tema 22 ottobre 2020
Studi - Istituzioni Sicurezza cibernetica

In considerazione dell'accresciuta esposizione alle minacce cibernetiche si è imposta nell'agenda nazionale ed internazionale la necessità di sviluppare, in tempi brevi, idonei e sempre più stringenti meccanismi di tutela. 

A livello di Unione europea la direttiva (UE) 2016/1148 del 6 luglio 2016 reca misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (c.d. direttiva NIS - Network and Information Security")  al fine di conseguire un "livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea".

La direttiva è stata recepita nell'ordinamento italiano con il decreto legislativo n. 65 del 18 maggio 2018, che detta quindi la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva NIS.

Successivamente, il decreto-legge n. 105 del 2019 è stato adottato al fine di assicurare, in particolare, un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, attraverso l'istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi. Talune modifiche sono state apportate, da ultimo, dal decreto-legge n. 162 del 2019, in materia di proroga dei termini e altre disposizioni sulla pubblica amministrazione. E' inoltre stato adottato il DPCM che ha dettato criteri e modalità per l'individuazione dei soggetti inclusi nel perimetro nazionale di sicurezza cibernetica (DPCM 30 lugllio 2020, n. 131).

apri tutti i paragrafi

Nelle più recenti Relazioni sulla politica dell'informazione trasmesse al Parlamento - e, in particolare, nella Relazione per l'anno 2019, nella Relazione per l'anno 2018 e nel Documento di sicurezza nazionale e nella Relazione per l'anno 2017 - si pone in evidenza il rilevante impatto che hanno avuto – sulla vita dei singoli, così come sugli equilibri politico-economici e sullo stesso modo di "giocare la partita democratica" – la rapida, massiva diffusione delle nuove tecnologie e la conseguente, istantanea fruibilità a livello globale di notizie e dati, e quindi di conoscenza, ma anche di rappresentazioni mistificate o tout court infondate e di narrazioni distorte o falsificate.

Viene ricordato come negli ultimi anni il dominio cibernetico ha continuato a costituire spazio privilegiato per attività ostili, di diversa matrice, condotte in danno di target nazionali – tanto pubblici che privati, con differente livello di strutturazione, a partire dal singolo individuo fino ad arrivare alla più complessa organizzazione istituzionale o aziendale – la cui esposizione alla minaccia è riconducibile alla crescente pervasività degli strumenti di comunicazione elettronica e di digitalizzazione delle informazioni e dei processi. La continua evoluzione del dominio cibernetico, quindi, nell'ampliare la superficie di attacco, ha parallelamente comportato una pronunciata diversificazione ed un affinamento dei vettori della minaccia.

Tattiche, tecniche e procedure si sono caratterizzate, infatti, per diversi livelli di capacità offensiva: dalla negazione di servizio alla violazione di sistemi ICT, attraverso operazioni, spesso silenti, finalizzate a compromettere risorse di cui assumere il controllo, così da acquisire i dati in esse contenute.

Parallelamente ha assunto rilievo crescente il cyber terrorismo, con implementazioni di webstrategies per mantenere una certa visibilità, funzionale a proseguire, sul piano virtuale, l'opera di proselitismo, radicalizzazione e reclutamento di nuove leve.

Lo strumento cibernetico – viene evidenziato nelle Relazioni annualmente trasmesse alle Camere – è destinato a divenire sempre di più un agevolatore di attività di influenza, realizzate attraverso la manipolazione e la diffusione mirata di informazioni preventivamente acquisite attraverso manovre intrusive nel cyber-spazio, così da orientare le opinioni pubbliche, fomentare le tensioni socio-economiche, accrescere l'instabilità politica dei Paesi dell'area occidentale, all'atto dell'adozione di decisioni strategiche, ritenute dall'attore ostile sfavorevoli ai propri interessi.

ultimo aggiornamento: 25 luglio 2020

Negli ultimi anni, per fronteggiare il fenomeno in espansione, sono state adottate misure per la tutela delle reti, a livello nazionale e internazionale, in maniera diffusa e sempre più penetrante.

A livello di Unione europea la direttiva (UE) 2016/1148 del 6 luglio 2016 reca misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (c.d. direttiva NIS - Network and Information Security")  al fine di conseguire un "livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea".

La direttiva è stata recepita nell'ordinamento italiano con il decreto legislativo n. 65 del 18 maggio 2018.

Il decreto legislativo n. 65/2018 detta la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva 2016/1148.

