Entra oggi nel vivo l’attuazione del Perimetro di sicurezza nazionale cibernetica. Per i prossimi sei mesi saranno testate le misure previste dai decreti attuativi già promulgati. Lo scorso aprile, durante Itasec 2021 (principale conferenza nazionale sulla cybersecurity), Roberto Baldoni, vicedirettore del Dipartimento per le informazioni della sicurezza (DIS), aveva individuato la data del 23 giugno quale punto di partenza della fase di sperimentazione del Perimetro. Il fatto che gli attacchi informatici siano divenuti un reale pericolo per la sicurezza nazionale rende la sua attuazione fondamentale.
Che cos’è il Perimetro
Il Perimetro consiste in un vero e proprio “scudo” che difenderà le infrastrutture nazionali dalle minacce informatiche. L’obiettivo primario, infatti, è quello di fornire una maggiore protezione agli Operatori di Servizi Essenziali (OSE), da cui dipende una funzione essenziale dello Stato o che “erogano un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali”. In altre parole, si garantirà un elevato livello di sicurezza informatica alle infrastrutture critiche.
L’istituzione del Perimetro è avvenuta nel 2019 con la pubblicazione in Gazzetta Ufficiale della legge 133, attuazione del d.l. 105/2019. La volontà di incrementare la sicurezza cibernetica nazionale, tuttavia, si deve alla direttiva NIS (Network and Information Security), approvata nel 2016 dall’Unione Europea per innalzare il livello di cybersecurity degli Stati membri. A questa direttiva, l’Italia ha dato attuazione nel 2018, attraverso il d.lgs. 65/2018.
Se la creazione del Perimetro può essere vista come adeguamento nazionale al policy framework europeo (NIS), è da notare, tuttavia, che esso comprende un più ampio ventaglio di OSE, rispetto alla Direttiva. Questa si riferisce ai seguenti settori: energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali, motori di ricerca, servizi cloud e piattaforme di commercio elettronico. Il Perimetro, invece, si applica anche alla pubblica amministrazione, alla difesa, allo spazio e alla sicurezza interna.
Maggiore attenzione alla cybersecurity nazionale
Nelle ultime settimane ci sono state novità importante per l’implementazione del Perimetro. In primis, è stato pubblicato in Gazzetta Ufficiale il Dpcm 81/2021, contenente il “Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici e di misure volte a garantire elevati livelli di sicurezza”. Tre sono gli elementi principali:
- Rilevazione degli incidenti
- Notifica degli incidenti
- Adozione di misure di sicurezza
La normativa prevede che, dall’inizio del 2022, i soggetti inclusi nel Perimetro notifichino al CSIRT Italia (già CSIRT italiano) gli incidenti sui beni TIC (tecnologie dell’Informazione e della Comunicazione) individuati. Da oggi, però, inizia la fase di sperimentazione, durante la quale gli OSE saranno tenuti a comunicare al CSIRT Italia entro un’ora tutti gli incidenti “che hanno evidenza pubblica” (tabella 2, allegato A) come spiegato da Baldoni. Per quanto riguarda tutti gli altri incidenti (tabella 1, allegato A), ritenuti meno gravi, sarà obbligatorio comunicarli entro sei ore dal momento in cui i soggetti ne sono venuti a conoscenza.
L’altro elemento di novità riguarda la creazione dell’Agenzia di cybersicurezza nazionale (Acn). Oltre a rappresentare un grande cambiamento nell’approccio del governo alla cybersecurity (da tattico a strategico), l’istituzione di tale autorità comporta dei cambiamenti per l’attuazione del Perimetro. Come sottolineato dall’Autorità delegata per la sicurezza della Repubblica, Franco Gabrielli, è necessario abbandonare la modalità emergenziale, per adottare un approccio olistico e strutturale alla cybersecurity. La creazione dell’Acn è emblematica di questo mutamento. L’Agenzia assumerà tutte le funzioni già attribuite al Ministero dello sviluppo economico (MiSE) relative al Perimetro. Non solo, essa ingloberà anche il CSIRT Italia, soggetto a cui devono essere notificati gli incidenti rilevati. La gestione della cybersecurity nazionale, quindi, non sarà gestita dal comparto intelligence, ma da un ente esterno a esso, posto sotto il controllo del Comitato parlamentare per la sicurezza della Repubblica (COPASIR).
L’importanza del Perimetro cyber
Gli eventi degli ultimi mesi, in particolare l’attacco informatico al servizio sanitario irlandese e i ransomware che hanno bloccato l’operatività di Colonial Pipeline e JBS, hanno messo in luce l’importanza strategica di difendere gli asset particolarmente critici. Innalzare il livello di cybersecurity significa garantire la sicurezza dello Stato. Sembra averlo compreso l’amministrazione statunitense che, dopo i recenti attacchi, ha deciso di adottare misure di sicurezza maggiormente efficaci e un approccio agli attacchi informatici (in particolare ai ransomware) più aggressivo.
La cybersecurity è, per tali motivi, sotto i riflettori degli Stati membri della NATO e dell’Unione Europea. La potenzialità disruptive e destructive degli attacchi informatici ha fatto emergere la necessità di definire un approccio comune nei confronti delle minacce cibernetiche. Durante il summit NATO di Bruxelles, gli Stati membri hanno concordato che, in determinate circostanze, gli attacchi cyber possono determinare l’invocazione della clausola di difesa collettiva, prevista dall’articolo 5 del Trattato. Inoltre, l’Alleanza ha annunciato la pubblicazione di una Comprehensive Cyber Defence Policy, fondamentale per rafforzare la postura di deterrenza e difesa e per incrementare il livello di resilienza degli Stati membri.
