31 Luglio 2020
Information Security e Digital Single Market: dalla consultazione pubblica sulla revisione della Direttiva Europea NIS alla proposta di Regolamento sul Cybersecurity Research and Competence Centre, declinando le competenze del nuovo profilo di “consulente europeo per la cybersecurity”.
di Davide Maniscalco - Ricercatore CYRCE (CYbersecurity Research CEnter)
La minaccia cibernetica diventa sempre più pervasiva, anonima e polimorfa e si caratterizza per uno scenario ibrido preordinato, tra l’altro, alla destabilizzazione di sistemi democratici, anche attraverso la mirate campagne di disinformazione, nonché all’attività di spionaggio e di sabotaggio di presidi strategici di uno Stato.
Per queste ragioni, la natura transnazionale della minaccia e la sua connotazione asimmetrica, hanno richiesto e continuano a richiedere una risposta di sistema, per mitigare le vulnerabilità e le esternalità negative.
Del resto, l’espansione delle tecnologie di ICT unita alla forte esigenza di presidiare le infrastrutture critiche di un Paese, nonché l’evoluzione progressiva dell’economia digitale “data driven”, al cui progressivo sviluppo contribuirà l’avvento delle reti di quinta generazione con l’aumento della potenza di calcolo “in locale” (edge computing), attraverso le interconnessioni sempre più eterogenee dei devices dell’Internet of Things, configurano, su scala europea, una road map verso la costruzione di un mercato unico digitale sicuro ed affidabile.
In tale scenario, come recentemente dichiarato dal Vice Presidente Esecutivo della Commissione Europea Margrethe Vestager, "Poiché la nostra vita quotidiana e le nostre economie diventano sempre più dipendenti dalle soluzioni digitali, abbiamo bisogno di una cultura della sicurezza all'avanguardia in tutti i settori vitali che si affidano alle tecnologie dell'informazione e della comunicazione".
L’Information Security (IS) persegue dunque il sempre più sfidante obiettivo di fornire una protezione adeguata agli assets di un’organizzazione, attraverso un essenziale ed imprescindibile framework e programma strategico, condiviso dal senior management in relazione a precisi direzione, tasks e goals.
La strategia di IS fornisce dunque le basi per “governare” ed “implementare” un complesso di policies, standards e procedure che costituiscono la direzione ed i controlli delle complesse attività e dei flussi di processo di un’organizzazione.
E’ per questo che il primo dominio dell’IS è definito “Information Security Governance”, perché, appunto, il programma viene definito sulla base degli outcames specificamente individuati e desiderati dal senior management, che ne dichiara anche un preciso commitment, e poi meglio declinati in termini di risk management e risk tolerance.
E’ così che l’individuazione degli obiettivi e della soglia di rischio “accettabile” consente di determinare le precise esigenze di un’organizzazione che vengono cristallizzate in uno “stato desiderato” verso cui tenderà il programma di IS, attraverso una serie di misure indicate tutte in un documento ad hoc che viene definito gap analysis.
La definizione poi di Policies di Governance e di Standards, combinati con set di controlli per la definizione di linee guida e procedure, e la loro implementazione on a regular basis, fornisce la rappresentazione sistemica e strutturata di un programma di IS caratterizzato da una strategia “dinamica” che affronta rischi, minacce, vulnerabilità, derivanti da fattori interni ed esterni all’organizzazione ed in continua evoluzione.
Per questo un programma di IS necessita di costante supporto del senior management, al fine di favorire la più ampia diffusione nell’organizzazione della cultura della sicurezza, nonché l’allineamento agli obiettivi strategici e di business, mediante buone metriche di monitoraggio ai diversi livelli organizzativi (operational, management e strategic) e frequenti audits.
In questa prospettiva, già nel maggio 2018 veniva recepita in Italia la Direttiva Europea UE/2016/1148, sulla sicurezza delle reti e dei sistemi informativi (Directive on Security of Network and Information Systems, NIS).
