25 Ago Perimetro Nazionale Cibernetico e l’importanza di una compliance integrata

Articolo scritto in collaborazione con ICT Cyber Consulting.

Il Modello Organizzativo Cybersecurity: la congiunzione tra compliance giuridica, hardening sistemistico e le esigenze di business.

Il Perimetro Nazionale Cibernetico: adempimenti e tempistiche

L’odierno dinamismo nella dimensione socio-tecnologica delle aziende è caratterizzato da un esponenziale aumento delle minacce di natura informatica. Il problema riguarda sia le piccole e medie imprese che le grandi multinazionali, in quanto tali rischi sono anche frutto della congiuntura creatasi su scala internazionale, composta dall’emergenza sanitaria e dall’affermazione di scenari riconducibili al cyber-warfare.

L’implementazione di un modello organizzativo aziendale relativo alla cybersecurity, che sia calibrato sulle esigenze di business dell’azienda e aderente alle disposizioni normative relative alla sicurezza informatica, risulta fondamentale, non solo ai fini di un’idonea definizione dei processi impattanti sui fattori esterni e interni dell’organizzazione, ma anche per rendere possibile l’instaurazione e la formalizzazione di misure tecniche e organizzative adeguate ed efficaci volte a mitigare i fattori di rischio impattanti sugli asset aziendali.

La protezione degli asset aziendali è un bene giuridico da tutelare, non solo in ottica di prosecuzione e miglioramento delle attività di business ma anche al fine di salvaguardare l’interesse nazionale.

A tale scopo il 21 settembre 2019 è stato pubblicato sulla Gazzetta Ufficiale il Decreto Legge n.105 contenente “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica” che istituisce il cosiddetto Perimetro di Sicurezza Nazionale Cibernetica, punto di riferimento normativo per assicurare una maggiore protezione per le reti, i sistemi informativi e i servizi informatici dei soggetti “pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.

In particolare, saranno considerati parte del Perimetro quei soggetti che pongano in essere:

• attività strumentali all’esercizio di funzioni essenziali dello Stato;
• attività necessarie per l’esercizio e il godimento dei diritti fondamentali;
• attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica;
• attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.

Per quanto concerne gli adempimenti, questi verteranno sulla predisposizione e l’aggiornamento, con cadenza almeno annuale, di un elenco delle reti, dei sistemi informativi e dei servizi informatici di pertinenza, comprensivo della relativa architettura e componentistica. Inoltre, dovranno essere adottate delle misure di sicurezza volte a garantire elevati livelli di sicurezza per le suddette reti, i sistemi informativi e i sistemi informatici. Ulteriori obblighi imposti dalla normativa riguarderanno, inoltre, la notifica al CSIRT (Computer Security Incident Response Team) italiano degli incidenti aventi un impatto sulle reti, sui sistemi informativi e sui servizi informatici, oltre alla notifica al CVCN (Centro di Valutazione e Certificazione Nazionale) qualora si intenda procedere all’affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici rientranti nel Perimetro di Sicurezza Nazionale Cibernetica.

Tale prescrizione, pertanto, implicherà ragionevolmente la necessità per le aziende di dover implementare le best practices settoriali relative alla gestione degli asset aziendali. Le aziende in linea con quanto desumibile dall’applicazione dei controlli di sicurezza dell’Annex A dello standard ISO/IEC 27001:2013, in particolare con i controlli della sezione A.8 “Asset Management”, godranno di un notevole vantaggio nel percorso di compliance alle norme attinenti al Perimetro, rispetto alle aziende non allineate con tale standard.

In aggiunta, è bene segnalare come, verosimilmente nel corso del prossimo autunno, il CISR (Comitato Interministeriale per la Sicurezza della Repubblica) provvederà ad elaborare delle procedure specifiche per la notifica degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici afferenti al Perimetro, oltre che a definire in maniera dettagliate quali saranno le misure volte a garantire elevati livelli di sicurezza per tali sistemi. Per quanto concerne tali misure, è presumibile che queste saranno elaborate sulla falsariga delle Linee Guida per gli OSE (Operatori di Servizi Essenziali) sottoposti alla Direttiva NIS, e dunque forniranno indicazioni in merito alla struttura organizzativa preposta alla gestione della sicurezza, nonché sulle politiche di sicurezza e di gestione del rischio da adottare, oltre che sulla gestione degli incidenti e sulla loro mitigazione e prevenzione. Ulteriori indicazioni potrebbero riguardare aspetti quali la protezione fisica e logica dei dati, delle reti e dei sistemi informativi, sulla gestione operativa, ivi compresa la continuità del servizio, sulle modalità per il monitoraggio, il test ed il controllo dei sistemi informativi e dei suoi componenti, sulla formazione e consapevolezza del personale e, infine, sulle modalità di acquisizione di beni e servizi di ICT.

