Il quadro normativo di cybersecurity europeo e italiano è particolarmente articolato e negli anni si è stratificato con interventi normativi non armonizzati tra loro.  Nell’articolo sono riportati i più recenti provvedimenti europei e italiani, con un focus specifico sul settore delle telecomunicazioni italiane.

Regolamento n. 881/2019 (Cybersecurity Act)

Il Regolamento n. 881/2019 (Cybersecurity Act) ha introdotto due novità principali nel panorama della cybersecurity europea:

  • la creazione di un quadro permanente per la cooperazione tra le autorità nazionali competenti in materia di cybersecurity, coordinato dall’Agenzia dell’Unione europea per la cybersecurity (ENISA);
  • l’istituzione di un sistema di certificazione europeo per i prodotti, i servizi e i processi di cybersecurity, volto a garantire un livello elevato e uniforme di sicurezza in tutta l’Unione. Il Regolamento è entrato in vigore il 27 giugno 2019 ed è direttamente applicabile in tutti gli Stati membri.

L’ENISA ha il compito di contribuire a migliorare la capacità e la resilienza della rete e dei sistemi informativi nell’UE, nonché a promuovere la cooperazione e lo scambio di informazioni tra gli Stati membri e le istituzioni dell’UE. L’ENISA è stata creata nel 2004 con il regolamento (CE) n. 460/2004 e ha sede ad Atene, in Grecia, con un ufficio secondario a Heraklion, in Creta. In ottemperanza al Cybersecurity Act, l’ENISA svolge inoltre un ruolo di supporto nella definizione e nell’attuazione delle politiche e delle normative in materia di cybersecurity a livello europeo.

Direttiva n. 2557/2022 sulla resilienza dei soggetti critici (Direttiva CER – Resilience of Critical Entities)

La Direttiva CER sulla resilienza dei soggetti critici (Direttiva CER) è una normativa dell’Unione europea che mira a rafforzare la sicurezza e la resilienza delle entità che forniscono servizi essenziali in settori strategici come quello di energia, trasporti, finanziario, sanità, alimentare e acqua.

La direttiva europea stabilisce requisiti minimi di sicurezza per le entità critiche e prevede una maggiore cooperazione tra gli Stati membri e la Commissione europea nella gestione dei rischi e degli incidenti transfrontalieri.

La direttiva sostituisce e amplia la precedente Direttiva 2008/114/CE sui soggetti critici per le infrastrutture europee (EPCIP), introducendo:

  • nuovi obblighi di notifica degli incidenti di sicurezza;
  • necessità di condurre audit periodici;
  • creazione di piani di sicurezza;
  • necessità di effettuare periodici test di resistenza.

La direttiva è stata adottata dal Parlamento europeo e dal Consiglio il 14 dicembre 2022 ed è entrata in vigore il 16 gennaio 2023. Gli Stati membri hanno tempo fino al 17 ottobre 2024, per recepire la direttiva nel diritto nazionale.

Direttiva NIS 2 (Dir. n. 2555/2022

La Direttiva NIS 2 sulla sicurezza delle reti e dei sistemi informativi è una normativa dell’Unione europea che mira a rafforzare la capacità di prevenire, affrontare e rispondere agli incidenti informatici che possono avere un impatto significativo sul mercato interno e sulla società.

La direttiva aggiorna e sostituisce la precedente Direttiva NIS del 2016 (NIS1). I cinque punti salienti della direttiva NIS 2 sono:

  • la definizione di incidente informatico come qualsiasi evento che ha un effetto negativo sulla sicurezza delle reti e dei sistemi informativi, indipendentemente dalla sua origine, natura, durata o impatto;
  • l’introduzione di una scala comune per valutare la gravità degli incidenti informatici, basata su cinque criteri: numero di utenti colpiti, durata dell’interruzione, aree geografiche interessate, grado di degrado del servizio e impatto trasversale;
  • l’obbligo per gli OSE e i FSD di notificare gli incidenti informatici alle autorità nazionali competenti entro 24 ore dalla loro conoscenza o presunzione, e di fornire informazioni dettagliate entro 72 ore;
  • l’istituzione di un regime sanzionatorio uniforme per gli OSE e i FSD che non rispettano i requisiti della direttiva, che può prevedere multe fino al 2% del fatturato annuo globale o a 10 milioni di euro, a seconda di quale sia il maggiore;
  • il rafforzamento del ruolo dell’ENISA, che diventa l’autorità di riferimento per la sicurezza informatica nell’UE, con il compito di assistere gli Stati membri e la Commissione nella definizione e nell’attuazione delle politiche e delle misure in materia di NIS.

