Nel maggio del 2024 l’Agenzia per la cybersicurezza nazionale (ACN) ha individuato in Italia 283 eventi cyber, in aumento del 148% rispetto al mese precedente e con un impatto su 175 soggetti nazionali. A giugno la situazione è migliorata: 168 eventi (-41%), di cui 46 individuati come incidenti. Tuttavia, un dato resta invariato: la nostra Pubblica Amministrazione è la più colpita, seguita dalle telecomunicazioni e dai trasporti. Questi dati, comunicati dal Computer Security Incident Response Team (CSIRT Italia) dell’Agenzia per la Cybersicurezza Nazionale (ACN) non lasciano spazio a dubbi: l’emergenza attacchi informatici è sempre viva e la PA ha bisogno di alzare il suo livello di cyber resilienza. In questa ottica si colloca la legge italiana sulla sicurezza informatica, la n. 90/24 del 28 giugno 2024, che fornisce “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” e che fornisce una sorta di complemento alla Direttiva NIS2, che sarà in applicazione dall’ottobre di quest’anno e che l’Italia ha recepito proprio in questo mese di agosto.
La legge 24/90, infatti, specifica, soprattutto per quel che riguarda le Pubbliche Amministrazioni e le loro società in-house (ma non solo), quali organizzazioni siano interessate dalle disposizioni in materia di cybersicurezza pur non rientrando nel perimetro della NIS2.
“L’approvazione del disegno di legge sulla cybersecurity nazionale è un passo fondamentale per rafforzare la sicurezza nel perimetro della Pubblica Amministrazione”, afferma Alessandro Ballestriero, CTO di Intred (operatore di telecomunicazioni di riferimento in Lombardia). “Ritengo che questo provvedimento sia essenziale per proteggere le infrastrutture critiche del nostro Paese e rispondere in maniera più efficace alle minacce cibernetiche”.
“La legge 90 è importante perché ribadisce il ruolo della cybersecurity nelle organizzazioni, confermando quanto previsto dalla NIS2”, commenta Claudio Telmon, Senior Partner – Information & Cyber Security di P4I – Partners4Innovation. “I temi della sicurezza informatica devono salire all’attenzione dell’organo di gestione dell’azienda, come il CdA, non sono soltanto questioni tecniche da CIO e CISO. Questo è anche un momento di grande visibilità per il CISO e, in seconda battuta per il CIO, perché porta a livello alto e strategico tematiche prima relegate in una funzione aziendale”.
La legge italiana sulla cybersicurezza
Il testo della legge 90/24 (GU n. 153 del 2 luglio 2024) si divide in due Capi e 23 articoli. Il Capo I, composto dagli articoli da 1 a 15, reca le “Disposizioni in materia di rafforzamento della cybersicurezza nazionale, di resilienza delle pubbliche amministrazioni e del settore finanziario, di personale e funzionamento dell’Agenzia per la cybersicurezza nazionale e degli organismi di informazione per la sicurezza nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici”.
Il Capo II del provvedimento, composto dagli articoli da 16 a 23, apporta numerose modifiche al codice penale rafforzando la prevenzione e il contrasto dei reati informatici prevedendo, da un lato, inasprimenti di pene o ulteriori circostanze aggravanti per i reati informatici già previsti dalla legislazione vigente e, dall’altro, introducendo nuove “fattispecie delittuose”.
Nel Capo I, un primo gruppo di disposizioni riguarda le misure da adottare in caso di incidenti informatici e gli obblighi di notifica all’ACN (che deve avvenire entro un massimo di ventiquattro ore dal momento in cui i soggetti colpiti sono venuti a conoscenza dell’incidente). Nel caso in cui la stessa ACN segnali agli enti specifiche vulnerabilità cui risultino potenzialmente esposti, questi enti “provvedono, senza ritardo e comunque non oltre quindici giorni dalla comunicazione, all’adozione degli interventi risolutivi indicati dalla stessa Agenzia”.
“La norma ha un perimetro di applicazione focalizzato a soggetti di ‘alto livello’ per gli interessi della nazione e si articola su diversi punti”, evidenzia Edoardo Venini, giurista informatico, esperto in privacy e protezione dei dati, DPO, consulente su privacy e cybersecurity. “Il primo è quello di disciplinare con tempistiche e obblighi definiti la comunicazione degli incidenti all’Agenzia per la cybersicurezza nazionale; sono previste sanzioni in caso di mancato o ritardato adeguamento all’adozione degli interventi risolutivi indicati dall’Agenzia”.
Per Ballestriero, l’obbligo di intervento rapido “è cruciale per prevenire e mitigare eventuali danni derivanti dagli attacchi informatici, che possono avere conseguenze importanti sia sull’erogazione di servizi critici sia sulla potenziale violazione di dati sensibili dei cittadini. Particolarmente significativo è l’obbligo di segnalare gli incidenti che colpiscono reti, sistemi informativi e servizi informatici, sia all’interno che all’esterno del perimetro di pertinenza delle PA. La richiesta di segnalazioni entro ventiquattro ore rappresenta un’importante misura di trasparenza e responsabilità, che consentirà all’ACN di raccogliere dati cruciali necessari per rafforzare il perimetro difensivo nazionale”.
Il referente per la cybersicurezza e il rapporto CIO-CISO
Altre misure sono specificamente mirate a rafforzare la resilienza. Tra queste si colloca la disposizione per le PA di creare la figura del “referente per la cybersicurezza” (Capo I, Art.8), se non è già presente.
“I compiti di questo soggetto, individuato in ragione di specifiche e comprovate professionalità e competenze in materia di cybersecurity, sono molto simili e collimano in buona parte con attività tipiche di CIO, CISO e dei reparti Compliance, Legal e IT”, sottolinea Venini.
