Decreto Cyber Security: un passo avanti verso la sicurezza cibernetica nazionale

A cura di:Aldo Benato Ore

Il 13 aprile è entrato in vigore il Decreto Gentiloni sulla Cyber Security approvato il 17 febbraio scorso, un provvedimento che abroga e sostituisce il precedente DPCM Monti del 24 gennaio 2013 che sino a quel momento aveva delineato l’architettura nazionale in materia di sicurezza cibernetica.

In attesa del recepimento della Direttiva europea 2016/1148, recante “misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione” (c.d. Direttiva NIS – Network and Information Security), che dovrà avvenire entro il maggio 2018, si è avvertita forte e improcrastinabile l’esigenza di aggiornare l’impianto istituzionale di sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali delineate dal precedente decreto del 2013.

La natura e consistenza dell’esigenza è stata ampiamente rappresentata dal DIS (Dipartimento delle informazioni per la Sicurezza) nella “Relazione sulla politica dell’informazione per la sicurezza 2016“, documento presentato prima dell’approvazione del Decreto dal prefetto Alessandro Pansa, Direttore Generale del DIS, e da cui emerge un trend evolutivo in crescita dei fenomeni di criminalità cibernetica contrapposto a una risposta istituzionale nazionale ad oggi non adeguata.

“Gli attacchi cyber verificatisi nel corso del 2016 – emerge dalla Relazione – hanno innovato significativamente il panorama della minaccia, segnando un ulteriore cambio di passo sotto molteplici profili: dal rango dei target colpiti, alla sensibilità rivestita dagli stessi nei rispettivi contesti di riferimento; dal forte impatto conseguito, alle gravi vulnerabilità sfruttate sino alla sempre più elevata sofisticazione delle capacità degli attaccanti”

La minaccia cibernetica, continua il rapporto, è “caratterizzata da un elevato grado di eterogeneità e dinamismo tecnologico” nel contesto di un’aggressione che presenta “un costante trend di crescita in termini di sofisticazione, pervasività e persistenza a fronte di un livello non sempre adeguato di consapevolezza in merito ai rischi e di potenziamento dei presidi di sicurezza.”

Il tutto aggravato da una “persistente vulnerabilità di piattaforme web istituzionali e private, erogatrici in qualche caso di servizi essenziali e/o strategici, che incidono sulla sicurezza nazionale“.

“La crescente dipendenza dei processi produttivi e delle forniture di servizi dal dominio digitale –  evidenzia inoltre la Relazione – unitamente alle vulnerabilità che affliggono le supply chain degli operatori, siano essi imprese, organizzazioni ed individui, hanno nel tempo determinato una progressiva estensione della superficie di esposizione alla minaccia.”

Il Decreto: le principali novità

Il Decreto sulla Cyber Security, analogamente al precedente Decreto Monti del 2013, si prefigge di definire, in un contesto unitario e integrato, l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali.

Di fatto si risolve in una riorganizzazione e razionalizzazione delle risorse e del sistema di difesa dello spazio cibernetico nazionale in linea con le indicazioni contenute nella Direttiva europea NIS in attesa di recepimento.

In estrema sintesi, con esso:

  • viene rafforzato il ruolo del Cisr, che emanerà direttive con l’obiettivo di innalzare il livello della sicurezza informatica del Paese e si avvarrà in questa attività del supporto del coordinamento interministeriale delle amministrazioni Cisr (il cosiddetto Cisr tecnico) e del DIS;
  • il Nucleo Sicurezza Cibernetica (Nsc) viene ricondotto all’interno del DIS ed assicurerà la risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei ministeri competenti in materia;
  • viene prevista una forte interazione con l’Agenzia per l’Italia Digitale (Agid) del Dipartimento della Funzione Pubblica, con il Ministero dello Sviluppo Economico, con il Ministero dell’Interno, con il Ministero della Difesa e, infine, con il Ministero dell’Economia e Finanze;
  • viene attribuito al direttore generale del DIS il compito di definire linee di azione che dovranno portare ad assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, sia pubblici che privati, verificandone ed eliminandone le vulnerabilità.

