Minacce e attori in campo
Conoscere le minacce alla sicurezza informatica. Prevenire attacchi e incidenti. Agire. Una guida alle imprese in cinque contributi sulla normativa italiana in materia di cybersecurity. In questo contributo, le principali minacce alla sicurezza informatica e gli attori in campo.
La materia della cybersecurity, prima relegata in normative settoriali, dal 2018 circa è al centro dell’intervento del legislatore europeo e italiano.
L’aumento esponenziale degli attacchi informatici e l’acquisita consapevolezza della gravità delle loro conseguenze ai danni dello Stato, delle imprese e delle persone hanno impresso un’evidente accelerazione alla produzione normativa.
Dal GDPR al codice europeo delle comunicazione elettroniche, dall’attuazione della Direttiva NIS al perimetro di sicurezza nazionale cibernetica, gli obblighi in materia di cybersecurity riguardano oramai una platea sempre più ampia di soggetti.
Attraverso cinque contributi, di cui questo costituisce il primo, esploreremo contenuti e finalità della normativa italiana in materia di cybersecurity.
Cominciamo, quindi, partendo dai dati.
Secondo l’“Enisa Threat Landscape 2021”, pubblicato nel mese di ottobre dello scorso anno, delle nove categorie di minacce alla sicurezza informatica, nel 2021 è il ransomware ad averla fatta da padrone.
Lo schema del ransomware è quello dell’estorsione: gli hacker criptano i dati di un’organizzazione e richiedono il pagamento di una somma di denaro (in genere in criptovaluta) per ripristinare l’accesso agli stessi. Talvolta, l’attacco non si limita alla criptazione dei dati ma consiste anche nell’esfiltrazione degli stessi a cui segue la minaccia di renderli pubblici in caso di mancato pagamento del riscatto.
Un’altra categoria di minacce alla sicurezza informatica che non conosce battute d’arresto è quella legata alle email. Di queste, il phishing è la più nota. Nella sua versione più semplice, l’hacker, spacciandosi per un’altra persona, invia un’email alla vittima chiedendo di fornire informazioni quali numeri di carte di credito o password. La tecnica di phishing più sofisticata e che sta prendendo sempre più piede, almeno in Italia, è denominata BEC (Business Email Compromise). In genere, la BEC viene realizzata in questo modo: l’hacker sottrae le credenziali di accesso all’account email di un dipendente o di un dirigente di un’organizzazione mediante una normale azione di phishing; dopodiché, spacciandosi per un apicale chiede a un proprio dipendente di effettuare un pagamento su un certo conto corrente bancario o, spacciandosi per un fornitore, chiede al committente il pagamento dei compensi dovuti su coordinate bancarie diverse da quelle originariamente comunicate dal reale fornitore.
In calo, rispetto al 2020, è invece il numero di attacchi dovuti a malware.
Se queste sono le principali minacce alla sicurezza informatica per la generalità delle imprese, per i fornitori di reti pubbliche di comunicazioni e di servizi di comunicazione elettronica accessibili al pubblico gli incidenti di sicurezza causati da azioni intenzionali esterne rappresentano una piccola percentuale.
Il report annuale “Telecom Security Incident 2020”, rilasciato dall’Enisa nel mese di giugno dello scorso anno, mostra come del totale degli incidenti di sicurezza subiti da operatori di telecomunicazione il 61% è dovuto a guasti dei sistemi (per lo più, guasti hardware e bug dei software), il 26% a errori umani, il 9% a fenomeni naturali (come incendi, alluvioni, etc.) e solo il 4% ad attacchi informatici.
Quando si verifica un incidente di sicurezza, si sa, c’è sempre una vittima.
Potenzialmente, qualsiasi soggetto può essere vittima di un incidente di sicurezza.
Come vedremo nel prosieguo alcuni soggetti sono però più coinvolti di altri o perché operano in settori industriali più esposti al rischio di attacchi informatici o perché prestano servizi essenziali il cui mancato funzionamento potrebbe persino mettere a repentaglio la sicurezza nazionale. In questa prospettiva, sempre secondo l’“Enisa Threat Landscape 2021”, i settori più colpiti risultano essere la pubblica amministrazione, il settore dei servizi digitali e quello farmaceutico e medicale.
Quasi sempre a dare causa agli incidenti ci sono delle persone fisiche.
Anche se – come abbiamo visto – non tutti gli incidenti di sicurezza sono il risultato di azioni intenzionali esterne, gli hacker rappresentano certamente – almeno nell’immaginario collettivo – i principali protagonisti di questo fenomeno.