La Direttiva, molto importante sul piano della strategia europea sulla cybersecurity, introduceva, tra l’altro, tre fondamentali elementi di novità:
- Necessità per gli Stati membri di dotarsi di un’organizzazione nazionale in grado di vincolare a stringenti misure di protezione i maggiori operatori di servizi essenziali (OSE) per l’economia (energia, trasporti, finanza, sanità, erogazione di acqua potabile, smistamento del traffico telematico) e di fornitori di servizi digitali (FSD), quali a titolo esemplificativo, motori di ricerca, mercati online, fornitori di servizi di cloud computing;
- Obbligo a carico degli OSE e FSD di notifica alle autorità degli incidenti con “effetti negativi rilevanti” (la cui definizione dei criteri di individuazione veniva demandata agli Stati membri);
- l’istituzione di un gruppo di cooperazione in ambito UE per l’information sharing e le best practices finalizzate alla più efficiente ed efficace difesa e resilienza cibernetica (CSIRT), che in Italia, a decorrere dal 6 maggio 2020, nell’ambito del piano di attuazione della Direttiva NIS (Decreto legislativo 18 maggio 2018 n. 65) raccoglierà le funzioni del CERT-PA e del CERT Nazionale, con la collaborazione dell’Agenzia per l’Italia Digitale, specificamente in forza del DPCM 8 agosto 2019 in materia di “Disposizioni sull’organizzazione e il funzionamento del Computer Security Incident Response Team – CSIRT italiano”, pubblicato in Gazzetta Ufficiale l’8 novembre 2019.
La Direttiva ha evidentemente contribuito ad aumentare il livello di preparazione degli Stati membri verso una resiliente risposta agli incidenti cibernetici anche attraverso il costante confronto e supporto del Gruppo di cooperazione NIS (https://ec.europa.eu/digital-single-market/en/nis-cooperation-group).
Dalla Direttiva NIS al Regolamento (UE) 2019/881 (Cybersecurity Act), è proseguito inesorabilmente l’impegno europeo nella costruzione di un Digital Single Market sicuro e affidabile, che possa polarizzare la fiducia degli utenti del mercato unico digitale.
Per questo, è essenziale la costruzione di un framework condiviso che fissi regole efficaci per la protezione e la resilienza cibernetica nell’ambito del nuovo mandato dell’Agenzia Europea per la sicurezza informatica (ENISA) e del prossimo sistema di certificazione europeo di sistemi, prodotti hardware e software e processi.
Frattanto, in Italia, con Decreto-Legge del 21 settembre 2019, n. 105 recante “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica (GU n.222 del 21-9-2019), convertito con modificazioni dalla Legge 18 novembre 2019, n. 133 (in G.U. 20/11/2019, n. 272), è stato introdotto il framework normativo che disciplina organicamente il perimetro di sicurezza cibernetica nazionale, in cui viene inclusa anche la delicata materia del “Golden power” che amplia i poteri speciali del Governo in materia di 5G e su atti ed operazioni delle aziende che detengono asset strategici.
Orbene, decorsi poco più di due anni dalla sua pubblicazione, la Commissione Europea, nel quadro di un strategia coordinata ed orizzontale alle sfide in materia di sicurezza (https://ec.europa.eu/digital-single-market/en/cyber-security), ha avviato una consultazione pubblica sulla revisione della Direttiva NIS, preordinata alla raccolta da parte degli stakeholders di opinioni funzionali sulla sua attuazione e sull'impatto di potenziali modifiche al pacchetto normativo, favorendo anche sia l’acquisizione di utili informazioni sullo stato di preparazione della sicurezza informatica di società e organizzazioni sia la proposizione di soluzioni di maggiore efficacia.
La consultazione pubblica, accessibile dal seguente link https://ec.europa.eu/eusurvey/runner/NISreview, resterà aperta fino alla data del prossimo 2 ottobre 2020 e rappresenta una importante opportunità per tutti gli interessati, a vario titolo, di fornire un utile contributo al miglioramento, se possibile, del pacchetto normativo.