Per la realizzazione di tali iniziative è previsto il coinvolgimento del mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, così come una diffusa collaborazione con le imprese di settore.

DPCM a confronto: cosa cambia articolo per articolo

Come può agevolmente intuirsi da un confronto tra il nuovo DPCM e il precedente del 2013, viene sostanzialmente mantenuta e riconfermata la struttura del provvedimento con alcune modifiche sostanziali e altre semplicemente stilistiche.

Un’analisi norma per norma evidenzia quanto segue.

Art. 1. – E’ l’unico a rimanere assolutamente invariato, confermando lo stesso ambito di applicazione del Decreto in parola rispetto al precedente.

Art. 2 – Alle  definizioni vengono aggiunte quelle di “CISR tecnico” (che rispecchia una realtà peraltro già operativa con il DPCM del 2013) e di “operatori di servizi essenziali” e “fornitori di servizi digitali“, queste ultime in recepimento della nuova Direttiva NIS.

Art. 3 – Al Presidente del Consiglio dei Ministri viene riconosciuto il ruolo di responsabile della politica generale del Governo e vertice del Sistema di informazione per la sicurezza della Repubblica e, in quanto tale, si evidenzia il suo potere di convocare il CISR in caso di situazioni di crisi che coinvolgano aspetti di sicurezza nazionale.

Art. 4 – Parallelamente, tra le funzioni del CISR vengono aggiunte quelle di “consulenza, proposta e deliberazione” in caso di crisi cibernetica e su convocazione discrezionale da parte del Presidente del Consiglio. Viene inoltre espunta la partecipazione del Consigliere Militare, prevista dal precedente DPCM.

Art. 5 – Anche dal c.d. “CISR tecnico” di cui all’art. 5 viene espunta la partecipazione del Consigliere Militare, unitamente all’eliminazione di avvalersi del “Comitato Scientifico” precedentemente previsto dall’art. 6 del DPCM del 2013.

Art. 6 – L’art. 6, in precedenza relativo al c.d. “Comitato Scientifico” deputato alla predisposizione di “ipotesi di intervento rivolte a migliorare gli standard ed i livelli di sicurezza dei sistemi e delle reti“, viene ora dedicato ai poteri del Direttore Generale del DIS (il Dipartimento delle informazioni per la sicurezza di cui all’art. 4, della legge n. 124 del 2007), che vanno dall’adottare le iniziative idonee a definire le necessarie linee di azione per la sicurezza cibernetica nazionale, al predisporee gli opportuni moduli organizzativi, di coordinamento e di raccordo per la realizzazione delle linee di azione in precedenza definite, al potere di ricorrere a convenzioni e intese con le pubbliche amministrazioni e soggetti privati.

Art. 7 – La norma rimane sostanzialmente inalterata, subendo solo alcune modifiche stilistiche e l’eliminazione, anche in questo caso, di ogni riferimento al Comitato Scientifico di cui all’art. 6 del precedente DPCM.

Art. 8 – L’art. 8 contiene una piccola ma fondamentale modifica: il nuovo inserimento strutturale del Nucleo per la sicurezza cibernetica non più presso l’Ufficio del Consigliere Militare ma presso il DIS, precisando conseguentemente che la presidenza dello stesso spetta a un vice direttore generale del DIS stesso e che il Consigliere Militare, prima presidente del Nucleo, vi continuerà a partecipare solo in qualità di membro.  Viene infine inserito un obbligo del Nucleo di riferire sulle attività svolte al direttore generale del DIS stesso.

Art. 9 – In merito ai compiti del Nucleo per la sicurezza cibernetica, viene precisata l’estensione dell’ambito di operatività del Nucleo anche alle situazioni di crisi che coinvolgano aspetti di sicurezza nazionale, con un preciso  obbligo di informare tempestivamente il Presidente, per il tramite del direttore generale del DIS, sulla situazione in atto, e viene previso il potere di acquisire informazioni dal  CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche)  nell’esercizio dei servizi di protezione informatica delle infrastrutture critiche.