In particolare, al Presidente del Consiglio dei ministri compete l'adozione, sentito il Comitato interministeriale per la sicurezza della Repubblica (CISR), della strategia nazionale di sicurezza cibernetica per la tutela della sicurezza delle reti e dei sistemi di interesse nazionale. Con la medesima procedura sono adottate linee di indirizzo per l'attuazione della strategia nazionale di sicurezza cibernetica.

La qualifica di "autorità competente NIS" viene attribuita ai singoli ministeri in base ai settori di competenza (Ministero dello sviluppo economico, Ministero dell'economia e delle finanze, Ministero della salute e Ministero dell'ambiente e della tutela del territorio) e, per taluni ambiti, alle regioni e alle province autonome di Trento e di Bolzano. Tali autorità sono i soggetti competenti per settore (settori dell'energia e trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali) in materia di sicurezza delle reti e dei sistemi informativi; verificano, in particolare,  l'applicazione della direttiva a livello nazionale ed individuano gli operatori di servizi essenziali nell'ambito dei criteri ivi definiti.

Presso la Presidenza del Consiglio dei ministri è istituito il CSIRT-Computer Emergency Response Team  italiano, con un contingente di 30 persone e lo stanziamento di specifiche risorse finanziarie, al quale sono attribuite – a decorrere dall'entrata in vigore del relativo decreto di organizzazione e funzionamento - le funzioni del CERT nazionale (attualmente presso il Ministero per lo sviluppo economico) e del CERT-PA (attualmente presso l'Agenzia per l'Italia digitale-AGID). Il CSIRT è definito dalla direttiva 2016/1148 quale "gruppo di intervento per la sicurezza informatica in caso di incidente", che ogni Stato membro è chiamato a designare con il compito di trattare gli incidenti e i rischi secondo una procedura definita.

Viene designato il Dipartimento delle informazioni per la sicurezza (DIS) quale punto di contatto unico, organo incaricato a livello nazionale di coordinare·le questioni relative alla sicurezza delle reti e dei sistemi informativi e la cooperazione transfrontaliera a livello di Unione europea.

L'autorità di contrasto è individuata nell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione al quale è attualmente attribuita la competenza ad assicurare i servizi di protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale, operando mediante collegamenti telematici definiti con apposite convenzioni con i responsabili delle strutture interessate.

Gli operatori di servizi essenziali, ai fini del provvedimento, sono i soggetti pubblici o privati, della tipologia prevista dall'elenco dell'allegato II (settori dell'energia e trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali), individuati dalle autorità competenti NIS. Entro il 9 novembre 2018 le autorità competenti sono tenute ad identificare tali soggetti, ai fini del rispetto degli obblighi della direttiva.

Il decreto definisce inoltre gli obblighi in capo agli operatori dei servizi essenziali e ai fornitori dei servizi digitali con riferimento alla sicurezza della rete e dei sistemi informativi che utilizzano nel contesto dei servizi individuati dall'allegato III. E' posto a loro carico l'obbligo di individuare le misure tecniche e organizzative relative alla gestione dei rischi, alle misure per prevenire e minimizzare gli impatti degli incidenti e, sotto il profilo procedurale, sono definite le modalità di notifica degli incidenti che abbiano un impatto rilevante sui servizi forniti individuando altresì le condizioni e le modalità secondo le quali potranno essere coinvolti gli organismi di altri Paesi.

Sono poi individuati i poteri di controllo delle autorità NIS sia nei confronti degli operatori di servizi essenziali, che dei fornitori di servizi digitali anche prevedendo poteri di verifica e di ispezione oltre che l'irrogazione di sanzioni amministrative nel caso di mancato adempimento degli obblighi previsti.

ultimo aggiornamento: 4 luglio 2018

Il decreto-legge n. 105 del 2019 è stato adottato al fine di assicurare, in particolare, un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, attraverso l'istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi.

Con tale provvedimento sono state quindi dettate modalità e procedure per l'istituzione del perimetro di sicurezza nazionale cibernetica, volto ad assicurare la sicurezza di reti, sistemi informativi e servizi informatici necessari allo svolgimento di funzioni o alla prestazione di servizi, dalla cui discontinuità possa derivare un pregiudizio alla sicurezza nazionale. Si interviene inoltre sulle procedure, modalità e termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, che intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT, destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici individuati nell'elenco trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico.

Sono poi individuati alcuni compiti del Centro di valutazione e certificazione nazionale (CVCN), con riferimento all'approvvigionamento di prodotti, processi, servizi di tecnologie dell'informazione e della comunicazione (ICT) e associate infrastrutture - qualora destinati a reti, sistemi informativi, sistemi informatici ricompresi nel perimetro di sicurezza nazionale cibernetica.