Si tratta di singoli individui o, il più delle volte, di gruppi organizzati che agiscono nell’interesse proprio o di terzi allo scopo di conseguire profitti o altre utilità illecite. In alcuni frangenti, l’azione degli hacker si inserisce in più complesse strategie geopolitiche di stati nazionali, che tollerano se non anche spalleggiano la loro attività criminale. Nell’ultimo anno, i gruppi di hacker più attivi, in termini sia di numero di attacchi che di entità delle richieste di riscatto, sono stati Conti e REvil.
Sul fronte opposto, oltre alle forze di polizia e all’autorità giudiziaria, preposte alla prevenzione e alla repressione dei fenomeni di criminalità informatica, sono diverse le autorità statali coinvolte a vario titolo nella gestione degli incidenti di sicurezza.
Il Garante per la Protezione dei Dati Personali (il “Garante”) è l’autorità competente a ricevere le notifiche di violazione di dati personali. Ha poteri sanzionatori e ispettivi.
L’Agenzia per Cybersicurezza Nazionale (l’“Agenzia”), istituita con Decreto Legge n. 82/2021, è l’autorità che, tra le altre cose, fornisce assistenza e supporto ai soggetti pubblici e privati nazionali, che erogano servizi essenziali, nella prevenzione e mitigazione degli incidenti, nonché ai fini del ripristino dei sistemi. All’Agenzia fanno capo il Computer Security Incident Response Team (“CSIRT”), il Centro di Valutazione e Certificazione Nazionale per lo scrutinio tecnologico degli asset digitali strategici nazionali nonché il Centro Nazionale di Coordinamento per la cybersicurezza. Come il Garante, anche l’Agenzia ha poteri ispettivi e sanzionatori.
In via transitoria e fino a che l’Agenzia non diverrà pienamente operativa, conserva le competenze già attribuite il Ministero dello Sviluppo Economico e, in particolare, la Direzione Generale per le Tecnologie delle Comunicazioni e la Sicurezza Informatica a cui fa capo l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (“ISCTI”).
Oltre al Ministero dello Sviluppo Economico, sono coinvolti nella gestione degli incidenti di sicurezza anche la Presidenza del Consiglio dei Ministri e taluni suoi organi interni come il Comitato Interministeriale per la Cybersicurezza (“CIC”) e il Comitato Interministeriale per la Sicurezza della Repubblica (“CISR”), il Dipartimento delle Informazioni per la Sicurezza (“DIS”) e gli ulteriori quattro Ministeri (oltre a Sviluppo Economico, anche Infrastrutture e Mobilità Sostenibile, Economia, Salute e Transizione Ecologica) che agiscono in qualità di autorità NIS.
Il GDPR e le violazioni di dati personali
Il secondo contributo sulla normativa italiana in materia di cybersecurity. In questo contributo, le violazioni di dati personali e gli obblighi previsti dal GDPR a carico di titolari e responsabili del trattamento.
L’art. 4, n. 12, del Regolamento (UE) 2016/679 (di seguito, il “GDPR”) definisce “violazione dei dati personali” come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Le violazioni dei dati personali, quindi, possono essere classificate in:
Due sono gli obblighi principali che il GDPR impone al titolare del trattamento in caso di violazione dei dati personali.
Il primo, previsto dall’art. 33 (1) GDPR, è quello di notificare la violazione all’autorità di controllo competente; il secondo, previsto dal successivo art. 34 (1) GDPR, è quello di darne comunicazione agli interessati.
La notifica all’autorità di controllo è sempre obbligatoria tranne nel caso in cui “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
Esiste un rischio per i diritti e le libertà delle persone fisiche quando la violazione è anche solo potenzialmente idonea a cagionare un danno, materiale o immateriale, all’interessato.
Per quanto riguarda il tempo della notifica, essa deve essere effettuata “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui [il titolare del trattamento] ne è venuto a conoscenza”, ovvero dal momento in cui è ragionevolmente certo che si è verificato un incidente di sicurezza che ha portato alla compromissione dei dati personali. In caso di notifica effettuata oltre le 72 ore, il titolare è tenuto a dare conto dei motivi del ritardo. Il responsabile del trattamento che venga a conoscenza della violazione, invece, è tenuto a informarne il titolare senza ingiustificato ritardo e quindi appena possibile.
Quanto alla forma, ai contenuti e alle modalità di trasmissione della notifica all’autorità di controllo, è quest’ultima a stabilirne i requisiti, che possono anche andare al di là dei requisiti minimi richiesti dal GDPR.
