Conferenza CSE

NIS. Le proposte ConferenzaCSE a Governo e Parlamento

82

CONTRIBUTO DELLA SOCIETÀ ENERGIA MEDIA, PROMOTRICE DI CONFERENZACSE – CYBER SECURITY ENERGIA, AI LAVORI DELLA COMMISSIONE SPECIALE DELLA CAMERA DEI DEPUTATI SULLO SCHEMA DI DECRETO LEGISLATIVO DI ATTUAZIONE DELLA DIRETTIVA (UE) 2016/1148 RECANTE MISURE PER UN LIVELLO COMUNE ELEVATO DI SICUREZZA DELLE RETI E DEI SISTEMI INFORMATIVI NELL’UNIONE (ATTO N. 10) – 7 MAGGIO 2018

PREMESSA

La direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (direttiva “NIS”) costituisce uno dei pilastri del nuovo quadro normativo UE in materia di cyber security, unitamente alla Comunicazione della Commissione e del Consiglio del 5 luglio 2016 avente ad oggetto “Rafforzare il sistema di resilienza informatica dell’Europa e promuovere la competitività e l’innovazione nel settore della cyber security”, e alla Decisione della Commissione del 5 luglio 2016 relativa all’istituzione di un partenariato pubblico-privato contrattuale per la sicurezza informatica;

Gli interventi in materia di cyber security sono fondamentali sia per la Strategia per il Mercato Unico Digitale, sia per l’Agenda Europea per la Sicurezza. In linea generale, i loro obiettivi sono rinvenibili nel rafforzamento del livello di sicurezza delle reti e dei sistemi informatici nell’UE, nel consolidamento della cooperazione tra gli Stati, nel favorire le attività di ricerca e sviluppo, nella diffusione tra le imprese e i cittadini della consapevolezza dei rischi e della necessità di dotarsi di adeguati strumenti di protezione;

Una parte rilevante del nuovo quadro normativo è rappresentata dagli obblighi in capo alle imprese identificate come “operatori di servizi essenziali”. In particolare, la direttiva NIS prevede che gli Stati Membri adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi utilizzati nella loro attività.

Adottare misure adeguate per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati, al fine di assicurare la continuità di tali servizi. Notificare senza ritardo all’autorità competente o ad uno CSIRT (Computer Security Incident Response Team – Gruppo di intervento per la sicurezza informatica in caso di incidente) gli eventi con un “impatto rilevante” sulla continuità dei servizi essenziali forniti.

Lo schema di decreto legislativo per il recepimento nell’ordinamento italiano della direttiva NIS è giunto purtroppo in estremo ritardo, a Parlamento ormai sciolto. Il tempo non sarebbe mancato, visto che la direttiva europea è stata emessa a luglio 2016, ma evidentemente il tema della sicurezza cibernetica non è stato tra le priorità del governo. Ciò nonostante, grazie proprio alla necessità di recepire la normativa europea, finalmente si adotta una dettagliata normativa nazionale che identifica le aree di interesse cyber in tutti gli ambiti di fornitura di servizi essenziali e digitali, e ci si predispone all’identificazione delle infrastrutture critiche.

È questo un intervento “strategico” per la sicurezza nazionale che avrebbe dovuto essere completato molto tempo fa, ma che fino ad oggi è sempre stato svolto solo parzialmente. Un elemento positivo stimolato dalla direttiva NIS e attuato con lo schema di decreto riguarda l’accorpamento del CERT Nazionale e del CERT-PA, in un unico CSIRT (Computer Security Incident Response Team).

Purtroppo, anziché ristrutturare dalle fondamenta l’attuale architettura nazionale di sicurezza cibernetica, cogliendo l’occasione della direttiva NIS e adottare un approccio onnicomprensivo alla materia, sembra si sia deciso di adattare il recepimento della direttiva al DPCM 17 febbraio 2017, concentrando nuove responsabilità sul DIS (Dipartimento delle Informazioni per la Sicurezza), che assume il ruolo di “punto di contatto unico” previsto dalla direttiva, senza che si giunga alla definizione di un’unica autorità competente per la sicurezza cibernetica nazionale.

