli operatori pubblici e privati e tutte le istituzioni del Bel Paese.  Dunque, da spazio senza confini, l’ambito Cyber diventa una dimensione in cui si rende necessario definire un perimetro di sicurezza di carattere nazionale, per organizzarne protezione e difesa. Il concetto stesso di perimetro, come vedremo, ha una accezione diversa da singolo bordo geometrico di una sola entità Nazionale. Infatti, il Perimetro Nazionale consta della sommatoria dei perimetri infrastrutturali delle reti di tante singole organizzazioni chiamate ad essere parte attiva della protezione nel proprio ambito.

Un primo importante passo in ambito militare

Un primo e importante momento nella roadmap della legislazione dedicata alla protezione e sicurezza informatica è avvenuto in ambito militare. In parte anche per motivi di attribuzione ma soprattutto per poter attuare azioni di difesa militare nel Cyberspazio, il primo passaggio è stata la sua identificazione come quinto dominio della conflittualità nell’ambito degli accordi fra nazioni (Summit NATO Varsavia 2016)  a cui sono seguiti progressivi investimenti fatti dell’agenzia NCIA per potenziare esperti e struttura organizzativa dedicata in modo da poter fronteggiare situazioni critiche. Ne sono un esempio il Cyber Security Collaboration Hub che a regime dovrebbe consentire lo scambio sicuro di informazioni fra tutti gli stati dell’alleanza e l’agenzia NCIA e il Cyber Operations Center concordato nel Summit di Bruxelles nel 2018. Esercitazioni periodiche annuali internazionali come il Locked Shields organizzato dal CcdCoe (Cooperative Cyber Defence Centre of Excellence) di Tallin sono invece eseguite per mantenere e accrescere la prontezza dei difensori nei singoli stati.

La regolamentazione Civile Europea

Di pari passo alla definizione del quinto dominio, sempre nel 2016, anche il comparto civile ed in particolare l’Unione Europea, si sono mossi per introdurre misure di protezione e prevenzione che potessero contribuire a fortificare anche le reti e i sistemi civili, interconnessi con Internet. Dopo una gestazione significativa è stata emanata la Direttiva NIS che insieme al successivo  Cybersecurity Act traccia gli approcci e le modalità di gestione degli incidenti e della sicurezza informatica nel territorio dell’Unione. In egual misura al rafforzamento della sicurezza però, l’Europa ha voluto intervenire sulla privacy con il GDPR perché Sicurezza e Privacy possano essere due elementi paritetici. Ogni nazione Europea dunque ha dovuto procedere al recepimento della NIS e per la sua piena attuazione, avviare anche l’organizzare di una struttura nazionale Cyber.

Il perimetro di sicurezza nazionale

Senza addentrarci del dettaglio nella lunga serie di passi legislativi che hanno portato alla definizione del Perimetro di sicurezza cibernetica nazionale ricordiamo solo gli step principali della normativa italiana in tema di sicurezza informatica:

• DPCM del 24 gennaio 2013 che ha definito gli indirizzi per la protezione cibernetica e la sicurezza informatica, l’architettura istituzionale deputata alla sicurezza nazionale relativamente alle infrastrutture critiche informatizzate.
• Quadro strategico nazionale per la sicurezza dello spazio cibernetico ed il relativo Piano nazionale per la protezione cibernetica e la sicurezza informatica che hanno stabilito gli indirizzi strategici e quelli operativi per la messa in sicurezza delle attività̀ condotte nel cyber spazio.
• DPCM 17 febbraio 2017, Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali
• Decreto Legislativo 18 maggio 2018, n. 65, Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. Per una rapida consultazione si consiglia di consultare la NIS in pillole.
• Decreto-Legge 21 settembre 2019, n. 105: disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica convertito, con modificazioni, nella legge 18 novembre 2019, n. 133.

L’ultimo decreto-legge/legge è quello che sancisce la creazione del Perimetro di Sicurezza Nazionale come insieme di reti e sistemi afferenti a tutti quegli operatori pubblici, privati e istituzionali che erogano servizi essenziali, il cui pregiudizio per incidente informatico possa comportare un problema di sicurezza nazionale (gli ambiti sono gli stessi della direttiva NIS). Su questa impostazione di sicurezza, fatta da un insieme di singoli che collettivamente contribuiscono alla protezione nazionale, il Ministro Lamorgese al recente Meeting Ambrosetti (6 settembre) ha dichiarato: “In questa nuova arena digitale, non ci possiamo permettere nessun anello debole: è sufficiente una singola vulnerabilità perché tutto il sistema diventi permeabile alla minaccia, mentre la condivisione di competenze, risorse, informazioni e best practices rafforza, in progressione esponenziale, la capacità di tutelare le nostre collettività”.