Correlazioni con GDPR e NIS: i vantaggi competitivi di una compliance integrata

Le misure che diverranno le pietre miliari della strada verso la compliance alla normativa e all’hardening del sistema informatico aziendale, non potranno discostarsi ragionevolmente dalle best practices internazionali, come già avvenuto in relazione alla Direttiva NIS nel 2018. In tal senso, l’approccio del legislatore ai temi relativi alla sicurezza informatica è pregevole e tiene in considerazione decenni di evoluzione della disciplina in un’ottica di analisi dei rischi che tende a non imporre tassativamente misure di sicurezza tecniche e organizzative ma che guida le aziende verso un percorso di responsabilizzazione e, conseguentemente, verso la scelta delle migliori misure di sicurezza che possano proteggerle dagli attacchi informatici. In tal senso, già il Regolamento UE 679/2016 (“GDPR”) aveva condotto le aziende nel muovere i primi passi verso una nuova mentalità, in funzione di un cambiamento culturale nella protezione degli asset informatici aziendali e dei dati personali in essi contenuti.

La Direttiva NIS, il GDPR e ora il Perimetro rappresentano un valido vettore per veicolare l’adozione di una visione multidisciplinare della sicurezza informatica. Le discipline che per loro stessa natura sono scevre da approcci tecnici, sono in grado di fornire alle aziende punti di vista diversi che possono rafforzarle sia per quanto riguarda la conformità alle normative vigenti sia avere il pregio di mitigare i rischi di natura informatica. Chiaramente, queste prospettive dovrebbero essere integrate con l’approccio tecnologico ma la rilevanza del fattore umano nella sicurezza informatica, e quindi della sua estrinsecazione in termini organizzativi, richiede contributi diversi dai campi delle scienze sociali.

L’approccio del legislatore, pertanto, richiede una comprensione dello spazio virtuale in cui l’azienda si muove per aver contezza di tutte le attività criminali che vi si sviluppano e poter proteggere i propri asset materiali e immateriali. Tale comprensione non è sufficiente che sia meramente di carattere ingegneristico, in quanto assume rilevanza e centralità il contesto organizzativo dell’azienda: ciò rende necessaria la competenza di individui con conoscenze nelle scienze comportamentali, giuridiche e sociali, in grado di governare il cambiamento e di accompagnare l’azienda in un percorso che non conduca alla mera, formale, conformità giuridica ma che possa produrre risultati di business.

ISO/IEC 27001:2013 e ISO 22301:2019: compliance benchmark e best practice

Tornando agli obblighi, l’articolo 7 dello Schema di DPCM in materia di Perimetro di Sicurezza Nazionale Cibernetica, emesso con Atto del Governo n.177 lo scorso 4 giugno 2020 in attuazione di quanto previsto dall’articolo 1, comma 2, lett. b) del Decreto-legge n. 105/2019, ha definito i criteri per la predisposizione e l’aggiornamento, con cadenza almeno annuale, degli elenchi dei beni ICT succitati, da parte dei soggetti inclusi nel Perimetro.  È previsto, difatti, che questi siano definiti sulla base di un’analisi del rischio, in accordo con il framework normativo di origine comunitaria, e di un criterio di gradualità, fermo restando che, per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate, sarà applicato quanto previsto dal regolamento adottato ai sensi dell’articolo 4, comma 3, lettera l), della legge 3 agosto 2007, n. 124. All’elaborazione di tali criteri provvederà l’organismo tecnico di supporto al CISR con il supporto di una rappresentanza della Presidenza del Consiglio dei Ministri, adottando opportuni moduli organizzativi.

Entro sei mesi dalla data della comunicazione, prevista dal comma 2-bis, i soggetti rientranti nel Perimetro dovranno provvedere alla trasmissione di tali elenchi, rispettivamente, alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico, i quali passeranno successivamente all’attenzione del DIS (Dipartimento delle Informazioni per la Sicurezza), in quanto elementi utili per assurgere alle attività di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la sicurezza cibernetica, nonché all’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione.