Nello specifico, dal 1° luglio 2021, la notifica al Garante può essere effettuata esclusivamente attraverso la procedura telematica resa disponibile nel portale dei servizi online dell’autorità medesima, e raggiungibile all’indirizzo https://servizi.gpdp.it/databreach/s/.
A effettuare la notifica può essere direttamente il titolare, a mezzo di un legale rappresentante, ovvero un suo delegato, a cui dovrebbero essere conferiti mediante procura i poteri di agire nell’ambito della procedura in questione in nome e per conto del titolare.
Al soggetto che effettua la notifica (la cui identità è accertata al momento dell’accesso al servizio tramite SPID, CIE o CNS ovvero al momento della sottoscrizione della notifica tramite firma digitale) viene richiesto di fornire un certo numero di informazioni. Le richieste di informazioni sono organizzate nelle seguenti sezioni:
A) Dati del soggetto che effettua la notifica;
B) Tipo di notifica;
C) Titolare del trattamento;
D) Dati di contatto per informazioni relative alla violazione;
E) Ulteriori soggetti coinvolti nel trattamento;
F) Informazioni sulla violazione;
G) Probabili conseguenze della violazione;
H) Misure adottate a seguito della violazione;
I) Valutazione del rischio per gli interessati;
L) Comunicazione della violazione agli interessati;
M) Altre informazioni;
N) Informazioni relative a violazioni transfrontaliere;
O) Informazioni relative a violazioni che riguardano il trattamento effettuato da un titolare stabilito al di fuori dello Spazio Economico Europeo.
Per quanto riguarda la comunicazione agli interessati, invece, essa è obbligatoria “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. La soglia di rischio richiesta in relazione alla comunicazione è quindi più elevata rispetto a quella richiesta in relazione alla notifica; non tutte le violazioni notificate all’autorità di controllo, pertanto, devono essere comunicate agli interessati.
Quanto ai tempi della comunicazione, essa deve essere effettuata “senza ingiustificato ritardo” ovvero il prima possibile.
L’obiettivo principale di questo adempimento è di fornire agli interessati informazioni di dettaglio sulle misure che gli stessi possono adottare per proteggersi da eventuali conseguenze pregiudizievoli della violazione.
Non sono previste modalità o formalità specifiche per effettuare la comunicazione.
L’art. 34 (2) GDPR richiede unicamente che la comunicazione, oltre a individuare nome e dati di contatto del responsabile della protezione dei dati (il c.d. Data Protection Officer o DPO) o altro punto di contatto, descriva, con un linguaggio semplice e chiaro, la natura della violazione dei dati personali, le probabili conseguenze della violazione e le misure adottate o di cui si propone l’adozione per rimediare alla violazione in questione.
L’obbligo di comunicazione non sussiste, in ogni caso, quando:
Alla luce di quanto sopra, è evidente che la valutazione dell’esistenza di un rischio (o di un rischio elevato), non appena si viene a conoscenza di una violazione, è fondamentale per comprendere se procedere con la notifica al Garante e la comunicazione agli interessati oltre che, naturalmente, per adottare misure efficaci per contenere e risolvere la violazione.
A questo riguardo, il WP29, con le sue “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679 (WP250)”, successivamente fatte proprie dallo European Data Protection Board, elenca e descrive sette fattori di rischio da considerare, richiamando il documento di dicembre 2013 “Recommendations for a methodology of the assessment of severity of personal data breaches” adottato dall’Enisa, contenente una metodologia per la valutazione della gravità della violazione, quale utile strumento per la predisposizione da parte dei titolari del piano di intervento. Questi fattori includono:
A titolo esemplificativo, sulla base delle citate linee guida, un attacco informatico che ha reso indisponibili per un periodo di 30 ore le cartelle cliniche di un ospedale dovrà essere notificato al Garante e comunicato agli interessati, in quanto può verificarsi un rischio elevato per la salute e la tutela della vita privata dei pazienti.
Una breve interruzione di corrente di alcuni minuti presso il call center di un titolare, che impedisce ai clienti di chiamare il titolare e accedere alle proprie registrazioni, non costituirebbe invece violazione soggetta né all’obbligo di notifica né all’obbligo di comunicazione.
Vi è, inoltre, un ulteriore adempimento posto a carico del titolare del trattamento, in caso di violazione, e ciò a prescindere dal fatto che la stessa venga o meno notificata e comunicata all’autorità e agli interessati.
Il titolare è, infatti, tenuto a documentare qualsiasi violazione dei dati personali, comprese le circostanze ad essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Anche con riguardo a questa attività non sono previste specifiche modalità o formalità; nella prassi, le società si sono dotate di un registro delle violazioni che, appunto, viene completato con le informazioni in questione. Si tratta, evidentemente, di uno strumento che consente al titolare di dimostrare in ottica di accountability (e all’autorità di verificare) il rispetto della normativa applicabile.