Con tale decreto viene richiesto di nominare i soggetti che rientrano nel Perimetro di Sicurezza Nazionale. Attenzione a non confondere tale lista con quella dei soggetti identificati come Operatori di servizi Essenziali (OSE) dalle Autorità competenti NIS.  Tale elenco è secretato per ovvi motivi di sicurezza perché potrebbero essere considerati dei TARGET. La differenza è che questi soggetti non sono ancora formalmente nominati nel Perimetro di Sicurezza Nazionale.

Nel decreto sono trattati anche ruolo e organizzazione del Centro di Valutazione e Certificazione Nazionale (CVCN) a cui è richiesto di elaborare e adottare schemi di certificazione cibernetica, valutare il rischio e verificare le condizioni di sicurezza nonché l’assenza di vulnerabilità e di contribuire all’elaborazione delle misure di sicurezza. Per completare l’organico necessario al CVCN il DL prevede anche lo stanziamento di fondi per assunzione di nuovo personale specifico, il cui bando di selezione dei 70 esperti è stato pubblicato in Gazzetta Ufficiale ai primi di Agosto. I sistemi e apparati soggetti alle valutazioni del CVCN sono specificati con criteri tecnici e categorie di appartenenza.  Ultimo ma non meno importante il ruolo del 5G trattato mediante adozione di poteri speciali (Golden Power) esercitabili dal Governo in settori ad alta intensità tecnologica (energia, trasporti e comunicazioni).

L’approccio introdotto dal DL 105 richiede ad ogni componente del Perimetro di Sicurezza Nazionale di attenersi alle indicazioni di protezione mediante analisi di rischio e di impatto sulla sicurezza dei propri sistemi e reti. Quindi ogni organizzazione è tenuta a identificare e mantenere una corretta postura di sicurezza e l’adozione di standard Ue e internazionali.  Per ogni soggetto del Perimetro sono anche previsti obblighi di notifica degli incidenti e sanzioni in caso di inadempienze per tutte le prescrizioni previste. Sono inoltre individuati i soggetti preposti al controllo.

Le misure di sicurezza sono individuate nel Comma 3 lettera b e sono attinenti a:

• “Politiche di sicurezza, alla struttura organizzativa e alla gestione del rischio;
• mitigazione e gestione degli incidenti e alla loro prevenzione, anche attraverso la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza;
• protezione fisica e logica e dei dati;
• integrità delle reti e dei sistemi informativi;
• gestione operativa, ivi compresa la continuità del servizio;
• monitoraggio, test e controllo;
• formazione e consapevolezza;
• affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale.”

L’attuazione della disciplina del Perimetro di Sicurezza Cibernetica è stata articolata in due fasi: un primo passo per definire i criteri per l’identificazione dei servizi e l’elenco degli operatori, individuando anche i criteri per stabilire, predisporre e aggiornare l’elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica. Un secondo passo sarà invece dedicato alle specifiche per l’interazione con lo CSIRT Italia in occasione della notifica degli incidenti.

Lo Schema di D.P.C.M. in materia di Perimetro di Sicurezza Nazionale Cibernetica, che riguarda la fase uno è contenuta nell’Atto del Governo n.177 ed è tuttora soggetto all’esame della Commissione preposta e quindi passibile di eventuali variazioni. E’ stato anche predisposto un nuovo decreto che ha la forma di DPR centrato sulle procedura di valutazione del CVCN e dei CV, sulle categorie di tipologie di beni, sistemi e servizi ICT e sulle Ispezioni e verifiche dei controlli (Fonte StartMag).

Nel frattempo l’ultimo decreto semplificazioni legge 11 settembre 2020, n. 120  si dedica a temi correlati al Perimetro di Sicurezza Nazionale ed in particolare, all’articolo 31 tratta gli obblighi di comunicazione in caso di affidamento di forniture ricadenti nel Perimetro di Sicurezza Nazionale Cibernetica e all’articolo 32 introduce il Codice di condotta tecnologica che “disciplina  le  modalità  di progettazione, sviluppo e implementazione  dei  progetti,  sistemi  e servizi digitali delle amministrazioni pubbliche,  nel  rispetto  del principio di  non  discriminazione,  dei  diritti  e  delle  libertà fondamentali delle persone e della disciplina in materia di Perimetro Nazionale di Sicurezza Cibernetica.” (capo 2). Per approfondimenti si veda anche il Dossier 275 della Camera.