Al fine di redigere i suddetti elenchi, i soggetti rientranti nel Perimetro dovranno dunque provvedere ad individuare i beni ICT necessari a svolgere la funzione o il servizio essenziale, valutando l’impatto di un eventuale incidente sul bene ICT e le dipendenze con ulteriori reti, sistemi informativi, informatici o infrastrutture fisiche di altri soggetti, compresi quelli utilizzati per finalità manutentive e, successivamente, predisporre l’elenco dei beni ICT, individuando, possibilmente, altresì le parti minimali di ciascun bene ICT, definite come “una parte di un bene ICT, tale che la compromissione di essa comporta la compromissione del bene ICT ai fini dello svolgimento di una funzione essenziale dello Stato o dell’erogazione di un servizio essenziale“.

Ancora, per quanto concerne l’architettura e la componentistica dei beni ICT individuati negli elenchi succitati, l’articolo 8 dello Schema di DPCM in materia di Perimetro di Sicurezza Nazionale Cibernetica prevede che queste siano descritte conformemente ad un modello predisposto e periodicamente aggiornato dal DIS, il quale provvederà altresì alla comunicazione ai soggetti interessati. Tale modello sarà redatto previo parere del CISR e conterrà delle indicazioni concernenti gli elementi utili alla descrizione dei beni ICT e all’individuazione delle relative dipendenze, nonché delle linee guida per la trasmissione degli elenchi, disciplinata dal successivo articolo 9, il quale dispone che questa dovrà avvenire entro sei mesi dal ricevimento della comunicazione di avvenuta iscrizione nell’elenco dei soggetti interessati.

Per quanto riguarda le modalità di trasmissione, l’articolo 9 precisa che questa dovrà avvenire, anche per i successivi aggiornamenti degli elenchi, tramite una piattaforma digitale costituita presso il DIS e dovrà essere comprensiva della descrizione dell’architettura e della componentistica, secondo il modello predisposto dal DIS, nonché dell’analisi del rischio.

Alla luce di quanto esposto, appare evidente che l’instaurazione di un modello organizzativo solido ed efficace basato sulle best practices enunciate dai principali standard internazionali in materia di governance aziendale, in particolare per quanto riguarda la sicurezza delle informazioni e la business continuity, risulta in un vantaggio per le aziende che dovranno adempiere ai summenzionati obblighi normativi.

Infine, i principi riconducibili a standard quali ISO/IEC 27001:2013 e ISO 22301:2019, che disciplinano rispettivamente i sistemi di gestione per la sicurezza delle informazioni e i sistemi di gestione per l’implementazione della business continuity aziendale, includono delle linee guida tecniche e organizzative, veicolando condotte utili ad un monitoraggio e ad una revisione puntuale e periodica dell’intera infrastruttura IT dell’organizzazione, nonché ad una valutazione della stessa basata sul concetto di rischio, con un approccio continuamente rivolto al miglioramento continuo ed in linea con quanto disposto dalle norme comunitarie e nazionali.

Un sistema di gestione basato sullo standard ISO 22301:2014 offre, altresì, un modello procedurale, sia sotto il profilo tecnico che organizzativo, utile ad un monitoraggio e ad una gestione maggiormente efficaci degli incidenti di sicurezza, gli stessi da comunicare alle autorità elencate dal D.L.105.

L’adesione ai summenzionati standard consente di integrare i propri modelli di notifica, aderendo agli obblighi normativi. La notifica degli incidenti di sicurezza, difatti, è caratterizzata da notevoli elementi descrittivi, come già stabilito dalla Direttiva NIS; ciò è confermato dalle disposizioni del Perimetro di Sicurezza Nazionale Cibernetica, che attualizza e amplifica tale processo.

Conclusioni

Il Perimetro di Sicurezza Nazionale Cibernetica dimostra un incremento in termini di sensibilità e consapevolezza dell’Esecutivo nei confronti dell’importanza della cybersecurity e di quanto la stessa sia rilevante non solo sotto il profilo tecnologico ma anche, e soprattutto, sotto il profilo umano e organizzativo. Un modello di gestione aziendale risk based e un’identificazione puntuale e precisa dell’applicabilità e dei ruoli e delle responsabilità interne all’azienda possono comportare un aumento considerevole dei livelli di sicurezza aziendale. Una idonea integrazione del principio cybersecurity-by-design nei processi aziendali sarà utile a consentire una governance maggiormente competitiva e proiettata verso le sfide future che il mondo moderno offre e che peseranno sul piatto della bilancia del business globale e della sicurezza nazionale e internazionale.