Cybersecurity, la sfida del futuro

Il 21 novembre è entrata in vigore la legge 133 del 18 novembre 2019, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica.

Negli ultimi due anni, gli attacchi cyber sono aumentati in termini non solo quantitativi, ma anche qualitativi.

Basti pensare all’incremento delle attività di cyber spionaggio e sabotaggio, attuate mediante infiltrazioni nelle strutture critiche di aziende e istituzioni con lo scopo di estrarre dati a fini geopolitici o economici. È di poche settimane fa l’ultimo esempio che ha riguardato l’Italia, con l’infiltrazione in banche dati istituzionali come quella dell’Agenzia delle Entrate, dell’Inps, di Aci e Infocamere mediante attacchi ai sistemi informatici di alcuni Comuni.
A voler considerare tra i rischi cyber anche gli “attacchi” realizzati attraverso lo sfruttamento di lacune normative, l’opacità dei contratti di servizio in essere o la scarsa informazione del pubblico, su tutti si ricordi il caso “Cambridge Analytica”.

L’evoluzione tecnologica, da Giano Bifronte qual è, mostra proprio sul terreno della sicurezza informatica l’altra “faccia della stessa medaglia”.
Gli attori e le tecnologie, infatti, si evolvono, ma l’evoluzione non è necessariamente “costruttiva”, potendo essere impiegata anche fini “distruttivi”.

I sistemi basati sull’intelligenza artificiale, ad esempio, che sono da accogliere con estremo favore per l’efficientamento e la riduzione dei costi che comportano, si prestano essi stessi ad essere lo strumento per la realizzazione di attacchi informatici o, peggio, ad essere alterati e indotti in errore con conseguenze gravissime in ragione del tipo di struttura nel quale sono impiegati.
È, quindi, evidente che quanto più le modalità e le finalità degli attacchi diventano sofisticate, tanto più completa e solida deve essere l’architettura a tutela della sicurezza cibernetica.
Blockchain, intelligenza artificiale, industria 4.0, Internet of Things sono evoluzioni tecnologiche inevitabili, necessarie e auspicate. Esse, tuttavia, presuppongono la sicurezza della rete che il perimetro di sicurezza nazionale cibernetica intende garantire.

L’Italia, con la legge in commento, prosegue il percorso avviato l’anno scorso e concretizzatosi con l’implementazione della Direttiva Network and Information Security, l’individuazione dei c.d. operatori essenziali e la pubblicazione delle linee guida per la gestione dei rischi e la prevenzione e mitigazione degli incidenti che hanno un impatto rilevante sulla continuità e sulla fornitura dei servizi essenziali.
La legge, infatti, stabilisce i criteri per individuare i soggetti inclusi nel perimetro, i relativi obblighi e le sanzioni in caso di inadempimento e fissa i termini di concretizzazione dei necessari step successivi.

Il perimetro di sicurezza nazionale: i soggetti, gli obblighi e le sanzioni
Entro il 21 marzo 2020, verranno individuati i soggetti inclusi nel perimetro che, come tali, sono tenuti al rispetto degli obblighi in materia di sicurezza nazionale cibernetica.
Si tratta di amministrazioni pubbliche, enti e operatori pubblici e privati che esercitano una funzione essenziale dello Stato o assicurano un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, e che dipendono da reti, sistemi informativi e servizi informatici.

La legge chiarisce che l’individuazione dei soggetti interessati avverrà mediante un criterio di gradualità, ovvero considerando l’entità del pregiudizio che potrebbe derivare dal malfunzionamento, dall’interruzione ovvero dall’utilizzo improprio delle reti e dei sistemi informativi ed informatici interessati.
Entro il 21 maggio 2020, i soggetti inclusi nel perimetro devono trasmettere alla Presidenza del Consiglio dei Ministri (i soggetti pubblici) e al Ministero dello Sviluppo Economico (i soggetti privati), l’elenco delle reti, dei sistemi informativi e dei servizi informatici di loro competenza. Lo stesso elenco, inoltre, dovrà essere aggiornato annualmente.
Secondo la procedura che verrà definita entro il 21 settembre 2020, i soggetti inclusi nel perimetro dovranno:

  • Notificare gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT).
    Tale notifica è dovuta anche da parte degli operatori di servizi essenziali, individuati il 28 dicembre scorso, e delle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico inclusi nel perimento di sicurezza nazionale cibernetica.

 

  • Comunicare l’intenzione di affidare forniture di beni e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici al Centro di valutazione e certificazione nazionale (CVCN) istituito presso il Ministero dello Sviluppo Economico. La comunicazione deve comprendere una valutazione del rischio anche in relazione all’ambito di impiego.

Il CVCN, cui è consegnata anche una valutazione del rischio relativo all’affidamento, effettua verifiche preliminari e può imporre condizioni e test di hardware e software. I bandi di gara o i contratti, quindi, devono essere integrati con clausole che condizionano, sospensivamente o risolutivamente, il contratto al rispetto delle condizioni e all’esito dei favorevole dei test disposti dal CVCN.

Entro il 21 settembre 2020, inoltre, verranno anche stabilite le misure volte a garantire elevati livelli di sicurezza sulle reti, dei sistemi informativi e dei servizi informatici che tengano conto degli standard definiti a livello internazionale e dell’Unione Europea.
Gli operatori di servizi essenziali e le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico inclusi nel perimetro di sicurezza nazionale cibernetica, devono osservare le misure di sicurezza ad essi relative ove equivalenti a quelle stabilite per il perimetro di sicurezza nazionale.