Al contempo sono determinati alcuni obblighi per: gli operatori dei servizi essenziali; i fornitori di servizi digitali; le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, inclusi nel perimetro di sicurezza nazionale cibernetica.

È altresì previsto che il Presidente del Consiglio - su deliberazione del CISR - possa disporre la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l'espletamento dei servizi interessati. Entro 30 giorni il Presidente del Consiglio è tenuto a informare il Comitato parlamentare per la sicurezza della Repubblica (Copasir) delle misure disposte.

Al Presidente del Consiglio dei ministri è affidato inoltre il coordinamento della coerente attuazione delle disposizioni del decreto-legge che disciplinano il perimetro di sicurezza nazionale cibernetica, anche avvalendosi del DIS che assicura gli opportuni raccordi con le autorità titolari delle attribuzioni e con i soggetti coinvolti.

Il Presidente del Consiglio dei ministri trasmette alle Camere una relazione sulle attività svolte dopo l'adozione degli atti normativi secondari previsti per l'attuazione delle misure ivi stabilite.

E' stata infine disposta l'istituzione di un Centro di valutazione (CEVA) presso il Ministero dell'interno il quale, come quello del Ministero della difesa, sono accreditati presso il Centro di Valutazione e certificazione nazionale (CVCN) e sono tenuti ad impiegare metodologie di verifica e test quali definiti dal medesimo CVCN. Con DPCM saranno inoltre definiti gli obblighi di informativa di tali Centri con il CVCN.

Il provvedimento reca quindi un articolato sistema sanzionatorio per i casi di violazione degli obblighi ivi previsti ed individua le autorità competenti all'accertamento delle violazioni e all'irrogazione delle sanzioni.

Successivamente, il decreto-legge n. 162 del 2019, recante proroga di termini e ulteriori disposizioni in materia di p.a., ha apportato (art. 27) alcune modifiche all'articolo 1 del decreto-legge n. 105 del 2019 in materia di sicurezza nazionale cibernetica, con particolare riguardo alle procedure e alle modalità per la definizione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica.

In particolare, la determinazione puntuale dei soggetti inclusi nel perimetro è stata affidata ad un atto amministrativo del Presidente del Consiglio dei ministri anziché ad un DPCM, come originariamente previsto dal decreto-legge n. 105, al quale spetta invece la determinazione delle modalità e dei criteri procedurali per la relativa individuazione. Ciò in ragione del fatto che "l'elenco dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, considerato nella sua interezza, presenta particolari profili di sensibilità sotto il profilo della sicurezza".

In attuazione di tale disposizione il Governo ha adottato il DPCM 30 lugllio 2020, n. 131 (G.U. 21 ottobre 2020, n. 261) che  provvede a:

  • definire le modalità e i criteri procedurali di individuazione dei soggetti (amministrazioni pubbliche, enti e operatori pubblici e privati) inclusi nel perimetro di sicurezza nazionale cibernetica e che, pertanto, sonotenuti al rispetto delle misure e degli obblighi previsti dal decreto-legge 105/2019;
  • definire i criteri con i quali i soggetti inclusi nel perimetro predispongono e aggiornano l'elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica.

Inoltre, il medesimo decreto-legge 162 (all'art. 26) ha previsto che il Computer security incident response team – CSIRT italiano, istituito presso la Presidenza del Consiglio, sia incardinato nel Dipartimento delle informazioni per la sicurezza – DIS, in aderenza con il decreto del Presidente del Consiglio dell'8 agosto 2019 che ha previsto la costituzione del CSIRT presso il DIS.

Da segnalare, inoltre, l'istituzione della Direzione generale per lo sviluppo della prevenzione e tutela informatiche presso il Dipartimento della pubblica sicurezza del Ministero dell'interno ad opera del decreto-legge 34/2020 (cd. decreto Rilancio, art. 240). 

A tale direzione generale sono attribuiti:

  • lo sviluppo della prevenzione e tutela informatica e cibernetica (quale struttura per la sicurezza e per la regolarità dei servizi di telecomunicazione, preposta ad assicurare i servizi di protezione informatica ed i servizi di protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale individuate con decreto del Ministro dell'interno, operando mediante collegamenti telematici definiti con apposite convenzioni con i responsabili delle strutture interessate;
  • lo sviluppo delle attività attribuite al Ministero dell'interno in materia di perimetro di sicurezza nazionale cibernetica;
  • l'unità di indirizzo e coordinamento delle attività svolte dalla polizia postale e delle comunicazioni, specialità della Polizia di Stato - e degli altri compiti che costituiscano il completamento di supporto alle attività investigative.

 

ultimo aggiornamento: 22 ottobre 2020
 
temi di Difesa e Sicurezza
 
-