Insurance Trade

Difendere le istituzioni da una “guerra” cibernetica

Il dpcm 131/2020 ha posto le linee per l’implementazione dello scudo difensivo italiano contro attacchi cyber diretti a enti e aziende strategici del Paese. Questa seconda parte dell’intervento illustra i processi e le responsabilità dei 150 enti interessati

Difendere le istituzioni da una “guerra” cibernetica hp_vert_img
PARTE SECONDA

SOGGETTI COINVOLTI NEL PERIMETRO E LORO OBBLIGHI
Il Perimetro di sicurezza nazionale cibernetica si rivolge principalmente a due categorie di soggetti:
a)   quelli che esercitano una funzione essenziale dello Stato, ovvero coloro che sono destinati ad assicurare la continuità dell’azione di governo e degli organi istituzionali, la sicurezza interna ed esterna, la difesa, le relazioni internazionali, l’ordine pubblico, l’amministrazione della giustizia e la funzionalità del sistema economico, finanziario e dei trasporti;
b) quelli che prestano un servizio essenziale per gli interessi dello Stato, ovvero tutti i soggetti (siano essi pubblici o privati), che assicurano il mantenimento delle attività civili, sociali ed economiche fondamentali, esercitando attività necessarie per l’esercizio e la salvaguardia dei diritti fondamentali dei cittadini (come garantire la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica, ad esempio) o esperiscono attività di ricerca che presentino particolare rilievo ai fini dello sviluppo del sistema economico nazionale.

Scopo del decreto è chiarire i criteri che guideranno l’Esecutivo nell’individuazione dei soggetti (pubblici e privati) che di tale perimetro faranno parte, nonché definire come predisporre, comunicare e aggiornare periodicamente l’elenco delle reti, dei sistemi informativi e dei servizi informatici rilevanti per la sicurezza del nostro paese, in quanto indispensabili per l’esercizio dei servizi essenziali per lo Stato.

Il provvedimento affida alle amministrazioni statali il compito di individuare le aziende operanti nei settori dell’interno, della difesa, dello spazio, dell’energia, delle telecomunicazioni, dell’economia e finanza, dei trasporti, dei servizi digitali, delle tecnologie critiche, degli enti previdenziali e del lavoro, per identificare le funzioni e i servizi essenziali, la cui interruzione o compromissione possa arrecare un pregiudizio per la sicurezza nazionale. 
È anche compito delle amministrazioni graduare in una scala crescente le funzioni e i servizi per i quali, in caso di interruzione o compromissione, il pregiudizio per la sicurezza nazionale sia ritenuto massimo e le possibilità di mitigazione minime. Sarà dunque predisposta una lista di tali operatori, da sottoporre al Comitato Interministeriale per la Sicurezza della Repubblica (CISR). 

Su proposta di quest’ultimo, l’elenco dei soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica farà infine parte di un atto amministrativo, periodicamente aggiornato dalla presidenza del Consiglio dei ministri.
 I soggetti inclusi nel Perimetro avranno l’obbligo di predisporre e aggiornare con cadenza annuale l’elenco dei beni ICT di rispettiva pertinenza, ovvero le reti e i servizi informatici da loro gestiti e considerati essenziali per lo Stato. Essi dovranno valutare gli effetti di un’interruzione della loro funzione, identificando i fattori di pericolo di un incidente, valutandone la probabilità e l’impatto potenziale sulla continuità ed efficacia della funzione erogata e individuando e implementando idonee misure di sicurezza. 

UN RUOLO PROPOSITIVO PER LE AZIENDE RISPETTO ALLA LORO DIFESA
Il principio non è diverso da quanto previsto dalla General Data Protection Regulation (GDPR), entrata definitivamente in vigore il 25 maggio 2018. In base a essa, ogni azienda che tratti dati sensibili è obbligata a elaborare un sistema documentale di gestione della privacy, per soddisfare i requisiti di conformità al Regolamento stesso, individuando al suo interno i ruoli chiave destinati alla gestione e protezione dei dati trattati. 
Sotto questo profilo il GDPR ha rappresentato una vera rivoluzione, perché fino alla sua promulgazione sono state le istituzioni a indicare alle aziende le modalità necessarie per la protezione dei dati trattati. Ora la questione si è letteralmente capovolta e saranno le aziende stesse, ovvero il soggetto più adatto a comprendere la portata dei dati gestiti e dei rischi legati al loro trattamento, a elaborare un piano per la protezione di questi ultimi. 