Con questa disposizione, la legge 90/24 si allinea a quanto prevede la NIS2 e crea, di fatto, nelle PA una figura equivalente a quella del CISO. Inoltre, sempre in linea con le logiche della NIS2, la legge 90 prevede all’interno dei soggetti pubblici una struttura interna per la cybersicurezza con compiti ben definiti. Al tempo stesso, poiché la legge non prevede nuovi fondi, ma indica alle PA di agire usando le risorse già a disposizione, è possibile far coincidere la figura del referente per la sicurezza informatica con quella del Direttore IT o Responsabile della transizione al digitale. In pratica, CIO e CISO possono coincidere.
“Ciò accade anche in alcune imprese private, pur se non lo ritengo il modo più opportuno di procedere”, commenta Telmon. “Far coincidere il CISO con il CIO o con il Responsabile della transizione al digitale può portare ad un problema di obiettivi non coincidenti”.
Pensiamo all’uso in azienda dei portali gestiti da fornitori terzi per le prenotazioni delle trasferte dei dirigenti: qui il CISO vedrebbe un problema di sicurezza per informazioni che potrebbero essere sensibili, mentre l’uso di questi portali sfuggirebbe al CIO, perché non riguarda i sistemi IT.
“Sarebbe meglio separare CIO e CISO perché il CIO ha una prospettiva sulle tematiche della sicurezza più focalizzata sui sistemi informativi”, secondo Telmon.
La questione della crittografia
C’è un altro aspetto della legge in cui alcuni esperti vedono una debolezza. L’Art. 9 tratta il “Rafforzamento delle misure di sicurezza dei dati attraverso la crittografia” e istituisce il Centro nazionale di crittografia presso l’ACN.
Il testo recita che l’ACN provvede “allo sviluppo e alla diffusione di standard, linee guida e raccomandazioni al fine di rafforzare la cybersicurezza dei sistemi informatici, alla valutazione della sicurezza dei sistemi crittografici nonché all’organizzazione e alla gestione di attività di divulgazione finalizzate a promuovere l’utilizzo della crittografia, anche a vantaggio della tecnologia blockchain, come strumento di sicurezza informatica. L’Agenzia, anche per il rafforzamento dell’autonomia industriale e tecnologica dell’Italia, promuove altresì la collaborazione con centri universitari e di ricerca per la valorizzazione dello sviluppo di nuovi algoritmi proprietari, la ricerca e il conseguimento di nuove capacità crittografiche nazionali nonché la collaborazione internazionale con gli organismi esteri che svolgono analoghe funzioni. A tale fine, è istituito presso l’Agenzia, nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, il Centro nazionale di crittografia, il cui funzionamento è disciplinato con provvedimento del direttore generale dell’Agenzia stessa. Il Centro nazionale di crittografia svolge le funzioni di centro di competenza nazionale per tutti gli aspetti della crittografia in ambito non classificato”.
Secondo Telmon, se, da un lato, “è importante occuparsi di crittografia e istituire un centro di competenza nazionale”, dall’altro, “quando si parla di algoritmi proprietari va fatta attenzione. In crittografia questo è un concetto debole, perché gli algoritmi analizzati e validati da esperti mondiali sono più sicuri di quelli sviluppati in casa. L’idea che si possa pensare a dare preferenza ad algoritmi proprietari a livello nazionale è un mal riposto nazionalismo. Sarebbe meglio puntare su algoritmi analizzati almeno su scala UE”.
Anche Venini sottolinea: “Ancora una volta, come nel GDPR, la crittografia ha particolare rilievo dal lato tecnico; infatti la legge italiana sulla cybersicurezza attribuisce un particolare sostegno alle linee guida del Garante Privacy relativamente a queste tematiche. Tuttavia, accanto alla crittografia, va considerata l’annosa questione della custodia delle chiavi crittografiche che, non è un mistero, è il tallone d’Achille di molti sistemi. I CIO è sempre bene che valutino questo specifico aspetto nei sistemi che adottano”.
Il rapporto con la NIS2 e il compito del CIO
La legge 90/24 fornisce, in generale, nuovi principi e criteri direttivi per il recepimento della NIS2, la Direttiva sulle misure per un livello comune elevato di cybersecurity in tutta l’Unione Europea. Per i CIO del settore privato resta la rilevanza di questo testo, come di un’altra legge, DORA (Digital Operational Resilience Act), che stabilisce un framework per la gestione del rischio ICT nel settore finanziario.
Secondo gli esperti, i CIO e i CISO saranno interessati più dalle conseguenze del recepimento della Direttiva NIS2 e di DORA che non dalla legge italiana per la cybersicurezza.
“Il recepimento della NIS2 è la prossima sfida di compliance per le aziende e le PA nel perimetro di applicazione”, afferma Venini. “La legge 90, infatti, anticipa alcune tipologie di adempimenti previsti per la Direttiva NIS2 ma non tutte, specialmente nelle disposizioni di tipo tecnico. Per CIO e CISO ciò significa prestare molta attenzione a quanto previsto dalla NIS2 coordinando gli obblighi di formazione, documentali, organizzativi e procedurali insieme agli altri C-level coinvolti da queste normative”.
Per le aziende può essere una buona linea guida predisporre nelle loro procedure interne dei tavoli di lavoro di alto livello, con un coordinatore, per far fronte alle tematiche di compliance e in cui le figure del CIO e del CISO (possibilmente separate) saranno strategiche.
Read More from This Article: La nuova legge italiana sulla cybersecurity: una guida essenziale per i CIO e per i CISO
Source: News