Il complesso di obblighi previsti dalla legge è assistito dalla previsione di sanzioni amministrative e sanzioni penali.
Le prime, di importo particolarmente significativo, vanno da un minimo edittale di Euro 200.000 ad un massimo di Euro 1.800.000 a seconda del tipo di violazione commessa e della relativa gravità.
È prevista, invece, la pena della reclusione da 1 a 3 anni per chi, al fine di ostacolare o condizionare l’espletamento dei procedimenti o delle attività ispettive e di vigilanza, fornisce dati, informazioni o elementi non rispondenti al vero ovvero non comunica i dati o trasmette le informazioni e gli elementi di fatto richiesti.

Osservazioni conclusive
L’istituzione del perimetro di sicurezza nazionale cibernetica rappresenta il presupposto necessario per consentire che il processo di digitalizzazione in atto segua la sua naturale evoluzione nel rispetto delle libertà fondamentali e dei servizi e funzioni essenziali dello Stato, senza strumentalizzazioni.
Il nostro Paese ha gettato le prime fondamenta di quella che è destinata a diventare un’architettura particolarmente complessa, tanto per i contenuti quanto per i soggetti coinvolti.
I prossimi interventi dovranno essere veloci, per evitare di essere superati dalla rapidità della tecnologia, ma anche strutturati, a garanzia di una tutela effettiva.

Ancora una volta, si tratta di un esercizio delicato, e i soggetti cui verrà affidato dovranno possedere un’elevata specializzazione e competenza, ma anche, e soprattutto, una visione delle conseguenze attuali e future delle violazioni del perimetro.

Francesca Zambuco
Socio AIDR

Archivio

Cerimonia di consegna dei diplomi in Web Community Manager

GIOVEDÌ, 28 NOVEMBRE 2019 ORE 16:30 AULA MAGNA - UNITELMA SAPIENZA Viale Regina Elena, 295 - 00616 Roma Il prof. Antonello Folco Biagini - Rettore, Università degli Studi di Roma "Unitelma...

“Energia e BlockChain”, manager a confronto al convegno di Aidr e Ambiente e Società

Gli aspetti legati al cambiamento che la digitalizzazione sta realizzando lungo tutta la filiera dell’energia elettrica e le opportunità dell’utilizzo della blockchain. Sono i temi al centro del convegno “La rivoluzione digitale dell’energia e la blockchian”, organizzato dall’Associazione italian digital revolution (Aidr) e dall’Associazione Ambiente e Società, in programma mercoledì 23 ottobre, alle ore 17, presso Palazzo San Macuto, Camera Dei Deputati, Via del Seminario, 76 a Roma.

VIDEO E PHOTO GALLERY

AIDR WEB TV

ITALIAN DIGITAL REVOLUTION

EVENTI ED INIZIATIVE

ITALIAN DIGITAL REVOLUTION

COME ASSOCIARSI

Cerchi il lavoro giusto per te? Scoprilo su IO LAVORO

IO LAVORO è un sistema informativo che utilizza la professione e i dati raccolti dai siti web di numerose istituzioni (Istat, Isfol, Miur, etc) o forniti come open data, per dare un quadro informativo completo sul mercato del lavoro e per favorire l’incontro domanda offerta.

AIDR NEWSLETTER

AIDR
Iscriviti alla nostra newsletter per essere sempre aggiornato sulle iniziative testo di prova e prova di testo

AIDR NOTIZIE DAL WEB

TUTTE LE NOTIZIE

Notizie
08/12/2019
Si terrà mercoledì 11 dicembre alle ore 18, presso la Link Campus University, la consegna del “Premio Digital News”,  rivolto a giornalisti e comunicatori. Un’iniziativa promossa dall’Aidr - Associazione italian digital revolution - e dalla Link Campus University, che si svolgerà presso la sede dell’ateneo (Via del Casale di S. Pio V, 44), con il patrocinio istituzionale della Commissione europea, dell’Agenzia per l’Italia Digitale, del FormezPA e della Regione Lazio.
Notizie
04/12/2019
Il 21 novembre è entrata in vigore la legge 133 del 18 novembre 2019, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica. Negli ultimi due anni, gli attacchi cyber sono aumentati in termini non solo quantitativi, ma anche qualitativi. Basti pensare all'incremento delle attività di cyber spionaggio e sabotaggio, attuate mediante infiltrazioni nelle strutture critiche di aziende e istituzioni con lo scopo di estrarre dati a fini geopolitici o economici.
Notizie
03/12/2019
Si terrà mercoledì 11 dicembre, presso la Link Campus University, la consegna del “Premio Digital News”, rivolto a giornalisti e comunicatori. Un’iniziativa promossa dall’Aidr - Associazione italian digital revolution - e dalla Link Campus University, che si svolgerà presso la sede dell’ateneo (Via del Casale di S. Pio V, 44), con il patrocinio istituzionale della Commissione europea, dell’Agenzia per l’Italia Digitale, del FormezPA e della Regione Lazio.

AIDR
AZIENDE E COLLABORAZIONI

AIDR SOCIAL

Seguici sui social per restare in contatto con noi,
ricevere aggiornamenti e inviarci suggerimenti, segnalazioni e commenti!