Art. 10 – Prima dedicato al NISP, Tavolo interministeriale di crisi cibernetica, ora disciplina invece la gestione delle crisi di natura cibernetica. In particolare, precisa il ruolo primario del Nucleo, la cui composizione può essere integrata, secondo necessità, con la partecipazione di rappresentanti del Ministero della salute, del Ministero delle infrastrutture e dei trasporti, del Dipartimento dei Vigili del fuoco, e del soccorso pubblico e della difesa civile, con potere di questi ultimi di farsi accompagnare da altri funzionari della propria amministrazione. Vengono inoltre riassegnati al Nucleo i compiti in precedenza affidati al Tavolo interministeriale.

Art. 11 – Quanto agli operatori privati di cui all’art. 11, vengono aggiunti all’elenco quelli previsti dalla Direttiva NIS (operatori di servizi essenziali e fornitori di servizi digitali) e vengono estesi i doveri di collaborazione prevedendo l’obbligo di consentire l’accesso ai SOC (Security Operations Center) aziendali. Viene inoltre prevista l’istituzione di un centro di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità e precisato che la mancata di comunicazione di eventi critici verrà valutata ai fini dell’affidabilita’ richiesta per il possesso delle abilitazioni di sicurezza.

Art. 12 – Norma sostanzialmente analoga alla precedente versione contenuta nel DPCM del 2013, con parziali modifiche di mera natura stilistica.

Art. 13 – La norma di chiusura del provvedimento, che prevede l’abrogazione espressa del DPCM del 2013, prevede altresì una disciplina transitoria destinata ad accompagnare il passaggio di competenze del Nucleo per la sicurezza cibernetica al DIS.

Il prossimo passo: il recepimento della Direttiva NIS

Occorre comunque tener presente che il Decreto in parola costituisce solo un temporaneo adeguamento nazionale della previgente architettura istituzionale delinata dl Decreto Monti del 2013 in attesa del recepimento della Direttiva NIS sopra citata, che sarà il vero passo avanti in questo ambito a livello normativo.

La Direttiva NIS, in particolare, come sintetizza la sopraccitata Relazione, prevede:

  • sul piano strategico: l’adozione di una strategia nazionale NIS che contempli la fissazione di obiettivi e priorità, delinei l’architettura di governo (comprensiva di ruoli e responsabilità attribuite ai diversi soggetti), preveda programmi di sensibilizzazione (awareness), piani di ricerca e sviluppo, nonché renda operativo un piano di valutazione dei rischi;
  • sul versante architetturale e operativo:
    • l’istituzione di una (o più) Autorità nazionale NIS e di un punto unico di contatto nazionale per la ricezione delle notifiche di incidenti e la cooperazione alla loro risoluzione;
    • la costituzione di uno o più Computer Security Incident Response Teams (CSIRTs), cui è – tra l’altro – attribuita la responsabilità della gestione degli incidenti e dei rischi, con specifico riferimento a quelli che dovessero interessare gli operatori di servizi essenziali, dovendo fornire loro supporto per la risoluzione degli incidenti di impatto significativo;
    • specifici obblighi di sicurezza informatica per:
      – gli operatori di servizi essenziali (nei settori dell’energia, del trasporto, bancario e finanziario, sanitario, idrico e delle infrastrutture digitali);
      – i fornitori di servizi digitali (come i motori di ricerca on-line, i negozi on-line, i servizi di cloud computing), tra cui l’obbligo della tempestiva notifica all’Autorità nazionale NIS degli incidenti informatici subiti.

Non ci resta che attenderne il recepimento in Italia, che auspichiamo avvenga nei termini previsti.

Staremo a vedere, nel frattempo, come verrà data in concreto esecuzione al nuovo Decreto sulla sicurezza cibernetica e se sarà per adesso sufficiente a scongiurare le numerose minacce del cyber spazio, che con sempre maggior frequenza stanno mettendo a rischio la sicurezza dei cittadini, delle aziende e dell’intero Paese.