Segnaliamo che la disciplina appena descritta, introdotta e compiutamente regolata dal GDPR, trova ora applicazione, come da provvedimento del Garante del 30 luglio 2019, anche con riferimento agli obblighi di comunicazione delle violazioni di dati personali previsti a carico dei fornitori di servizi di comunicazione elettronica, dalla direttiva 2002/58/CE (c.d. direttiva e-Privacy) e dalla relativa normativa nazionale di attuazione (d.lgs. 69/2012, che ha a sua volta apportato specifiche modifiche, su questi temi, al d.lgs. 196/2003) nonché agli obblighi di comunicazione in materia di dossier sanitario, biometria, circolazione delle informazioni in ambito bancario e scambio dei dati personali tra amministrazioni pubbliche.
Infine, alcune informazioni di natura statistica.
Per quanto riguarda le violazioni notificate al Garante, l’autorità ha registrato 1.443 casi nel 2019, e 1.387 nel 2020; nel 2018, invece, i casi erano solo 650 (cfr., rispettivamente, la relazione annuale del 2020 e del 2021).
Dei circa 60 provvedimenti pubblicati dall’autorità su questi temi nell’ultimo anno (aprile 2021-gennaio 2022), la quasi totalità ha riguardato azioni accidentali interne (come episodi di erronea trasmissione/condivisione di dati a soggetti non autorizzati); i rimanenti casi, relativi ad azioni intenzionali esterne, hanno riguardato attacchi ransomware.
Quanto alla tipologia di sanzioni applicate, l’autorità ha rivolto ai soggetti coinvolti ammonimenti o comminato sanzioni amministrative pecuniarie.
Tra le sanzioni più alte, il Garante ha sanzionato un istituto di credito per l’importo di euro 1.650.000, non per violazioni specifiche degli artt. 33 e 34 del GDPR, ma per non aver adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, circostanza emersa, appunto, nel corso dell’attività istruttoria svolta dall’autorità.
Il codice delle comunicazioni elettroniche e gli obblighi a carico dei fornitori di reti pubbliche di comunicazioni e di servizi di comunicazione elettronica accessibili al pubblico
Il terzo contributo sulla normativa italiana in materia di cybersecurity. In questo contributo, gli obblighi previsti dal codice delle comunicazioni elettroniche a carico dei fornitori di reti pubbliche di comunicazioni e di servizi di comunicazione elettronica accessibili al pubblico relativi alle misure di sicurezza da adottare e alla comunicazione degli incidenti rilevanti.
Per talune imprese, esistono obblighi in materia di sicurezza informatica che si aggiungono a quelli a cui sono soggette ai sensi del GDPR.
È il caso, ad esempio, delle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico. Tra queste sono compresi gli operatori di telecomunicazione, i fornitori di servizi di messaggistica e chiamate via Internet e i fornitori di altri servizi di comunicazione via Internet.
Gli obblighi a carico dei fornitori di reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico sono due.
Il primo è quello di adottare le misure – di natura tecnica e organizzativa – individuate dall’Agenzia per gestire i rischi per la sicurezza delle reti e dei servizi di comunicazione elettronica accessibili al pubblico (ad esempio, il ricorso a tecniche crittografiche).
L’Agenzia può peraltro impartire ai fornitori di reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico istruzioni vincolanti per porre rimedio a un incidente ovvero per evitare che si verifichi nel caso in cui sia stata rilevata una minaccia significativa.
Ad oggi, l’Agenzia non ha ancora provveduto a individuare le misure di cui sopra. Pertanto, deve ancora farsi riferimento alle misure individuate dall’art. 4 del Decreto 12 dicembre 2018 del Ministero dello Sviluppo Economico in relazione agli asset critici.
Tra le misure individuate dal Decreto figurano, in particolare:
Il secondo obbligo è quello di comunicare all’Agenzia e al CSIRT gli incidenti di sicurezza che sono da considerarsi significativi ai fini del corretto funzionamento delle reti e dei servizi.
L’individuazione degli incidenti di sicurezza significativi è rimessa all’Agenzia, limitandosi la legge a indicare i parametri che l’Agenzia deve considerare ai fini della loro individuazione, e cioè:
a) il numero di utenti interessati dall’incidente di sicurezza;
b) la durata dell’incidente di sicurezza;
c) la diffusione geografica della zona interessata dall’incidente di sicurezza;
d) la misura in cui è colpito il funzionamento della rete o del servizio;
e) la portata dell’incidenza sulle attività economiche e sociali.