Intanto, l’Agenzia Europea per la Sicurezza Informatica (ENISA), nell’ambito del suo mandato permanente, rafforzato dal Cybersecurity Act, ha annunciato i seguenti sette obiettivi della nuova strategia (https://www.enisa.europa.eu/publications/corporate-documents/a-trusted-and-cyber-secure-europe-enisa-strategy) dell’UE per la sicurezza cibernetica:
- Comunità autorizzate e coinvolte nell'ecosistema della sicurezza informatica;
- Sicurezza informatica come parte integrante delle politiche dell'UE;
- Cooperazione efficace tra gli attori operativi all'interno dell'Unione in caso di incidenti informatici gravi;
- Competenze e capacità all'avanguardia nella sicurezza informatica in tutta l'Unione;
- Un alto livello di fiducia nelle soluzioni digitali sicure;
- Lungimiranza sulle sfide emergenti e future della cybersecurity;
- Informazioni e gestione della conoscenza della cybersecurity efficienti ed efficaci per l'Europa.
L’importanza della sicurezza del cosiddetto “quinto dominio” è ulteriormente evidenziata dalla Commissione Europea che, come recentemente annunciato, stanzierà quasi 49 milioni di Euro per la promozione e la più larga diffusione di progetti per l'innovazione dei sistemi di cybersecurity, nonché per le misure di sicurezza in funzione di data protection, in larga parte attraverso il programma Horizon 2020 che sosterrà 9 progetti innovativi.
Cinque di questi nuovi progetti si concentreranno su soluzioni di cybersecurity e tutela della privacy per i cittadini e PMI, mentre gli altri quattro mirano a migliorare i sistemi di sicurezza critici come le infrastrutture sanitarie e i sistemi di trasporto multimodale.
Altri 21 progetti saranno inoltre finanziati mediante il ricorso al meccanismo per collegare l'Europa (CEF), ossia il programma per le reti e le infrastrutture europee, che ha anche una copertura sui temi digitali.
Questi progetti porteranno un budget complessivo di 7,6 milioni di Euro ed andranno ad ulteriormente rafforzare le capacità di sicurezza e resilienza del dominio cibernetico europeo contro le sempre più pervasive minacce informatiche.
Tra tali progetti spiccano quelli di tre ospedali in Croazia e Lettonia che punteranno a migliorare la loro configurazione organizzativa ed anche l’assetto tecnologico per una più efficace sicurezza dei sistemi informativi nonché quello che vedrà istituire un Centro di analisi e condivisione delle informazioni (ISAC) per il settore dell'aviazione italiano.
La sicurezza cibernetica necessita di competenze in continua evoluzione perché le vulnerabilità cambiano e nuove tecniche per sfruttarle si sviluppano incessantemente.
In considerazione di quanto sopra, la Commissione Europea ha anche recentemente lanciato un sondaggio per partecipare alla definizione del profilo del “consulente europeo per la cybersecurity”.
Tale ruolo sta diventando sempre più importante per tutti i tipi di organizzazione (grandi o piccole, private, pubbliche o di altro tipo).
Al momento, attraverso una serie di procedure, la figura consulenziale europea risulta definita sulla base di una selezione di 90 competenze e 200 elementi della conoscenza dal NIST Cybersecurity Workforce Framework ritenute rilevanti per il mercato europeo, che sono state poi implementate in un'innovativa applicazione CONCORDIA.
Attraverso l’applicazione (https://concordia.monitorboard.nl/) si potrà contribuire alla classificazione di questa raccolta di skills.
I risultati opportunamente aggregati verranno presentati nel seminario di CONCORDIA Education (https://www.concordia-h2020.eu/news/participate-in-the-definition-of-the-european-cybersecurity-consultant-profile/) .
Infine, lo scorso 4 giugno i rappresentanti permanenti degli Stati membri (COREPER) hanno raggiunto l’intesa per la prosecuzione dei negoziati tra Consiglio, Parlamento Commissione europei in ordine alla proposta di istituzione regolamentare di un Cybersecurity Research and Competence Centre.
