Legislazione CYBER SECURITY: il nuovo ordine esecutivo del Presidente americano Obama e la recente proposta di direttiva UE- Network and Information Security (NIS)

La sicurezza delle infrastrutture informatiche e di comunicazioni è già da tempo tra i fondamentali fattori abilitanti della maggioranza delle attività economiche e sociali, nonché precondizione essenziale per creare contesti affidabili nei quali sviluppare e condurre nuovi business in molteplici settori. Come tale, la cosiddetta cyber security necessita certamente di forme di regolamentazione per le quali però non è semplice trovare il giusto bilanciamento tra le diverse esigenze di tanti attori distinti (i consumatori, i fornitori di beni/servizi on line e quelli dei settori tradizionali, le amministrazioni pubbliche, gli enti governativi e quelli deputati alla sicurezza nazionale,…). In un contesto di mercato per ora sempre più globale, per tali regolamentazioni assume poi particolare rilevanza un efficace coordinamento a livello internazionale tra gli enti deputati a legiferare in materia, in quanto squilibri in termini di approcci, requisiti di sicurezza nonché adempimenti richiesti nei riguardi dei soggetti da tutelare e verso le autorità competenti in ambito cyber security, hanno inevitabilmente forti impatti sul successo dei business e relativa sostenibilità delle forze di lavoro a livello regionale/nazionale.

In tale scenario si collocano due recentissimi interventi di notevole interesse per le aziende e le amministrazioni pubbliche che utilizzano infrastrutture informatiche e di comunicazione:

1. L’intervento americano con l’ordine esecutivo del Presidente B. Obama, appena entrato in vigore: ”Improving Critical Infrastructure –Cybersecurity”¹ del 12 Febbraio 2013

1. La proposta di Direttiva NIS dell’Unione Europea, nel contesto delle strategie per l’Agenda Digitale Europea², 8 Febbraio 2013: “Proposal for a Directive concerning measures to ensure a high common level of network and information security across the Union” ³

L’Ordine del Presidente Obama è senz’altro di grande interesse anche per l’Europa: sebbene infatti non comporti obblighi diretti per le società non appartenenti al sistema di business statunitense, comunque evidenzia un approccio e fissa metodi di interventi che meritano sen’altro attenzione, data la posizione di predominanza degli Stati Uniti per quanto concerne il mondo dell’informatica e delle comunicazioni, dei servizi della Information & networked society , della relativa regolamentazione, nonché il lavoro svolto dagli enti responsabili di formulare indirizzi e definire standard con impatti in contesti tecnologici (in primis il National Institute of Technology – NIST).

Tra i tanti punti di interesse dell’Ordine è senz’altro da evidenziare la definizione di azioni, a cura del governo, per sostenere i proprietari e gli operatori di infrastrutture critiche nel proteggere i loro sistemi e reti da minacce informatiche. Entro 120 giorni dall’entrata in vigore dell’Ordine le competenti organizzazioni governative per la sicurezza (in particolare Attorney General, Secretary of Homeland Security, Director of National Intelligence) dovranno predisporre processi e metodi di interlavoro per realizzare report riguardo particolari rischi cyber ed assistere i proprietari e gli operatori di infrastrutture nel proteggere i loro sistemi contro le minacce in oggetto. E’ stato altresì stabilito un processo di Consultazione in tema di cyber security, al più ampio livello tra le organizzazioni governative e agenzie di settore e di regolamentazione.

Di fondamentale importanza poi il compito assegnato al NIST, che entro 240 giorni dalla data dell’Ordine dovrà definire una versione preliminare di un apposito sistema -il Cyber Framework – che dovrà definire regole, metodi, procedure di indirizzo e misure di contenimento dei rischi cyber per le infrastrutture.

Molto significativa la specifica prescrizione affinché il Cyber Framework incorpori alla massima estensione possibile standard volontari di settore e best practices industriali già esistenti. Questo riferimento a standard preesistenti ed applicabili al contesto di cyber security fa certamente pensare a quanto già predisposto dal NIST stesso (ad esempio con il ”Recommended Security Controls for Federal Information Systems and Organizations”) oppure da organizzazioni come ISACA con il suo sistema COBIT di governo e gestione dell’Information Technology nelle aziende o come Cloud Security Alliance con il suo sistema di controlli specifici per i servizi erogati in modalità Cloud Computing.

La pubblicazione del Cybersecurity Framework sarà poi soggetta ad una preventiva fase di consultazione pubblica, come di consueto per l’amministrazione americana specie per gli atti di regolamentazione nei settori che hanno impatto diretto sulle attività economiche ed imprenditoriali. Dovrà inoltre essere stabilito un Programma con il quale supportare l’adozione del Cyber Framework da parte di proprietari ed operatori di infrastrutture critiche e non solo, incluse azioni ed incentivi per promuovere la partecipazione al Programma da parte dei possibili destinatari.

Non ultimo, l’Ordine richiede che entro 150 giorni dalla sua entrata in vigore siano individuate le Infrastrutture critiche a maggior rischio (Critical Infrastructure at Greater Risk): in particolare, a cura del Secretary of Homeland Security e tramite l’apposito processo di Consultazione, dovranno essere individuate tali strutture applicando criteri “consistenti ed oggettivi” e dovranno quindi esserne informati in modo riservato i loro proprietari/operatori.