In attesa che l’Agenzia provveda alla loro individuazione, trovano applicazione i criteri definiti dall’art. 5 del Decreto 12 dicembre 2018 del Ministero dello Sviluppo Economico per cui un incidente di sicurezza – da intendersi come “una violazione della sicurezza o perdita dell’integrità che determina un malfunzionamento delle reti e dei servizi di comunicazione elettronica” – è significativo quando:
a) ha durata superiore ad un’ora e la percentuale degli utenti colpiti è superiore al quindici per cento del totale degli utenti nazionali del servizio interessato;
b) ha durata superiore a due ore e la percentuale degli utenti colpiti è superiore al dieci per cento del totale degli utenti nazionali del servizio interessato;
c) ha durata superiore a quattro ore e la percentuale degli utenti colpiti è superiore al cinque per cento del totale degli utenti nazionali del servizio interessato;
d) ha durata superiore a sei ore e la percentuale degli utenti colpiti è superiore al due per cento del totale degli utenti nazionali del servizio interessato;
e) ha durata superiore ad otto ore e la percentuale degli utenti colpiti è superiore all’uno per cento del totale degli utenti nazionali del servizio interessato.
Nelle more del trasferimento di funzioni in materia di cybersicurezza dal Ministero dello Sviluppo Economico all’Agenzia, la comunicazione deve essere effettuata al CSIRT e all’ISCTI.
Il termine per la comunicazione è di 24 ore dalla rilevazione dell’incidente. La comunicazione effettuata nel termine di 24 ore deve almeno contenere informazioni circa:
a) il servizio interessato;
b) la durata dell’incidente qualora concluso, ovvero la stima della conclusione se ancora in corso;
c) l’impatto stimato sull’utenza del servizio interessato in termini percentuali rispetto alla base di utenti nazionale per il medesimo servizio.
Entro 5 giorni dalla comunicazione, deve poi essere trasmesso un rapporto recante:
a) una descrizione dell’incidente;
b) la causa dell’incidente quale, a titolo meramente esemplificativo ma non esaustivo, errore umano, guasto, fenomeno naturale, azioni malevoli, guasti causati da terze parti;
c) le conseguenze sul servizio fornito;
d) le infrastrutture e i sistemi colpiti;
e) l’impatto sulle interconnessioni a livello nazionale;
f) le azioni di risposta per mitigare l’impatto dell’incidente;
g) le azioni per ridurre la probabilità del ripetersi dell’incidente o di incidenti simili.
Per verificare gli obblighi appena descritti, l’Agenzia può richiedere ai fornitori di reti e servizi ogni e qualsiasi informazione necessaria per valutare la sicurezza delle reti e dei servizi (in particolare i documenti relativi alle politiche di sicurezza) nonché effettuare, direttamente o per il tramite di un terzo incaricato, verifiche e ispezioni.
Le sanzioni, in caso di violazione degli obblighi descritti sopra, sono piuttosto elevate.
L’inosservanza delle misure di sicurezza è punita con una sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000 e la mancata comunicazione degli incidenti di sicurezza significativi con una sanzione amministrativa pecuniaria da euro 300.000 ad euro 1.800.000. Infine, per la mancata fornitura delle informazioni necessarie per valutare la sicurezza è prevista una sanzione amministrativa pecuniaria da euro 200.000 a euro 1.000.000.
Le sanzioni possono, in ogni caso, essere ridotte fino ad un terzo, tenuto conto della minima entità della violazione; dell’opera svolta dall’agente per l’eventuale eliminazione o attenuazione delle conseguenze della violazione e delle dimensioni economiche dell’operatore.
La Direttiva NIS e gli obblighi a carico degli operatori di servizi essenziali e dei fornitori di servizi digitali
Il quarto contributo sulla normativa italiana in materia di cybersecurity. In questo contributo, gli obblighi previsti dalla Direttiva NIS sulla sicurezza delle reti e dei sistemi informativi a carico degli operatori di servizi essenziali e dei fornitori di servizi digitali.
La Direttiva (UE) 2016/1148 sulla sicurezza delle reti e dei sistemi informativi (la “Direttiva NIS”), recepita in Italia ad opera del d.lgs. n. 65/2018, stabilisce misure volte a conseguire un livello elevato in termini di sicurezza delle reti e dei sistemi informativi utilizzati dagli operatori di servizi essenziali (“OSE”) e dai fornitori di servizi digitali (“FSD”).