È proprio questo l’approccio che l’Italia sta seguendo nel cyberspace. Da un lato, attraverso l’implementazione del Perimetro, il governo mira a rafforzare le capacità difensive; dall’altro, grazie alla costituzione dell’Acn, verrà garantito un livello più alto di resilienza delle infrastrutture. Inoltre, l’attribuzione all’Agenzia cyber del potere di elaborare una nuova strategia di sicurezza informatica allinea ulteriormente la visione nazionale con quella della NATO.
Anche in ambito G7, durante il summit in Cornovaglia, è stato ribadito l’impegno da parte degli Stati contro le minacce cibernetiche. In particolare, è stata annunciata la volontà di cooperare contro la minaccia rappresentata dai ransomware, con esplicito riferimento alla Russia, paese da cui operano la maggior parte dei gruppi Advanced Persistent Threat (APT) responsabili degli ultimi attacchi alle infrastrutture critiche statunitensi.
In ambito europeo, alcuni paesi sono dotati di una struttura simile a quella implementata dal governo italiano. La Germania, già con la strategia di sicurezza cibernetica del 2016 aveva adottato misure per elevare il livello di cybersecurity delle infrastrutture nazionali. Una novità, in questo senso, è rappresentata dall’approvazione dell’IT Security Act 2.0 (o BSI Act) da parte del Bundestag, il Parlamento federale. Esso rappresenta un aggiornamento del precedente atto che, emanato nel 2015, prevedeva obblighi in termini di notifica di incidenti e adozione di misure di sicurezza in capo agli OSE. La nuova versione, adottata lo scorso maggio, include tra questi anche gli operatori del settore dello smaltimento rifiuti, attribuisce anche alle società di particolare interesse pubblico la definizione di infrastruttura critica e impone nuovi obblighi agli OSE e ai fornitori, per garantire la sicurezza della supply chain.
Un altro caso interessante è quello della Francia, che ha adottato la strategia nazionale di digital security nel 2015. Il governo francese, inoltre, si è dotato di un’agenzia nazionale di cybersecurity, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) con un ruolo simile alla costituenda Anc italiana. L’ANSSI, al pari della BSI tedesca, è incaricata di garantire la sicurezza cibernetica nazionale, eseguire la strategia nazionale di cybersecurity, contrastare le minacce informatiche, fornire linee guida per la sicurezza delle imprese e della pubblica amministrazione e attuare le norme europee in materia cyber, come la Direttiva NIS. L’Italia, quindi, aggiorna la propria struttura in un contesto, quello europeo, in cui vi sono Stati con un elevato grado di maturità, sia per quanto riguarda la consapevolezza delle minacce cibernetiche, sia dal punto di vista dell’implementazione di misure di sicurezza informatica.
Un sistema in continua evoluzione
Inizia, oggi, la sperimentazione nei confronti dei soggetti inseriti nel perimetro il 22 dicembre scorso. La lista è stata ampliata lo scorso 15 giugno dal Presidente del Consiglio, su indicazione del Comitato interministeriale per la Sicurezza della Repubblica (CISR). Questo dimostra che il Perimetro è e sarà flessibile, in modo tale da permettere un adeguamento costante al panorama delle minacce e all’evoluzione delle normative internazionali. Ciò è fondamentale, se si pensa che l’Unione Europea ha presentato, già lo scorso dicembre, una proposta di revisione della Direttiva NIS, al fine di adeguare il livello di sicurezza cibernetica degli Stati membri all’emergere di nuove e più sofisticate minacce. Questo, infatti, potrebbe portare a una modifica del Perimetro, per includervi attori che ad oggi ne restano esclusi. In seguito alla revisione, non saranno più gli Stati membri a individuare gli operatori di servizi essenziali, che saranno, invece, solo quelli previsti dalla NIS. Le modifiche, poi, dovrebbero riguardare anche le sanzioni, che potranno raggiungere il tetto massimo di 10 milioni di euro o fino al 2% del fatturato annuo.
Quanto finora detto, dimostra che l’Italia vuole essere un attore di primo piano nel cyberspace. Ovviamente, non possiede le strutture, né le capacità degli Stati Uniti. Tuttavia, il duplice approccio seguito si adatta in modo esemplare al percorso tracciato dalla NATO e dall’UE nel cyberspace. I prossimi step saranno fondamentali nel dare maggiore concretezza a quanto fatto fino ad oggi. In particolare, entro la fine del 2021 dovranno essere adottati altri due decreti attuativi del Perimetro: il primo riguarderà l’identificazione delle categorie di prodotto soggette a screening tecnologico; il secondo, invece, sarà sulle regole di accreditamento che dovranno seguire i laboratori che potranno effettuare tale screening.
Il corretto funzionamento del Perimetro farà emergere due elementi di primaria importanza: da un lato, si verificherà la capacità dei soggetti nazionali di rispettare le misure finora adottate; dall’altro, questo consentirà di individuare l’Italia come un modello da seguire per il contrasto alle minacce cibernetiche, elemento imprescindibile per garantire la sicurezza nazionale.
Davide Lo Prete,
Geopolitica.info
