Il 30 agosto scorso l’European Union Agency for Network and Information Security[i] (ENISA) ha pubblicato il rapporto annuale sugli incidenti rilevati nel 2017 dalle imprese fornitrici di servizi di comunicazione elettroniche[ii]. Il rapporto trova il suo fondamento giuridico nell’art. 13 bis della direttiva UE 140/2009[iii] che ha introdotto importanti elementi di novità nel quadro normativo europeo, rispetto alle reti ed ai servizi di comunicazione elettronica.
L’art. 13 bis della direttiva 140 è stato attuato, in Italia, dal Dlgs. 70 del 2012[iv] che ha introdotto gli articoli 16 bis e 16 ter nel Codice delle comunicazioni elettroniche[v]. A norma dell’articolo 16 bis, dunque, esiste un obbligo per gli operatori che gestiscono reti pubbliche di comunicazione di:
A sua volta, nel caso di violazioni della sicurezza significative, il Ministero dello Sviluppo Economico ha l’obbligo di:
L’ENISA, quindi, riceve dall’Italia e dagli altri Paesi Membri le informazioni relative agli incidenti di sicurezza che riguardano le reti di comunicazione.
Per agevolare l’efficacia e l’efficienza dei meccanismi di analisi e reporting, l’ENISA e le autorità competenti degli Stati Membri hanno stabilito le soglie di significatività degli incidenti di sicurezza che la stessa ENISA ha formalizzato nelle “Linee Guida per il Reporting degli Incidenti”[vi] e nelle “Linee Guida per le Misure di Sicurezza”[vii]. Le soglie sono definite in base a parametri di:
Un incidente è considerato significativo e, quindi, da segnalare all’ENISA, quando:
In ogni caso, l’incidente deve essere comunicato all’ENISA se il prodotto tra numero di utenti coinvolti e durata degli effetti è superiore a un milione (di ore‑utente).
Il rapporto riguarda 169 incidenti segnalati, nel 2017, da 22 dei 28 paesi UE e da 2 paesi EFTA e propone alcuni elementi significativi:
Questi risultati ci dicono che la sicurezza delle infrastrutture di telecomunicazione è ampiamente migliorabile.
Occorre lavorare, in particolare:
Esiste, inoltre, una significativa sovrapposizione tra alcune definizioni presenti nella normativa europea (poi applicata a livello nazionale):
Basterebbero queste sovrapposizioni lessicali per stimolare una riflessione allargata sull’effetto domino che un incidente di sicurezza nelle comunicazioni elettroniche genera e, quindi, sulla necessità di costruire meccanismi di riduzione dei rischi e di reazione (auspicabilmente coordinata) che siano il frutto di un’approfondita analisi da parte di tutte le autorità governative coinvolte (Agid, Agcom, Garante per la Protezione dei Dati Personali, CSIRT).
Questo aspetto corale è sottolineato dal nuovo Codice Europeo per le Comunicazioni Elettroniche[xii], che vedrà definitivamente la luce il prossimo novembre: all’art. 40 (sostitutivo dell’art. 13 bis della Direttiva UE 140/2009, cioè l’articolo che disciplina la comunicazione degli incidenti di sicurezza nelle reti e servizi di comunicazione elettronica) il Codice indica con precisione quali dovranno essere i parametri da valutare per determinare la rilevanza dell’impatto di un incidente di sicurezza:
Se i primi due parametri sono già considerati nell’attuale attività di reporting a cura dell’ENISA, per gli altri sarà necessaria un’attività coordinata di definizione delle soglie ma, prima ancora, di prevenzione diffusa affinché gli incidenti di sicurezza non rimangano una questione aperta.
Articolo a cura di Francesco Maldera
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…