A cura di: Avv. Aldo Benato

Profilo Autore
Aldo Benato

Laureato nel 2000 presso l'Università degli Studi di Trento, ho conseguito il titolo di avvocato a 26 anni dopo aver svolto la pratica presso uno Studio Legale associato a Castelfranco Veneto e presso l'Avvocatura dello Stato di Venezia.

Condividi sui Social Network:

Articoli simili

Immagina di poter disporre di un analista SOC molto competente su ciascuno dei tuoi dispositivi

Immagina di poter disporre di un analista SOC molto competente su ciascuno dei tuoi dispositivi

A cura di:Redazione Ore Pubblicato il

Gli addetti alla sicurezza devono essere in grado di monitorare e proteggere tutti i punti ai margini della propria rete, dall’endpoint al cloud. Anche se molte soluzioni di rilevamento e risposta degli endpoint consentono agli operatori di individuare gli elementi dannosi, molti di essi non offrono il contesto necessario per comprendere cosa sia stato rilevato…

Cybercrime, continua l’opera di prevenzione della Polizia postale. Aumentano i siti monitorati ma calano le persone denunciate.

Cybercrime, continua l’opera di prevenzione della Polizia postale. Aumentano i siti monitorati ma calano le persone denunciate.

A cura di:Redazione Ore Pubblicato il

Continua l’opera di prevenzione del cybercrime da parte della Polizia postale anche se i numeri del rapporto 2016 mostrano un andamento altalenante rispetto a quelli del 2015. In base al rapporto diffuso dalla Polizia postale, infatti, si legge come nonostante uno scenario nel quale la continua evoluzione tecnologica influenzi praticamente ogni azione del nostro vivere…

La privacy oltreoceano

La privacy oltreoceano

A cura di:Francesco Maldera Ore Pubblicato il

Il framework statunitense L’Unione Europea è considerata il soggetto che, più di ogni altro a livello internazionale, si è interessato di protezione di dati personali e che, tradizionalmente, ha avviato un percorso di tutela normativa d’avanguardia. Ma siamo proprio sicuri che sia così? L’occasione per rispondere a questa domanda è data dall’avvio in consultazione pubblica,…

Insider Threat: tipologie di cyber minacce e contromisure

Insider Threat: tipologie di cyber minacce e contromisure

A cura di:Mattia Siciliano Ore Pubblicato il

Ormai negli ultimi 5 anni riscontriamo un’evoluzione del mercato della Cybersecurity da parte delle organizzazioni pubbliche e private che sempre più spesso ricorrono ad un adeguamento delle tecnologie e dei programmi legati alla gestione del rischio Cyber. Solo nel 2018 abbiamo dato seguito all’attuazione di due importanti direttive europee: la Direttiva 2016/679 (GDPR) per la…

Data breach: alcune osservazioni sulle linee guida europee

Data breach: alcune osservazioni sulle linee guida europee

A cura di:Enrico Pelino Ore Pubblicato il

Con l’approssimarsi della data in cui sarà applicativo il GDPR (“RGPD” nell’acronimo italiano), va intensificandosi l’elaborazione di linee guida europee. Nell’ottobre 2017 sono state finalmente pubblicate quelle in materia di data breach, tra le più attese, successivamente rivedute e rese definitive il 6 febbraio 2018 (rev.01). Al momento in cui si scrive sono disponibili esclusivamente…

Sentiment Analysis e Social Media Intelligence

Sentiment Analysis e Social Media Intelligence

A cura di:Michelangelo Di Stefano Ore Pubblicato il

IL DATAGATE Si parla, in questi giorni, del “Datagate Facebook”, cioè del mea culpa di Mark Zuckenberg dopo lo scandalo della profilazione massiva sui social effettuata dalla Cambridge Analytica per orientare le passate elezioni statunitensi. Il termine “datagate” era stato utilizzato nella semantica mediatica nel lontano 2013, a seguito della divulgazione di una serie di…