Sul tema infrastrutture critiche, l’Unione Europea ha già a suo tempo emesso apposita direttiva 2008/114/EC ⁴ dell’8 Dicembre 2008, esplicitamente indirizzata ai settori dell’Energia e dei Trasporti, che utilizza per il termine “infrastruttura critica” una definizione nella sostanza uguale a quella riportata nel recente Ordine americano, con la precisazione che come Infrastruttura Critica Europea si individua una infrastruttura il cui danneggiamento o distruzione comporti impatti per almeno due Stati Membri. La direttiva europea stabilisce criteri ed indica procedure per procedere con l’individuazione delle infrastrutture critiche nei settori in oggetto e fissa un primo livello generale per la preparazione dei relativi piani di sicurezza a cura dei proprietari/operatori.

La direttiva è stata recepita in Italia con il Decreto Legislativo 61/2011 e, successivamente, la legge n.33/2012 ha posto a carico del sistema per la sicurezza nazionale ed intelligence il ruolo di “catalizzatore” della cyber security del nostro paese. Infine il 23 Gennaio 2013, il Governo italiano ha liberato il decreto (di ormai prossima pubblicazione in Gazzetta Ufficiale) con il quale l’Italia si doterà della “ prima definizione di un’architettura di sicurezza cibernetica nazionale e di protezione delle infrastrutture critiche. Il decreto pone le basi per un sistema organico, all’interno del quale, sotto la guida del Presidente del Consiglio, le varie istanze competenti possono esercitare in sinergia le loro competenze.”⁵

Venendo alla recentissima proposta di direttiva Europea NIS in tema di cyber security, questa si pone come espliciti obiettivi la predisposizione di cooperazione e coordinamento tra gli enti europei competenti in materia di sicurezza delle informazioni, la definizione di requisiti per la sicurezza e per i processi di intervento in caso di incidenti non solo per le cosiddette infrastrutture critiche ma per il ben più ampio contesto di sistemi delle pubbliche amministrazioni e degli “operatori di mercato”, tra i quali esplicitamente inclusi gli operatori on line (e-commerce, pagamenti on line, social networks, motori di ricerca , servizi di cloud computing, i cosidetti application stores ) ed inoltre gli operatori dei settori dell’Energia, Trasporto, Banche, Mercato finanziario, Aziende del settore sanitario: da questo novero la proposta di direttiva NIS esclude le microimprese e dunque secondo la regolamentazione EU le società con fatturato annuo inferiore a 2 milioni di euro e/o con meno di 10 dipendenti.

E’ poi prevista la costituzione, a livello nazionale dei singoli Stati Membri, di appositi sistemi con proprie strategie e piani di cooperazione (National Frameworks on Network and Information Security), di apposite Autorità indipendenti NIS e di CERT (Computer Emergency Response Team) nazionali. A livello EU è prevista la costituzione di apposita rete di cooperazione tra le autorità NIS ed i CERT nazionali, la Commissione Europea assistita dall’ENISA ed il neonato European Cybercrime Centre dell’Europol, il tutto per le necessarie attività di scambio di informazioni, azioni di pre-allarme e coordinamento nel rispondere in caso di incidenti.

Saranno poi di notevole impatto i requisiti di sicurezza posti a carico delle pubbliche amministrazioni e degli “operatori di mercato” interessati: dovranno predisporre misure di sicurezza individuate in base ad apposite analisi dei rischi e notificare alla autorità competente nazionale gli incidenti quando questi abbiano impatto significativo sulla sicurezza dei servizi da loro erogati: è prevista anche la diretta comunicazione al pubblico nel caso in cui la rivelazione dell’incidente sia ritenuta, da parte dell’autorità, di pubblico interesse. Tali requisiti sulla notifica di incidenti di sicurezza di fatto ampliano ad un numero potenzialmente assai elevato di soggetti le già esistenti obbligazioni di data breach notification poste a carico degli operatori di servizi di comunicazioni elettroniche accessibili al pubblico (gli operatori telefonici ed internet), stabilite in particolare con la direttiva EU 2009/136/EC, recepita nel 2012 in Italia con i decreti legislativi 69 e 70.

La proposta di direttiva europea NIS fa quindi esplicito riferimento alla necessità di incoraggiare l’adozione di standard applicabili in materia di sicurezza dei sistemi e delle reti allo scopo di corrispondere ai requisiti di sicurezza della direttiva stessa: ciò porta a pensare, quantomeno in ambito europeo, al complesso di regolamentazioni volontarie gestite da enti quali l’ISO/IEC (a puro titolo di esempio: ISO/IEC 27001 per la sicurezza delle informazioni, ISO/IEC 27035 per la gestione degli incidenti di sicurezza)

Sempre sul tema dei requisiti di sicurezza e di gestione/notifica degli incidenti è importante evidenziare che la proposta di direttiva NIS richiede che tali obbligazioni siano soddisfatte dagli operatori di mercato (dei contesti on line e dei settori prima elencati) che forniscono servizi nella Unione Europea: questa espressione individua un contesto di destinatari potenzialmente ben più ampio delle aziende che sono stabilite in uno o più dei paesi membri UE in quanto suscettibile di includere anche quelle aziende, stabilite al di fuori della UE, che offrono servizi fruibili all’interno della Unione.

Tra le tante problematiche che saranno di certo sollevate nel processo di approvazione della proposta di direttiva NIS, questo aspetto sarà uno dei protagonisti per le sue implicazioni internazionali e necessità appunto di coordinamento delle regolamentazioni applicabili in tema di cyber security nello scenario geopolitico globale, senza dimenticare – nell’attuale contesto di crisi non solo italiana – gli aspetti dei costi da sostenere sia a livello di governi nazionali sia a livello delle aziende e pubbliche amministrazioni interessate.