Si tratta di un ulteriore step normativo preordinato alla costruzione di un mercato unico digitale (DSM) sicuro, contribuendo anche ad accrescere l'autonomia dell'UE nella difesa del dominio cibernetico.
L’iniziativa della Commissione Europea risale, invero, mese di settembre 2018, sotto l’egida della precedente presidenza Juncker con la dichiarata intenzione di creare un network europeo di centri competenza per la cybersecurity che fosse coordinato da un competence center europeo, vale a dire l'European Cybersecurity Industrial, Technology and Research Competence Centre.
A metà marzo dello scorso anno poi il COREPER convergeva verso la condivisa determinazione di affidare alla presidenza rumena del Consiglio Europeo il mandato ad avviare i negoziati con il Parlamento Europeo.
Si è così pervenuti all’adozione di una proposta di Regolamento i cui negoziati con le altre istituzioni europee venivano comunque differiti all’insediamento della nuova presidenza della Commissione Europea Von der Leyen ed anche alla nuova compagine dell’Europarlamento.
Nella sua proposta, la Commissione ha previsto l’istituzione del centro di competenza europeo industriale, tecnologica e di ricerca sulla cybersecurity con decorrenza dal 2021, attraverso una rete di competence centers nazionali coordinati a livello europeo e lo sviluppo di una comunità delle competenze in materia di cybersecurity.
Più precisamente, il network per la cybersicurezza viene immaginato come una serie di centri nazionali di coordinamento designati da ciascuno Stato membro, con qualificate competenze tecniche e tecnologiche nella protezione del cyber spazio.
Obiettivo precipuo del Centro di competenza è quello di polarizzare e rendere gli investimenti in ricerca, innovazione tecnologica e sviluppo industriale, maggiormente funzionali alla cybersecurity e, in ultimo, più efficienti e efficaci nella costruzione di un mercato unico digitale più sicuro e resiliente agli attacchi informatici.
In tale nuovo scenario, il Competence Center europeo, attraverso una collaborazione sinergica con il network di competenza degli stati membri, costituirà un virtuoso catalizzatore in cui far confluire risorse a sostegno degli obiettivi europei di sviluppo strategico della cybersecurity, attraverso i programmi del nuovo Quadro Finanziario Europeo Pluriennale Digital Europe e Horizon Europe, senza tuttavia precludere eventuali contributi volontari degli stati membri.
Inoltre, come da prassi europea, la proposta di Regolamento prevede anche l’istituzione di una comunità delle competenze in materia di cybersecurity, con la finalità strategica di favorire la divulgazione ed il consolidamento delle competenze in materia di cybersecurity nell’area europea ed opportunamente costituita da qualificati stakeholders provenienti da Enti di ricerca, mondo accademico, Enti pubblici ed altri attori a vario titolo impegnati nella diffusione della cultura della sicurezza e della resilienza cibernetica.
Ambizioso il progetto proposto dalla Commissione che prevede l’istituzione del Centro per un periodo compreso fra il 1° gennaio 2021 e il 31 dicembre 2029, con la previsione di un suo scioglimento al termine del periodo ipotizzato, salvo tuttavia una eventuale revisione regolamentare eventualmente adottata medio tempore.
Degno di nota anche l’importante rafforzamento dei tasks che verranno attribuiti all’Agenzia Europea per la sicurezza informatica (ENISA), che, dopo l’assegnazione del nuovo e rafforzato mandato permanente introdotto dal Cybersecurity Act, con potere di diretto intervento a sostegno degli Stati Membri in caso di incidente cibernetico, nonché del nuovo ruolo gestore del sistema di certificazione della sicurezza informatica di prodotti e servizi digitali, a regime dal mese di giugno 2021, si vedrà anche trasformata in un'Agenzia permanente dell'UE per la cybersecurity, nella quale si integreranno tutte le attività del nuovo centro europeo di competenza.