Gli OSE sono i soggetti che forniscono un servizio essenziale per il mantenimento di attività sociali e/o economiche fondamentali nei settori dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, sanitario, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. Essi sono individuati, con propri provvedimenti, dalle autorità NIS. L’elenco recante i nominativi degli OSE è tenuto presso il Ministero dello Sviluppo Economico ed è aggiornato a cadenza biennale.
Tra gli FSD rientrano invece le imprese che forniscono servizi digitali di e-commerce, cloud computing e motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale.
Ai sensi dell’art. 12 del d.lgs. n. 65/2018, gli OSE sono tenuti a:
a) adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni;
b) adottare misure adeguate per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuita’ di tali servizi;
c) notificare al CSIRT gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti.
Analoghi obblighi sono previsti dall’art. 14 del d.lgs. n. 65/2018 a carico dei FSD che devono:
a) identificare e adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano nel contesto dell’offerta dei servizi all’interno dell’Unione Europea;
b) adottare misure per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi del fornitore di servizi digitali sui servizi offerti all’interno dell’Unione europea, al fine di assicurare la continuità di tali servizi;
c) notificare al CSIRT gli incidenti aventi un impatto rilevante sulla fornitura di un servizio che essi offrono all’interno dell’Unione Europea.
Le notifiche degli incidenti rilevanti devono essere effettuate “senza ingiustificato ritardo”, secondo le modalità definite dal CSIRT ed eventualmente da ciascuna autorità NIS di settore con proprie linee guida.
È ammessa inoltre la possibilità per coloro che non rientrano nella definizione di OSE né in quella di FSD di effettuare la notifica su base volontaria secondo le modalità previste dall’art. 17 del d.lgs. n. 65/2018.
Sia gli OSE che gli FSD sono infine tenuti a fornire le informazioni necessarie per valutare la sicurezza della loro rete e dei loro sitemi informativi e a porre rimedio ad ogni mancato adempimento o carenza rilevata.
A vigilare sull’applicazione della Direttiva NIS è l’Agenzia (nella cui struttura – come detto – è inserito il CSIRT), designata dall’art. 7 del d.lgs. n. 65/2018 quale autorità nazionale competente NIS e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi. Sono invece designate quali autorità di settore (che collaborano con l’autorià nazionale competente NIS).
a) il Ministero dello sviluppo economico per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonché per i servizi digitali;
b) il Ministero delle infrastrutture e della mobilità sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d’acqua e su strada;
c) il Ministero dell’economia e delle finanze, per il settore bancario e per il settore infrastrutture dei mercati finanziari;
d) il Ministero della salute, per l’attività di assistenza sanitaria prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso, e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità sanitarie territorialmente competenti, per le attività di assistenza sanitaria prestata dagli operatori autorizzati e accreditati dalle Regioni o dalle Province autonome negli ambiti territoriali di rispettiva competenza;
e) il Ministero della transizione ecologica per il settore energia, sottosettori energia elettrica, gas e petrolio;
f) il Ministero della transizione ecologica e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità territorialmente competenti, in merito al settore fornitura e distribuzione di acqua potabile.
In caso di mancato rispetto degli obblighi previsti dalla Direttiva NIS sono previste sanzioni amministrative fino a euro 150.000 che sono irrogate dall’autorità nazionale competente NIS.
Segnaliamo che alla luce di alcune criticità emerse in questi primi anni di attuazione della Direttiva NIS, la Commissione Europea ha presentato una proposta di revisione della stessa (denominata Direttiva NIS 2), la quale prevede tra le altre cose: notifiche degli incidenti con impatto rilevante entro il termine di 24 ore; estensione dell’ambito soggettivo di applicazione a produttori di dispositivi medici, operatori della gestione dei rifiuti e gestori di servizi postali; OSE identificati direttamente dalla Direttiva e non dagli Stati membri; sanzioni decise dagli Stati membri maggiorate però fino ad un massimo di 10 milioni di euro o al 2% del fatturato totale annuo globale dell’impresa interessata.
Il perimetro di sicurezza nazionale cibernetica
Il quinto e ultimo contributo sulla normativa italiana in materia di cybersecurity. In questo contributo, il perimetro di sicurezza nazionale cibernetica e gli obblighi previsti a carico dei soggetti inclusi del perimetro relativi alla notifica degli incidenti e all’affidamento di forniture di beni, sistemi e servizi ICT.
Il perimetro di sicurezza nazionale cibernetica è stato istituito a opera dell’art. 1 (1) del Decreto Legge n. 105/2019 “al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di funzioni essenziali dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.