La direttiva NIS avrebbe potuto essere l’occasione per definire modalità e responsabilità nel caso fosse necessaria una reazione nei confronti dell’aggressore in caso di attacco. Per di più nella definizione delle risorse da assegnare al CSIRT-IT – ma anche alle Autorità competenti NIS – si prevede personale sufficiente a garantire presenza 24h, ma non si prevede come garantire un certo carico di lavoro soprattutto in caso di emergenze gravi. Ciò rappresenta un rischio, considerato che questo organo dovrebbe coprire le esigenze di sicurezza cyber delle PA e delle imprese nazionali. Peraltro è prevista una clausola di salvaguardia che consente al CSIRT di ignorare la valutazione di certi casi se fosse troppo oneroso, ma questo appare come un ulteriore rischio.

Riassumendo gli aspetti positivi del recepimento, ci si trova finalmente davanti ad una dettagliata normativa nazionale che identifica le aree di interesse cyber in tutti gli ambiti di fornitura di servizi essenziali digitali e digitali, e si identificano, grazie anche agli allegati della direttiva, le infrastrutture critiche peraltro da indicare puntualmente con un successivo provvedimento. Si provvede all’accorpamento dei CERT-Nazionale e CERT-PA in un unico CSIRT-IT. Appare adeguata la definizione normativa per la notifica obbligatoria e volontaria degli incidenti.

C’è la definizione dell’unico punto di contatto imposto dalla NIS, identificato con il DIS, che a questo punto diventa il reale gestore di tutte le informazioni. Questa scelta, comprensibile per dare seguito alle salvaguardie relative ai dati classificati, inserite praticamente in tutti i capi del decreto, può rendere difficoltosa la tempestiva condivisione di notizie, dati e notificazioni che si è visto essere stata, negli scorsi anni, la principale arma di difesa. Perplessità suscita il ruolo del DIS di interlocutore dell’organo europeo ENISA.

Restando sugli aspetti più critici dello schema di decreto, si rimarca l’assenza della definizione di un’unica autorità competente, cioè il raggruppamento delle competenze sotto un unico responsabile politico/amministrativo, mentre si spacchettano le competenze ministero per ministero (ben 5: MISE, MIT, MATTM, MEF, MISA) senza peraltro dotarli di risorse adeguate ai compiti assegnati. Al contempo non si approfitta di altre rilevanti competenze tecniche presenti nell’ordinamento istituzionale del Paese, come le Autorità indipendenti ex lege 491/96. Tra i compiti di tali organismi la regolazione della qualità tecnica dei servizi forniti dai vari operatori in condizione di monopolio tecnico, come nel caso delle reti di distribuzione dei vari servizi e commodity.

Come già accennato, manca nello schema di decreto l’approccio alla difesa e alla reazione, per cui è ben definito cosa fa il CSIRT-IT (anche derivando le funzioni dalla NIS), ma poi non è chiaro chi dovrebbe e come reagire. Infine non c’è nessuna valutazione rispetto alla ricerca e allo sviluppo di tecnologia nazionale a protezione delle nostre reti. Ciò nonostante alcuni ordini del giorno, approvati dalla Camera dei Deputati con la Legge di Delegazione Europea, prevedevano, nell’attuazione della Direttiva NIS, una serie d’impegni tra cui:

  • valutare l’opportunità di prevedere attraverso ulteriori iniziative normative la costituzione dell’Agenzia in seno alla Presidenza del Consiglio, al fine dell’inquadramento istituzionalmente autonomo, con potere regolamentare e di definizione di direttive, finalizzato alla migliore armonizzazione delle esigenze della Presidenza del Consiglio, dei dicasteri dell’Interno, della Difesa e dello Sviluppo; tale agenzia dovrà accorpare gli attuali CERT esistenti, al fine di armonizzare al meglio il lavoro operativo;
  • valutare l’opportunità di prevedere l’assegnazione al ministero della Difesa, così come costituzionalmente riconosciuto, delle competenze per la definizione e attuazione delle contromisure cibernetiche nazionali; 
  • valutare l’opportunità di predisporre un programma di diffusione della cultura della sicurezza cibernetica anche tramite appositi corsi da attivare nelle università e nelle scuole primarie e secondarie di primo e di secondo grado e i programmi di diffusione della cultura cibernetica; 
  • valutare l’opportunità di promuovere una campagna di informazione, tramite i mezzi di comunicazione di massa e la rete internet finalizzata alla diffusione della cultura della sicurezza cibernetica; 
  • valutare l’opportunità di prevedere la definizione di un elenco di enti privati o pubblici certificati nell’ambito cibernetico, finalizzati alla collaborazione e alla definizione di una sovranità industriale, presso l’agenzia creata in attuazione della NIS, con particolare attenzione alle StartUp nel settore cibernetico, anche attraverso la definizione di percorsi di rimborso fiscale o diretto.

La direttiva NIS predispone a possibili aggiornamenti normativi che consentono al Paese di affrontare al meglio, e in maniera coordinata, eventuali crisi cibernetiche in aspetti preminenti della vita dei cittadini digitali europei ed italiani in particolare nel settore energetico; a tale proposito si ribadisce l’opportunità che il parlamento impegni il governo, per il tramite del parere in questione, su aspetti che, pur riguardando l’ambito cibernetico, non sono trattati dalla direttiva NIS.

È corretto perciò che si vada a considerare quali strumenti di deterrenza, controllo e sovranità cibernetica sono a disposizione del nostro Paese e quali è possibile facilitare con una definizione normativa aggiornata alle problematiche che quotidianamente sono presentate dal mondo del digitale. Va inoltre considerato che sarà opportuno valutare un impegno più robusto nella cultura e nella formazione relativamente al mondo cibernetico, così come indicato in precedenti atti parlamentari, come l’ordine del giorno (C.9/04620/012) approvato nella legislatura XVII.

In particolare è necessario un approccio al tema della questione dello sviluppo di tecnologie nazionali cibernetiche, che facilitino la nostra industria digitale a sviluppare nuove, oltre a sostenere le già presenti, capacità software e hardware, sia che esse siano finalizzate al mercato sia che siano finalizzate ai servizi della pubblica amministrazione: è perciò opportuno estendere alle normative introdotte dal decreto legislativo norme che tutelino la filiera della produzione digitale nazionale.

In tale ambito non può essere dimenticato il livello di deterrenza (che deve essere incrementato) che può già essere più robusto se normato correttamente: la possibilità cioè di regolare le procedure per applicare le opportune contromisure agli eventuali attacchi sferrati da attori statuali e non statuali, è di per se un fattore di deterrenza; questo definendo opportuni attori nazionali preposti alla difesa di questo nuovo confine virtuale che vede i sistemi energetici tra i principali obiettivi.

Volendo strutturare ulteriormente la nostra capacità di relazione con l’Europa e con gli attori cibernetici internazionali, dovrà essere implementato un nuovo approccio diplomatico al mondo digitale: così come è stato introdotto dalla Danimarca, l’implementazione del c.d. tech ambassador porterà il paese ai più aggiornati livelli di interlocuzione diplomatica, anche con quegli attori privati che possono essere definiti (a torto o a ragione) quasi-stati, nel mondo cibernetico.

 

PROPOSTA DI OSSERVAZIONI, NELL’AMBITO DELL’ESPRESSIONE DEL PREVISTO PARERE AL GOVERNO

Valutare l’opportunità di definire un ambito cibernetico industriale nazionale, attraverso anche la definizione di protocolli di certificazione, mirati a incrementare la capacità nazionale nell’ambito cibernetico, con particolare riferimento a implementazioni di software di sicurezza, di sistema e di hardware relativo al trasferimento dati;

Valutare l’opportunità di definire, nell’ambito delle direzioni generali del Ministero degli Affari Esteri e della Cooperazione, un Direttore Generale che tratti le relazioni di natura tecnica, economica, organizzativa e in ogni altro settore oltre ad attendere ai relativi negoziati, curarne l’analisi, la definizione e l’attuazione dell’azione diplomatica con gli operatori di servizi internazionali nell’ambito del settore cibernetico, almeno a supporto del punto di contatto unico;