Tra le novità introdotte dalla Direttiva NIS2, rispetto a NIS1, vi sono:

  • l’ampliamento dell’ambito di applicazione della direttiva a nuovi settori strategici per l’economia e la società digitale, quali il cloud computing, i social network, i fornitori di servizi di pagamento online, i servizi di identificazione elettronica, nonché le infrastrutture critiche per la salute, l’energia, il trasporto, la gestione delle acque e dei rifiuti;
  • l’introduzione di un quadro armonizzato di requisiti minimi di sicurezza informatica per gli operatori di servizi essenziali (OSE) e i fornitori di servizi digitali (FSD), basato su principi generali e standard internazionali, che devono essere adeguati al livello di rischio e al profilo di maturità degli operatori;
  • la previsione di una maggiore cooperazione tra gli Stati membri, attraverso lo scambio di informazioni, la realizzazione di esercitazioni congiunte, la creazione di gruppi di lavoro tematici e la designazione di punti di contatto nazionali per la NIS.

La Direttiva NIS2 dovrà essere recepita dagli Stati membri entro il 17 ottobre 2024. In Italia, il processo di attuazione della normativa europea in materia di sicurezza informatica è ancora in fase preliminare. Al momento, c’è una proposta di legge di recepimento e sono in atto le consultazioni con tutti i soggetti pubblici e privanti interessati ed impattati dalla normativa.

Reg. n. 2554/2022 (DORA)

Il DORA (Digital Operational Resilience Act) è un regolamento europeo che mira a rafforzare la resilienza operativa delle entità del settore finanziario nell’affrontare i rischi informatici.

Il regolamento DORA si applica a un’ampia gamma di entità, tra cui banche, assicurazioni, fondi pensione, società finanziarie, operatori di sistemi di pagamento e cripto-asset service provider. La normativa prevede una serie di requisiti per le entità finanziate, tra cui: la gestione dei rischi informatici, la valutazione della conformità dei fornitori di servizi ICT, il testing delle infrastrutture critiche, l’incident reporting e il monitoraggio della supervisione.

DORA introduce anche un meccanismo di “oversight” per gli operatori di servizi ICT critici, che forniscono soluzioni tecnologiche essenziali per le entità finanziate, come il cloud computing, i big data o l’intelligenza artificiale. Questi operatori dovrebbero ottenere una certificazione dell’UE e sottostare al controllo delle autorità competenti.

Il DORA è direttamente applicabile in tutti gli Stati membri dell’UE, senza bisogno di recepimento nelle legislazioni nazionali. Tuttavia, gli Stati membri dovranno adeguare le proprie normative e autorità di vigilanza ai requisiti e alle competenze previste dal DORA.

Perimetro di Sicurezza Nazionale Cibernetica (PSNC)

Il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) è un sistema di protezione delle infrastrutture critiche nazionali, che comprende le reti e i sistemi informativi pubblici e privati essenziali per la sicurezza, la difesa, l’ordine pubblico, la salute, l’energia, le comunicazioni e il funzionamento dei servizi finanziari. Il PSNC è stato istituito il 21 settembre 2019, con il decreto-legge n. 105/2019, convertito con la legge n. 133/2019.

Il PSNC prevede l’identificazione degli operatori di tali infrastrutture, che devono rispettare specifici obblighi in materia di sicurezza informatica, tra cui l’adozione di misure organizzative, tecniche e procedurali, la notifica di eventuali incidenti, la partecipazione a esercitazioni e test, la cooperazione con le autorità competenti e il rispetto di vincoli di loc

alizzazione dei dati e delle attività.

Il PSNC stabilisce anche le modalità di intervento del Governo in caso di crisi cibernetica; in particolare Il PSNC attribuisce al Presidente del Consiglio dei Ministri il potere di adottare misure di salvaguardia, anche eccezionali e urgenti, nei confronti degli operatori del PSNC, qualora sussistano gravi e imminenti minacce alla sicurezza nazionale. Il PSNC prevede infine sanzioni amministrative e penali per gli operatori che violano gli obblighi previsti dalla normativa.

