La capacità di un’infrastruttura critica di resistere ad uno shock e tornare quanto prima a fornire efficacemente un servizio è messa in rilievo dall’UE attraverso NIS2 e CER. L’Italia recepisce la CER, il 4 settembre 2024, con il decreto legislativo n.134. Quest’ultima, contribuisce a una definizione e interpretazione di “resilienza”, sottolineando anche l’importanza della valutazione del rischio. NIS2 ci offre invece un quadro giuridico di riferimento all’interno del quale orientare il policy making di ogni Stato con particolare riguardo al tema della cybersicurezza. Lo studio e l’impiego coordinato di queste direttive costituisce per i paesi UE, una via da percorrere per la costruzione di un’impalcatura finalizzata alla sicurezza cibernetica dell’Unione che includa un’attenta attività previsionale.
Un recente attacco cyber al software che fornisce il servizio di check-in dei passeggeri agli aeroporti di Londra, Berlino e Bruxelles riporta nuovamente l’attenzione su un tema centrale nell’analisi del fenomeno della guerra ibrida come oggi la conosciamo e le cui ripercussioni non si basano solo sull’interruzione di un servizio, ma anche e forse soprattutto sulle disastrose conseguenze economiche che questo porta con sé. Ripercussioni che, alla luce dell’etimologia greca del termine critico (κριτικό: atto di giudicare, decisivo), ci rendono in grado di definire quali infrastrutture critiche: tutta la rete di fornitori di beni e servizi la cui interruzione o compromissione può determinare un decisivo squilibrio nell’economia del sistema paese.
Non tutte le infrastrutture critiche hanno a che fare con la stessa tipologia di minaccia, poiché essa stessa varia in base al luogo in cui il bersaglio si trova e al servizio colpito. L’unica minaccia che incombe equamente su tutte le infrastrutture, a prescindere dal luogo, dalla forma, dalla dimensione, o dal servizio fornito, è la minaccia cibernetica. Sono due le principali direttive con cui l’UE affronta il tema. Una in via più diretta, l’altra strettamente correlata. Parliamo di NIS2 (Direttiva UE 2022/2555) e CER (Direttiva UE 2022/2557). Entrambe contribuiscono e si compenetrano nella definizione e comprensione di cosa sia un soggetto critico e di come esso sia al centro dell’attenzione da parte di minacce cibernetiche.
Definizione di “resilienza”: il ruolo della CER
È un termine che rimanda alla fisica dei materiali, ossia la capacità di un materiale di resistere ad un urto: resilienza. La direttiva CER, all’articolo 2, la definisce: « capacità di un soggetto critico di prevenire, attenuare, assorbire un incidente, di proteggersi da esso, di rispondervi, di resistervi, di adattarvisi e di ripristinare le proprie capacità operative». L’Italia, all’articolo 2 del d.lgs. n.134 accoglie la medesima definizione così come la Spagna con il: “Anteproyecto de ley de ley de protecciòn y resiliencia de entidades crìticas”. Un report di un webinar della Commissione Europea di Franco Accordino sulla CEF Digital e i cavi sottomarini espone come l’UE abbia un approccio olistico alla resilienza, ossia totale, globale e distingue quattro priorità: prevenzione, rilevamento della minaccia, risposta e deterrenza. Sono quattro termini perfettamente allineati all’interpretazione più completa che possiamo dare alla resilienza. Prevenire, insieme al rilevare la minaccia, richiama un altro significativo strumento di tutela riportato nella CER: la valutazione del rischio. Con una buona approssimazione, la determinazione degli indici di rischio è spesso un processo relativamente rapido ed è un primo ed eccellente strumento per poter evidenziare la criticità o meno di un asset (stando alla definizione precedentemente fornita di “criticità”). Alcuni esempi di elementi da valutare se si parla di indici di rischio possono essere i seguenti: posizione geografica dell’infrastruttura (che mette in risalto l’approccio olistico), qualità delle infrastrutture aziendali e materiali, qualità delle infrastrutture immateriali (es. software utilizzati), trend di mercato, relazioni con il mercato estero.
Non è questa la sede per approfondire il concetto di rischio nei suoi dettagli tecnici e statistici e la sua diretta correlazione con il contesto strategico aziendale e tecnologico. Tuttavia, tali elementi correlati all’esigenza di una risposta e di una deterrenza, ci forniscono una panoramica più ampia sull’orizzonte che il termine resilienza porta con sé. Un evento che appare così rapido come un urto, e la connessa reazione da parte del soggetto colpito a quest’ultimo, comprendono al loro interno un’ampissima complessità.