Valutare l’opportunità di introdurre procedure per l’autorizzazione di contromisure di difesa cibernetica, da assegnare alle Forze Armate, che coinvolgano comunque il Consiglio dei Ministri;

Valutare, nell’ambito della gestione e dell’uso delle contromisure cibernetiche, che alle Forze Armate sia consentito lo sviluppo di programmi di contromisure cibernetiche finalizzati alla verifica della funzionalità dei sistemi di difesa cibernetica. Sia valutata in questo contesto l’opportunità di non applicare la procedura di autorizzazione delle contromisure cibernetiche a quelle riguardanti l’ambito della protezione delle forze impegnate nelle missioni internazionali autorizzate ai sensi della legge 147/2016;

Valutare l’opportunità di definire, nel bilancio dello Stato, un apposito capitolo di spesa dedicato al settore cibernetico che consenta di allocare risorse certe e stabili nel tempo per gli ambiti cibernetici indicati nel presente decreto legislativo e per quelli ulteriori eventualmente definiti dal parere parlamentare;

Valutare una migliore e approfondita verifica delle esigenze di personale e risorse specializzate delle Autorità competenti NIS, che nel contesto prefigurato nella presente proposta di decreto legislativo non appaiono in grado di svolgere i compiti assegnati in materia di vigilanza, ispezioni e sanzioni;

Valutare altresì il coinvolgimento nelle attività di prevenzione svolte dalle Autorità competenti NIS e dal CSIRT, delle Autorità di regolazione istituite ex lege 491/96 competenti in materia di elettricità, gas, acqua, rifiuti, telecomunicazioni, trasporti.

Valutare l’opportunità di definire criteri unici di scelta degli uffici e del personale che assolveranno alla funzione di Autorità competente NIS presso i vari Ministeri, da inserire nel decreto di funzionamento del CSIRT e prevedere soluzioni di emergenza, anche con l’impegno di personale temporaneamente distaccato dalle Autorità competenti NIS, per assicurare la funzionalità del CSIRT in ogni situazione critica;

Valutare l’opportunità di definire, con apposito decreto del Ministro dell’istruzione, dell’università e della ricerca, di concerto con le autorità competenti NIS e il CSIRT:

a) un programma di diffusione della cultura della sicurezza cibernetica, anche tramite appositi corsi da attivare nelle università e nelle scuole primarie e secondarie di primo e di secondo grado;

b) una campagna di informazione, tramite i mezzi di comunicazione di massa e la rete internet, finalizzata alla diffusione della cultura della sicurezza cibernetica.

Il programma e la campagna sono aggiornati con cadenza almeno annuale;

Valutare l’opportunità di definire, nell’ambito della Pubblica Amministrazione un percorso formativo univoco di base per l’ambito cibernetico, mirato alla formazione organizzata e interministeriale del personale che opera nell’ambito cibernetico, sia operativo che dirigenziale;

Valutare l’opportunità di definire la figura dell’ausiliario di Polizia Giudiziaria (art. 348 CPP) nell’ambito cibernetico, che, nelle aziende di rilevanza strategica, abbia diretta relazione con la Polizia Postale, al fine di rendere più efficace per gli entri privati e meno gravoso per la Pubblica Amministrazione l’assicurazione delle fonti di prova, anche a causa dell’estrema volatilità e rapidità di azione nell’ambito cibernetico;

Valutare l’opportunità che i decreti e i regolamenti discendenti dal presente Decreto Legislativo seguano un percorso di consultazione pubblica e partecipazione dei soggetti imprenditoriali coinvolti, in particolare per:

  • l’identificazione delle infrastrutture essenziali;
  • il decreto di funzionamento del CSIRT;
  • la definizione dei criteri per lo svolgimento delle ispezioni e delle verifiche;
  • la pubblicizzazione delle notifiche degli incidenti, la loro qualità ed effetti, fatte salve le esigenze di riservatezza delle aziende private coinvolte.

 

Milano 7 maggio 2018

Lascia una risposta

L'indirizzo email non verrà pubblicato.