sabato, Agosto 13, 2022
Disponibile su Google Play
HomeMisteroCybersecurity, al via il processo di certificazione. Come funziona?

Cybersecurity, al via il processo di certificazione. Come funziona?

Ascolta la versione audio dell’articolo

Il crescente numero di attacchi informatici alle infrastrutture critiche ha portato i principali attori internazionali, tra cui, ad esempio, gli Stati Uniti e l’Unione europea, ad rivolti l’adozione di misure volte ad aumentare la sicurezza dei propri sistemi e delle proprie reti.
Anche solo guardando esclusivamente alla dimensione europea, negli ultimi mesi troviamo ben due iniziative estremamente rilevanti in materia di cybersecurity. Infatti, da una parte è stata pubblicata una bozza di Regolamento volto a innalzare i livelli di sicurezza cibernetica delle istituzioni, degli organi e delle agenzie dell’Unione europea attraverso l’incremento della resilienza dei sistemi e delle capacità di risposta agli attacchi cyber. Dall’altra, il Consiglio e il Parlamento europeo hanno raggiunto un accordo sulla cosiddetta Direttiva NIS 2, la normativa europea che si prefigge di migliorare ulteriormente la resilienza e la capacità di risposta agli incidenti del settore pubblico, privato e dell’Unione nel suo complesso attraverso misure per un livello comune elevato di cybersicurezza.
Sul piano nazionale, il legislatore italiano aveva già da tempo ideato un articolato e complesso corpus normativo volto a istituire il cosiddetto “Perimetro di Sicurezza Nazionale Cibernetica”. Tale normativa introduce numerosi elementi legali finalizzati alla sicurezza ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici degli operatori nazionali, pubblici e privati, che esercitano una funzione essenziale o che erogano un servizio essenziale dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

L’impianto normativo del Perimetro di Sicurezza Nazionale Cibernetica pone le sue basi sul decreto-legge 105/2019 sul quale, allo stato attuale, si innestano tre Decreti del Presidente del Consiglio dei ministri (DPCM) e un Decreto del Presidente della Repubblica (DPR ) attuativi. Data la complessità e la quantità delle fonti, ai fini della compliance alla normativa in esame è necessaria una visione di tutti gli aspetti aggiunti, che non si limita esclusivamente agli aspetti prettamente tecnici, ma riesca a coniugare anche quelli di natura legale, soprattutto considerare il notevole impatto che la normativa ha sull’organizzazione degli attori coinvolti.
Portando un esempio della grande pervasività della disciplina, il DPR interviene sulle procedure, sulle modalità e sui termini ai quali devono attenersi i soggetti interessati dalla normativa che intende procedere all’affidamento di forniture di beni, sistemi e servizi ICT, introducendo un processo di valutazione da parte del Centro di Valutazione e Certificazione Nazionale (CVCN).
L’operatività del CVCN è prevista per il 30 giugno 2022 e rappresenta uno degli ultimi tasselli che vanno a completare il complesso apparato normativo del Perimetro di Sicurezza Nazionale Cibernetica. In particolare, tale è incaricata di effettuare uno scrutinio tecnologico sui beni, sistemi e servizi ICT appartenenti alle categorie individuate con l’apposito DPCM del 15 giugno 2021 e destinati a essere impiegati sulle infrastrutture che supportano servizi o funzioni essenziali ricompresi nell’ambito di applicazione della normativa in esame. Ciò implica un sindacato sulla catena di approvvigionamento e, in particolar modo, sui fornitori selezionati e sui prodotti utilizzati dal soggetto incluso nel Perimetro di Sicurezza Nazionale Cibernetica.
Nel merito, tra i principali poteri del CVCN vi è quello di imporre condizioni di utilizzo dei prodotti acquistati, nonché di richiedere lo svolgimento di test di hardware e software prima del loro uso. Dunque, si svolgerà un controllo preventivo ad accertare la sicurezza e l’assenza di rimozione delle note di servizi ICT che interagiscono con i sistemi deputati essenziali allo svolgimento delle funzioni o dei. Tra i vari obiettivi di verifica vi è quello di ridurre il rischio che i prodotti e servizi acquistati o le azioni possono essere presenti per essere sfruttate per attacchi informatici a esfiltra informazioni sensibili oa impedire o limitare il funzionamento di infrastrutture critiche nazionali. Pertanto, le verifiche del CVCN potrebbero rispondere a logiche analoghe a quelle che hanno imposto alle pubbliche amministrazioni di “diversificare recentemente” prodotti e servizi tecnologici provenienti dalla Russia al fine di prevenire alla sicurezza informatica.