Allo stesso modo, nell’ambito del Perimetro, gli enti coinvolti, una volta effettuata l’analisi del proprio rischio, dovranno individuare per ogni funzione o servizio essenziale i beni ICT necessari a svolgerli, valutando l’impatto potenziale di un incidente, sia in termini di limitazione dell’operatività del bene stesso, che relativamente alla compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati.
Il termine compromissione si sostanzia per il legislatore nella perdita di sicurezza o di efficacia dello svolgimento di una funzione o di un servizio essenziale dello Stato, connessa all’incidente informatico che si è verificato.

Riassumendo, il Perimetro di sicurezza nazionale cibernetica costituisce un progetto assai complesso che, oltre a stabilire i criteri secondo i quali le autorità delegate dovranno identificare i soggetti da coinvolgere, definisce le modalità con cui questi dovranno assolvere ai compiti loro assegnati e istituisce le strutture di supporto alla gestione dei processi e dei flussi operativi, per segnalare eventuali attacchi e incidenti. 

RESPONSABILITÀ DA DEFINIRE, IN ATTESA DEI DECRETI ATTUATIVI 
In Italia i soggetti da includere nel Perimetro dovrebbero essere circa 150 e saranno elencati in una lista che resterà segretata per garantirne la sicurezza. 
Qualora uno di questi soggetti dovesse rimanere vittima di un attacco cibernetico, esso sarà obbligato a informare entro sei ore il Csirt (Computer security incident response team). In caso di grave violazione, sarà attivato l’Nsc, ovvero il Nucleo per la sicurezza cibernetica, il cui compito è quello di proporre al Presidente del Consiglio una risposta all’attacco e coordinare il ripristino del servizio.

Gli effetti del progetto non saranno certo immediati, ma andranno valutati nel tempo: si prevedeva che l’intero sistema sarebbe entrato a regime in questo periodo, ovvero entro la primavera del 2021, ma mancano alcuni decreti attuativi e ulteriori risorse che non sono state ancora individuate. 
Bisognerà inoltre definire gli aspetti operativi connessi all’attuazione del Perimetro, tra cui le misure di sicurezza che gli operatori dovranno adottare per rendere affidabile la loro tecnologia.

Infine, sarà necessario determinare gli eventuali carichi di responsabilità, il che sarà molto complicato, innanzi tutto perché la lista delle società che rientreranno nel Perimetro sarà segretata, e poi perché non risulta che il provvedimento comporti sanzioni nei confronti delle aziende che non dovessero allinearsi ai criteri richiesti o che non rispettino le scadenze previste, come accade ad esempio per l’attuazione del Gdpr. I costi connessi ai cyber attacchi possono essere assai cospicui e c’è da chiedersi se si possa configurare la possibilità di richiedere un risarcimento per le eventuali vittime dell’attività svolta dai soggetti pubblici e privati che del Perimetro saranno scelti a fare parte e in che misura tale responsabilità potrà essere attribuita a essi, come verrebbe eventualmente distribuito l’onere probatorio e come verrebbe quantificato il danno che ne potrebbe derivare.
Non si tratta di questioni di poco conto, perché gli attacchi già perpetrati, soprattutto per quanto attiene alle aziende private coinvolte, potrebbero comportare risarcimenti di una certa levatura. 

E dunque, se un soggetto dovesse subire un danno in seguito all’inadeguatezza dei sistemi di prevenzione o per inadempienza di un ente incluso nel Perimetro, in che termini sarebbe configurabile una sua responsabilità e in quale misura la stessa potrebbe determinare un eventuale risarcimento?

(La prima parte dell’articolo è stata pubblicata su Insurance Daily di martedì 22 giugno)

© RIPRODUZIONE RISERVATA

I più visti