A seguito della nuova Circolare Agid, pubblicata in Gazzetta lo scorso 17 Marzo, e in relazione alle nuove normative europee in tema di sicurezza informatica, è utile fare un punto della situazione.
L’uscita delle “Misure minime di sicurezza ICT per le pubbliche amministrazioni” Agid ci dimostra quanto forte sia diventato l’interesse delle pubbliche amministrazioni nei confronti della CyberSecurity. Un tema del quale è bene informarsi nel migliore dei modi.
La minaccia cyber è trasversale, un rischio da considerare nel miglior modo possibile. E’ bene, per le società, collocare la cybersecurity al più alto livello di governance delle proprie organizzazioni.
Si diffonde, quindi, la consapevolezza che proteggere la propria infrastruttura IT sia oggi necessario.
Da questo nasce l’esigenza di una legislazione sempre più dettagliata e un forte interesse in materia da parte delle istituzioni, che sfocia in diverse iniziative, sia nazionali che internazionali, finalizzate ad innalzare i livelli di sicurezza e cooperazione in vari settori critici per il regolare funzionamento della società civile, quali la pubblica amministrazione ed i fornitori di servizi essenziali e/o digitali.
La più estesa di tali iniziative è l’oramai nota “Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”, conosciuta come “Direttiva NIS”. Si tratta di una normativa estesa a tutti gli Stati membri dell’UE, ciascuno dei quali dovrà recepirla con una propria legislazione nazionale avendo peraltro tempo fino a maggio 2018 per adottare tutte le misure in essa contenute. Fra le più importanti previsioni della norma comune vi sono: il miglioramento delle capacità di cyber security dei singoli Stati dell’Unione mediante adozione di specifiche misure di sicurezza a carico dei settori interessati; l’aumento del livello di cooperazione tra gli Stati dell’Unione; l’obbligo per gli operatori di servizi essenziali e dei fornitori di servizi digitali di adottare un approccio basato sulla gestione dei rischi, nonché di riportare ad un’apposita autorità (ed in ultima analisi all’Agenzia europea ENISA) tutti gli incidenti di una certa entità. Ciascuno Stato membro dovrà anche designare un’apposita autorità che funga da punto di contatto per gli scambi internazionali, dotarsi di una strategia cyber e costituire uno o più CERT/CSIRT; l’Unione dovrà invece costituire un gruppo di cooperazione al quale parteciperanno tutti gli Stati membri, la Commissione e l’ENISA. Da notare che, mentre alcune altre Nazioni sono praticamente già in regola, lo stato di attuazione della Direttiva nel nostro Paese è alle sue prime fasi: deve infatti ancora essere emanata dal Governo la relativa legge di recepimento che dettaglierà le specifiche azioni da intraprendere. L’italia ha già mosso i primi passi. Con il decreto legislativo del 17 febbraio 2017, infatti, il nostro Paese ha riorganizzato la sua architettura di sicurezza per la protezione dello spazio cibernetico nazionale rendendola più snella ed efficace e soprattutto concentrandone la responsabilità di governo all’interno del Dipartimento per le Informazioni e la Sicurezza (DIS). Sono attese, però, ulteriori misure di adattamento della capacità difensiva e reattiva nazionale le quali necessitano di una legge per essere emanate.
Sempre a livello interno occorre inoltre citare la recentissima uscita in Gazzetta Ufficiale della Circolare AgID 17 marzo 2017, contenente le nuove “Misure minime di sicurezza ICT per le pubbliche amministrazioni”. Emesse dall’Agenzia per l’Italia Digitale, le Misure minime, precedentemente anticipate sui siti Web di AgID e del CERT-PA nel settembre 2016, oggi diventano formalmente obbligatorie per tutte le Pubbliche Amministrazioni, che hanno tempo fino al 31 dicembre per adottarne le prescrizioni. Da notare che le misure prevedono tre livelli di attuazione: quello minimo rappresenta la linea di base alla quale ogni amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere conforme; quello intermedio o standard rappresenta la situazione di riferimento per la maggior parte della amministrazioni; quello superiore rappresenta un optimum che dovrebbe essere adottato da tutte le amministrazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati) ma anche visto come obiettivo di miglioramento da parte di tutte le altre amministrazioni.
Ultimo, ma non meno importante, è il nuovo Regolamento europeo per la protezione dei dati personali, in breve GDPR.
Trattandosi di un regolamento e non di una direttiva, esso non richiede una legge nazionale per essere recepito, ed è quindi già in vigore in tutta l’UE sin dal momento della sua pubblicazione sulla Gazzetta Ufficiale dell’Unione. Sono tuttavia previsti due anni di tempo per consentire a tutti gli Stati membri di adottarne le prescrizioni, termini che scadranno a maggio del 2018. L’Italia già possiede una normativa nazionale particolarmente stringente e concettualmente assai vicina all’impianto del GDPR, quindi la transizione alle nuove disposizioni non dovrebbe essere troppo onerosa per tutte le organizzazioni che già gestiscono la privacy a regola d’arte.