NIS2: un quadro giuridico
La NIS2 fa riferimento diretto al campo della cibersicurezza, ma all’articolo 6 rimanda la definizione di quest’ultima all’articolo 2.1 del regolamento UE 2019/881: «cibersicurezza»: l’insieme delle attività necessarie per proteggere le reti e i sistemi informativi, le informazioni e le attività degli utenti di tali reti e sistemi da qualsiasi attacco o danno, in particolare quelli intenzionali o non intenzionali, in grado di compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza delle informazioni memorizzate, trasmesse o elaborate in tali reti e sistemi.» Pertanto la criticità che individuiamo all’interno della NIS2 risiede nell’informazione. Nel concreto, ogni Stato ha necessità di rispondere sinergicamente con gli altri Stati UE alla minaccia cyber di pari passo con il tipo di servizi e asset che maggiormente risultano essere sensibili e la cui compromissioni generano maggiori danni al sistema paese, ma anche alle relazioni internazionali che i paesi dell’Unione intrattengono tra loro. La NIS2 pertanto non fornisce un programma di soluzioni dirette, quanto piuttosto un quadro giuridico per elevare il livello di sicurezza dei sistemi di rete e dell’informazione e una raccomandazione agli Stati UE ad essere preparati agli attacchi. Le risorse impiegabili nella difesa sono molto diversificate e in ogni caso comportano un’attenta prevenzione e protezione da attori estremamente pericolosi, i cui attacchi possono essere frutto anche di uno studio approfondito e di lunga durata.
Lo spazio della resilienza
La filosofia politica di Carl Schmitt e di altri rilevanti autori che hanno studiato il tema dello spazio e del dominio, ci permette di dare un profondo valore al diritto come elemento di definizione della dimensione spaziale di un conflitto. Al di fuori di quanto prescritto, è probabile che non sia sufficiente definire un oggetto “critico” per definire le regole con il quale quest’ultimo debba essere messo nelle condizioni di resistere ad un attacco, poiché l’origine delle minacce cyber risiede in un luogo senza confini precisi; possiamo invece ipotizzare che sia il fattore temporale un possibile fulcro della resilienza poiché per essere resiliente, un soggetto colpito deve essere preparato all’urto in tre momenti distinti: prima dell’evento (prevenzione), durante l’evento (periodo di crisi), dopo l’evento (ripresa e riassestamento).
NIS2 e CER costituiscono pertanto un invito dell’UE ad assorbire un colpo e al tempo stesso respingerlo. Ma quali sono le migliori modalità? Come accennato in precedenza, lo spazio geografico è uno dei principali elementi da considerare nella difesa, ma le minacce cyber giungono dal cyberspazio: lo spazio i cui territori sono spesso delimitati per lo più dallo scambio di informazioni. Pertanto oggi, nell’età “post-industriale”, è possibile che chi domina l’informazione sia anche in grado di dominare, nell’accezione più ampia del termine, la difesa delle infrastrutture critiche. In conclusione, volgendo lo sguardo all’Italia, significativo è il ruolo dell’ACN che nel suo report annuale del 2024 dichiara: «Coerentemente con il ruolo di Autorità nazionale per la cybersicurezza che l’ACN riveste nell’architettura nazionale, le sono state attribuite ulteriori funzioni da diverse normative europee, primo fra tutte dalla Direttiva NIS2. Il recepimento della Direttiva CER prevede una governance articolata, nel cui ambito l’Agenzia è designata quale Autorità di settore competente per il settore delle infrastrutture digitali in collaborazione con il Ministero delle imprese e del made in Italy, anche per le attività di valutazione del rischio e di individuazione dei soggetti critici, promuovendo un’attuazione coerente con la disciplina NIS. L’ACN è stata designata quale Autorità competente anche per l’esecuzione dei compiti individuati dal Codice di rete relativo a disposizioni settoriali per gli aspetti di sicurezza informatica dei flussi transfrontalieri di energia elettrica (Network Code on Cybersecurity-NCCS), istituito a livello UE nel 2024.»
Nel punto di intersezione tra NIS2 e CER, risiedono numerosi elementi di definizione del modus operandi per una concreta prevenzione e risposta resiliente alle minacce. In questo contesto, è possibile che siano l’interpretazione e la declinazione che ogni Stato dell’Unione può dare di pari passo con i propri mezzi e punti di forza, a fornire una chiave di lettura per una declinazione unitaria o meno di resilienza che verta anche sui fattori fondamentali di spazio e tempo. NIS2 e CER possono pertanto essere interpretate come un monito ad un allineamento di intenti fra governi, autorità, difesa e intelligence per una risposta coordinata alle minacce cyber rivolte alle infrastrutture critiche.