Il Decreto Legge in questione demanda a successivi Decreti del Presidente del Consiglio dei ministri il compito di definire:
a) i criteri e le modalità per l’individuazione dei soggetti inclusi nel perimetro nazionale di sicurezza cibernetica e le regole che disciplinano gli obblighi derivanti dall’appartenenza al perimetro di sicurezza nazionale;
b) le procedure di notifica degli incidenti verificatisi su reti, sistemi informativi e sistemi informatici inclusi nel perimetro e le relative misure di sicurezza;
c) le procedure, le modalità e i termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici individuati nell’elenco trasmesso alla Presidenza del Consiglio dei Ministri e al Ministero dello Sviluppo Economico.
Il Decreto Legge individua poi i compiti del Centro di Valutazione e Certificazione Nazionale (“CVCN”), con riferimento all’approvvigionamento di prodotti, processi, servizi di tecnologie dell’informazione e della comunicazione (ICT) e associate infrastrutture – qualora destinati a reti, sistemi informativi, sistemi informatici ricompresi nel perimetro di sicurezza nazionale cibernetica. Al CVCN è affidato il compito di assicurare la sicurezza (e l’assenza di vulnerabilità) di prodotti, hardware, software, destinati a essere impiegati sulle reti, sui sistemi informativi e servizi informatici dei soggetti inclusi nel perimetro.
Venendo ora all’esame dei decreti attuativi, il DPCM 30 luglio 2020, n. 131 (c.d. “DPCM 1”) ha dettato criteri e modalità procedurali per l’individuazione dei soggetti inclusi nel perimetro nazionale di sicurezza cibernetica e definito i criteri per la predisposizione e l’aggiornamento dell’elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza.
I soggetti inclusi nel perimetro sono individuati dall’art. 2 del DPCM 1 che distingue tra i soggetti che esercitano “funzioni essenziali” dello Stato e i soggetti che esercitano “servizi essenziali” per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato.
Nella prima categoria rientrano tutti quei soggetti a cui l’ordinamento attribuisce compiti volti ad assicurare la continuità dell’azione di Governo e degli organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia e la funzionalità dei sistemi economico e finanziario e dei trasporti.
Nella seconda categoria, invece, rientrano quei soggetti (pubblici o privati) che svolgono: attività strumentali all’esercizio di funzioni essenziali dello Stato; attività necessarie per l’esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica: attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.
Il successivo art. 3 definisce i settori di attività inclusi nel perimetro: in via prioritaria vi rientrano i soggetti operanti nel settore governativo, concernente le attività delle amministrazioni CISR (Comitato Interministeriale per la sicurezza della Repubblica); sono altresì inclusi ulteriori soggetti operanti nelle attività inerenti l’interno, la difesa, lo spazio e aerospazio, l’energia, le telecomunicazioni, l’economia e la finanza, i trasporti, i servizi digitali, le tecnologie critiche, gli enti previdenziali/lavoro.
L’elencazione dei soggetti inclusi nel perimetro è contenuta in un atto amministrativo, adottato su proposta del CISR dal Presidente del Consiglio dei ministri.
Il DPCM 14 aprile 2021, n. 81 (c.d. “DPCM 2”) definisce, invece, le modalità per la notifica degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici afferenti al perimetro nazionale di sicurezza cibernetica.
In particolare, l’art. 2 del DPCM 2 prevede l’obbligo, per i soggetti inclusi nel perimetro, di notificare gli incidenti di sicurezza aventi impatto sui beni ICT di rispettiva pertinenza.
La tassonomia degli incidenti è fornita dalle Tabelle 1 e 2 dell’allegato “A” al DPCM 2, che classificano gli eventi sulla base della loro gravità. Gli incidenti meno gravi sono elencati nella Tabella 1, e sono classificabili nelle seguenti categorie: i) infezione; ii) guasto; iii) installazione; iv) movimenti laterali; v) azioni sugli obiettivi, compresi i casi di esfiltrazione non autorizzata di dati. I casi più gravi sono invece individuati dalla Tabella 2, che individua le seguenti categorie: i) “azioni sugli obiettivi”, che ricomprendono i casi di inibizione delle funzioni di risposta, compromissione dei processi di controllo e disservizio intenzionale; ii) “disservizio”, che ricomprende i casi di violazione del livello di servizio atteso, definito dal soggetto incluso nel perimetro di sicurezza cibernetica ai sensi di quanto previsto nelle misure di sicurezza di cui all’allegato B, specie in termini di disponibilità del bene ICT, nonché i casi di violazione di dati corrotti o esecuzione di operazioni corrotte tramite il bene ICT e divulgazione non autorizzata di dati digitali relativi ai beni ICT.
