Le guerre in Ucraina e nella Striscia di Gaza coinvolgono direttamente Russia e Israele, due paesi che sono sempre stati menzionati nel mondo della cybersecurity rispettivamente per le loro risorse e tecnologie. Ad esempio, secondo lo Start-Up Nation Central, in Israele, sono circa 450 le aziende che operano nel mondo cyber, divise in dieci sotto settori. Queste forti competenze hanno spostato parte dei conflitti in corso sul piano digitale, tanto da portare gli Stati Uniti a definirlo come il quarto piano del conflitto militare, dopo quello di terra, aria e acqua. Questa premessa è necessaria per capire quale sia il valore strategico internazionale della cybersecurity di cui, oggi, la maggior parte delle persone non percepisce la reale pericolosità. Per questo, pensando alla nostra situazione nonché a quella europea, viene legittimo chiedersi quali siano le azioni comunitarie in campo e soprattutto dove stiano andando le scelte strategiche che abbiamo difronte.

Preso atto di questo contesto il 14 dicembre 2022 il Parlamento europeo e il Consiglio europeo hanno approvato la direttiva NIS 2, normativa che abroga e sostituisce la NIS 1 (direttiva del maggio 2018). La direttiva è attiva già da gennaio 2023 e gli Stati membri dovranno recepirla entro ottobre 2024; la normativa si applica a tutte le organizzazioni che forniscono servizi essenziali come salute, sicurezza, ed economia nonché alle organizzazioni che operano nei settori critici come energia, trasporti, finanza, salute, comunicazione e acqua. Gli ambiti in cui la nuova regolamentazione opera sono essenzialmente tre: sicurezza dei sistemi informativi, gestione degli incidenti e notifica degli incidenti. L’obiettivo principale dell’aggiornamento normativo è stato quello di colmare alcune lacune della prima versione e, soprattutto, adattare la direttiva ad un contesto completamente diverso rispetto a quello del 2018. L’approvazione della versione iniziale è infatti avvenuta due anni prima della pandemia, un momento che tutti riconosciamo come di grande cambiamento nell’approccio alla tecnologia. Nel momento in cui i contatti tra le persone venivano limitati, si imparava sempre più a usufruire dei servizi attraverso portali, siti web, autenticazione digitale.

Questo cambiamento ha esposto tutti noi a una serie di rischi prima meno percepiti e anche a qualche caso di cronaca poco edificante: ne è un esempio la violazione dei servizi informatici della ASL 1 de L’Aquila, che ha causato l’esposizione di 522 GB di dati contenenti la storia sanitaria di numerosi cittadini. Nello specifico la NIS 2 aumenta gli ambiti di applicazione della normativa, includendo più servizi erogati tramite sistemi ad alta digitalizzazione. Introduce inoltre meno discrezionalità nell’analisi dei servizi: da oggi infatti le organizzazioni saranno obbligate a fornire un’analisi del rischio ovvero, una spiegazione delle valutazioni fatte e di quali rischi calcolati siano stati assunti. In ultimo la condivisione delle informazioni tra gli Stati membri: fino ad oggi infatti non esistevano procedure dedicate alla condivisione di informazioni sugli attacchi, impedendo la creazione di una conoscenza condivisa utile a sventare nuove incursioni.

Leggi anche

Ma quale ricaduta avrà questa normativa sulle imprese italiane? Ad oggi è difficile determinarlo perché la direttiva europea dovrà essere recepita dai singoli Stati membri ma possiamo già ipotizzare qualcosa. È infatti probabile che il recepimento in Italia venga affidato all’Agenzia di Cybersicurezza Nazionale (ACN), l’organo nato nel 2021 su iniziativa del Governo Draghi che, con una serie di riforme, ha finalmente dato vita anche nel nostro Paese a una struttura in ambito Cyber. Sappiamo quindi che tra i compiti dell’ACN ci sarà quello di disegnare il perimetro delle aziende coinvolte, direttamente o indirettamente, di varare le misure che verranno messe in atto, di definire le modalità di vigilanza e anche di determinare l’ammontare delle sanzioni in caso di mancato rispetto della normativa. L’ACN nasce sul concetto di Cyber Resilienza ed è per questo motivo che i principali analisti ritengono sarà questa la linea che verrà mantenuta anche nel recepimento della NIS 2. Con il termine un po’ generico di Cyber Resilienza si intende definire la capacità di anticipare, rispondere, ripristinare e adattarsi a condizioni avverse e ad attacchi ai sistemi. È un approccio multi-rischio (all-hazards) dovuto all’origine stessa delle minacce di sicurezza che oggi arrivano da più fonti e spesso lo fanno contemporaneamente; queste novità saranno presenti anche nel NIST 2, che è cosa diversa dalla normativa europea NIS 2 fino ad ora citata. Il NIST 2 rappresenta infatti l’aggiornamento del framework internazionale NIST che descrive l’approccio e i sistemi/procedure che dovrebbero comporre un ottimale coordinamento della Cybersecurity: una sorta di enorme linea guida internazionale. Non abbiamo per ora dettagli rispetto ai soggetti che in Italia si occuperanno di effettuare i controlli e di vigilare sulla corretta applicazione della normativa, sappiamo però che le sanzioni potranno ammontare per i soggetti essenziali fino a 10 mln di euro o fino al 2% del fatturato, mentre, per i soggetti importanti fino a 7 mln di euro o pari all’ 1.4% del fatturato.

Con questi adattamenti l’Europa si conferma come uno dei più avanzati organi legislativi nel tradurre i cambiamenti del mondo che ci circonda in atti formali. La vera sfida, in mancanza degli Stati Uniti d’Europa, sarà far sì che gli Stati membri recepiscano quanto più velocemente possibile le direttive europee, senza snaturarne le caratteristiche. I cybercriminali e le azioni straniere ostili sono oggi un pericolo più concreto che mai, perciò sta a noi mantenere il passo e aggiornare le “armi” in nostro possesso.

“Bisogna aggiornare le “armi” in nostro possesso”

Stefano Grassi Leonardo Gallozzi

Autore

© Riproduzione riservata