Un ruolo chiave nella attuazione del PSNC è dato alla Agenzia Nazionale per la Cybersecurity (ACN). ACN è un ente pubblico dotato di autonomia organizzativa e finanziaria, istituito con il decreto Legge n.82 del 14 giugno 2021, convertito con la legge del 4 agosto 2021, n. 109.

La missione di ACN è quella di garantire la sicurezza cibernetica del Paese, attraverso la prevenzione, il contrasto e la gestione delle minacce informatiche che possono compromettere le infrastrutture critiche nazionali, le attività strategiche e gli interessi vitali della Nazione. Il suo ruolo per l’attuazione del Perimetro di Sicurezza Nazionale Cibernetica (PSNC) è quello di:

  • definire i criteri e le modalità per l’individuazione degli operatori del PSNC e dei soggetti equiparati;
  • svolgere funzioni di supervisione, controllo e supporto tecnicooperativo sugli operatori del PSNC e sui soggetti equiparati;
  • collaborare con il Dipartimento delle Informazioni per la Sicurezza (DIS) e con il Comitato Interministeriale per la Sicurezza della Repubblica (CISR) per la valutazione delle minacce e dei rischi cibernetici;
  • predisporre piani ed esercitazioni per la gestione delle crisi cibernetiche, in coordinamento con il Dipartimento della Protezione Civile;
  • partecipare alle attività di cooperazione internazionale in materia di sicurezza cibernetica, in rappresentanza dell’Italia.

La disciplina Golden Power, che trova origine e fondamento nel decreto-legge 15 marzo 2012, n. 21, (convertito con modificazioni dalla legge n. 56 dell’11 maggio 2012), ha impatto significativo negli assetti societari, nella governance aziendale e nelle operazioni di M&A extra-transazionali. Alcuni aspetti della normativa riguardano anche la cyber-sicurezza.

La Golden Power negli anni ha subito numerosissime modifiche e integrazioni. La più significativa in ambito telecomunicazioni è il D.L. n. 21 del 2012, l’articolo 1-bis, che disciplina l’esercizio dei poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G.

L’articolo stabilisce che il Governo ha poteri speciali sulle reti di telecomunicazione elettronica a banda larga con tecnologia 5G, quando queste sono rilevanti per la sicurezza nazionale o la difesa. I poteri speciali consistono in:

  • l’obbligo di comunicare al Governo ogni operazione di acquisizione o alienazione di partecipazioni, beni o rapporti giuridici riguardanti le reti 5G;
  • l’autorizzazione preventiva del Governo per qualsiasi accordo o contratto con fornitori di componenti o servizi per le reti 5G, se questi provengono da paesi terzi all’Unione europea o all’area economica europea;
  • la possibilità di imporre prescrizioni o divieti alle imprese che gestiscono le reti 5G, per garantire la sicurezza e il funzionamento delle stesse;
  • misure di sicurezza ad-hoc per l’accesso da remoto dei fornitori degli apparati di telecomunicazioni (vedi MFA e tracciamento delle operazioni), la review e il test periodico del codice (come DAST e SAST), dettagliate procedure di configuration and release management.

Termino la carrellata di normative di cyber-security citando anche direttive europee che coprono ambiti continui alla cyber-security ma che hanno un impatto sulla sicurezza informatica sia a livello strategico che operativo; su tutte il GDPR per privacy e data protection e l’EU Artificial Intelligence Act per quel che riguarda l’uso consapevole e sicuro dell’AI.

Il PSNC, la disciplina Golden Power e le altre normative nazionali in materia di sicurezza informatica e resilienza operativa dovranno necessariamente essere coordinati e armonizzati con la NIS 2 (per tutte le infrastrutture critiche) e il DORA (per il settore finanziario), al fine di evitare sovrapposizioni o conflitti tra i diversi livelli di regolazione e supervisione.

La necessità di contrastare il “cybercrime” e gli “state sponsored attack” richiede focalizzazione da parte delle infrastrutture critiche italiane (in gran parte private) e un approccio che sia “risk-based” e non meramente finalizzato alla mera compliance normativa. È fondamentale quindi incoraggiare qualsiasi azione volta a semplificare il quadro normativo e di compliance alla cyber-security e facilitare la collaborazione tra pubblico (in particolare con ACN) e privato.

Autore: Corradino Corradi

Twitter
Visit Us
LinkedIn
Share
YOUTUBE