La distinzione è funzionale alla diversa tempistica definita dal DPCM 2 per adempiere all’obbligo di notifica: gli incidenti indicati nella Tabella 1 devono essere notificati allo CSIRT entro sei ore, gli incidenti più gravi – indicati nella Tabella 2 – devono invece essere notificati entro il termine di un’ora, con decorrenza dal momento in cui i soggetti inclusi nel Perimetro ne siano venuti a conoscenza, anche mediante attività di monitoraggio, test e controllo.
La notifica al CSIRT avviene tramite appositi canali di comunicazione, secondo modalità rese disponibili sul sito web del CSIRT. Su richiesta specifica del CSIRT, il soggetto incluso nel perimetro provvede ad effettuare un aggiornamento della notifica, entro sei ore dalla richiesta.
Una volta definiti i piani di attuazione delle attività per il ripristino dei beni ICT impattati dall’incidente oggetto di notifica, il soggetto incluso nel perimetro che ha proceduto ad effettuare la notifica deve darne comunicazione tempestiva allo CSIRT e trasmette, su richiesta dello CSIRT ed entro trenta giorni, una relazione tecnica che illustra gli elementi significativi dell’incidente, tra cui le conseguenze dell’impatto sui beni ICT derivanti dall’incidente e le azioni intraprese per porvi rimedio, salvo che l’autorità giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa.
I soggetti inclusi nel perimetro possono anche notificare, su base volontaria, gli incidenti relativi ai beni ICT non indicati nelle tabelle di cui all’Allegato A o gli incidenti indicati in dette tabelle ma relativi a reti e sistemi non ICT.
L’organo deputato alla gestione delle notifiche ricevute dallo CSIRT è il Dipartimento delle informazioni per la sicurezza (DIS) che provvede a trasmetterle alle autorità competenti (all’organo del Ministero dell’Interno per la sicurezza e la regolarità dei servizi di telecomunicazione; alla struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione, nel caso in cui le notifiche provengano da un soggetto pubblico; al Ministero dello sviluppo economico, qualora le notifiche provengano da un soggetto privato; alla competente Autorità NIS se la notifica è effettuata da soggetti rientranti nel perimetro applicativo della normativa NIS).
Il DPCM 2 individua altresì le misure di sicurezza che i soggetti inclusi nel perimetro sono tenuti ad adottare rispetto ai beni e servizi ICT di pertinenza.
Le misure sono elencate nell’Allegato B al DPCM 2, in corrispondenza alle categorie individuate dal Decreto Legge n. 105/2019, e devono essere attuate secondo una tempistica specifica. Ad ogni aggiornamento dell’elenco di beni ICT, i soggetti inclusi nel perimetro dovranno adeguare le misure di sicurezza, con le stesse tempistiche previste per la prima adozione.
Da ultimo, il terzo decreto attuativo del Decreto Legge che istituisce il perimetro di sicurezza è il DPCM 15 giugno 2021 (in G.U. n. 198 del 19 agosto 2021) – c.d. DPCM 3 – che, insieme al DPR 5 febbraio 2021, n. 54, individua le categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica e le modalità e procedure relative al funzionamento del CVCN.
In particolare, il DPCM in esame opera una definizione delle procedure, delle modalità e dei termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT, destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici individuati nell’elenco trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico.
Di particolare rilievo è l’obbligo, per i soggetti inclusi nel perimetro di sicurezza cibernetica, di dare comunicazione al CVCN dell’intenzione di avviare le procedure di procurement in relazione ai suddetti beni, sistemi e servizi ICT.
Il DPCM 3 individua, sulla base dei criteri tecnici di cui all’articolo 13 del DPR 54/2021, quattro categorie di beni, sistemi e servizi ICT oggetto di preventiva valutazione da parte del CVCN, ovvero: (i) componenti hardware e software che svolgono funzionalità e servizi di rete di telecomunicazione (accesso, trasporto, commutazione); (ii) componenti hardware e software che svolgono funzionalità per la sicurezza di reti di telecomunicazione e dei dati da esse trattati; (iii) componenti hardware e software per acquisizione dati, monitoraggio, supervisione, controllo, attuazione e automazione di reti di telecomunicazione e sistemi industriali e infrastrutturali; (iv) applicativi software per l’implementazione di meccanismi di sicurezza.
Lo stesso DPCM prevede che le categorie individuate siano aggiornate con cadenza almeno annuale con decreto del Presidente del Consiglio dei ministri, avuto riguardo all’innovazione tecnologica e alla modifica dei criteri tecnici.
Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Paolo Gallarati, Giulio Uras, Virginia Paparozzi, Marco Cappa e Cecilia Moioli