Quest’esigenza di comporta onere in capo attori agli attori nel Perimetro di Sicurezza Nazionale Cibertica, oltre ad esserene già chiamati a importanti sforzi di compliance sul piano organizzativo, che su quello dei processi, includere ridi le procedure di procurement tenendo conto del nuovo assetto normativo. È, inoltre, evidente l’impatto notevole che il processo di valutazione può avere sul business non solo degli operatori soggetti al processo di valutazione, ma anche dei loro fornitori. Infatti, in caso di risultato negativo della valutazione il soggetto interessato dalla normativa sul Perimetro di Sicurezza Nazionale Cibernetica non potrà osare eseguire ai contratti. La possibilità di bloccare l’esecuzione dei contratti o dei bandi di gara, richiede la loro integrazione con clausola che li condizionino, sospensivo o risolutivamente, al rispetto delle condizioni imposto o all’esito favorevole dei test.
Questi aspetti e la sempre maggiore regolamentazione del settore denotano crescente l’importanza delle competenze legali quando si parla di cybersecurity. Infatti, la tendenza ad approcciare questo argomento in maniera esclusivamente tecnica rischia, sul lungo periodo, di non consentire un compiuto perseguimento degli obiettivi di sicurezza. Coerentemente con tale approccio, anche la recentissima Strategia Nazionale di Cybersicurezza, pubblicata dall’ACN, l’agenzia che tutela gli interessi nazionali nel cyberspazio, sottolinea che, per garantire un livello di protezione efficace e duraturo, è indispensabile la definizione ed il mantenimento di un quadro aggiornato e coerente in materia di sicurezza informatica. Dunque, anche la strategia nazionale l’accento sul ruolo chiave che pone la legislazione ricopre nell’ottica di garantire una tutela efficace delle infrastrutture informatiche.
In conclusione, è necessario entrare nella prospettiva per cui, quando si parla di sicurezza cibernetica, gli tecnici e quelli legali sono due aspetti imprescindibili aspetti della stessa medaglia. Pertanto, anche considerato la trasversalità della materia, per garantire la compliance indispensabile alle normative di settore, è dotarsi di competenze capaci di far dialogare il mondo della cybersecurity, inteso nella sua dimensione più tecnica , con quello legale.

* Studio Legale Chiomenti, ha collaboratore Lucrezia Falciai, Associate di Chiomenti

Scopri di più

Covid Abruzzo Basilicata Calabria Campania Emilia Romagna Friuli Venezia Giulia Lazio Liguria Lombardia Marche Molise Piemonte Puglia Sardegna Sicilia Toscana Trentino Alto Adige Umbria Valle d’Aosta Veneto Italia Agrigento Alessandria Ancona Aosta Arezzo Ascoli Piceno Asti Avellino Bari Barletta-Andria-Trani Belluno Benevento Bergamo Biella Bologna Bolzano Brescia Brindisi Cagliari Caltanissetta Campobasso Carbonia-Iglesias Caserta Catania Catanzaro Chieti Como Cosenza Cremona Crotone Cuneo Enna Fermo Ferrara Firenze Foggia Forlì-Cesena Frosinone Genova Gorizia Grosseto Imperia Isernia La Spezia L’Aquila Latina Lecce Lecco Livorno Lodi Lucca Macerata Mantova Massa-Carrara Matera Messina Milano Modena Monza e della Brianza Napoli Novara Nuoro Olbia-Tempio Oristano Padova Palermo Parma Pavia Perugia Pesaro e Urbino Pescara Piacenza Pisa Pistoia Pordenone Potenza Prato Ragusa Ravenna Reggio Calabria Reggio Emilia Rieti Rimini Roma Rovigo Salerno Medio Campidano Sassari Savona Siena Siracusa Sondrio Taranto Teramo Terni Torino Ogliastra Trapani Trento Treviso Trieste Udine Varese Venezia Verbano-Cusio-Ossola Vercelli Verona Vibo Valentia Vicenza Viterbo

YouGoNews