Nuove soluzioni per la tutela dei settori a rischio di attacchi cyber

18 gennaio 2023

di Serena Ricci

Secondo l’ultimo rapporto di Black Kite (una piattaforma di valutazione del rischio informatico in grado di monitorarlo e identificarlo continuamente), negli ultimi due anni il cyber crime ha aumentato la propria capacità di colpire gli obiettivi sensibili mediante strumenti sempre più precisi e dannosi. Le prospettive di sicurezza informatica includono più attacchi, nuovi obiettivi, budget più restrittivi che condizionano richieste di sicurezza a fronte di una maggiore condivisione di dati tra operatori. Uno dei settori da ultimo compromesso negli ultimi tempi da “disagi informatici” è stato quello del trasporto aereo. Il Notam, sistema americano attivo dal 1947 diretto a trasmettere l’allerta sulla sicurezza a tutti i piloti, ha smesso di funzionare provocando un blocco di tutti gli aerei domestici americani, ordinato dall’agenzia federale della sicurezza (Faa), creando disagi in 1.900 aeroporti americani con ripercussioni anche nelle città europee come Parigi e Londra. Il Presidente Biden ha aperto un’indagine sulle cause del mancato funzionamento del Notam palesando la debolezza del sistema di protezione americano. Per quanto concerne l’Europa la nuova Direttiva NIS 2, emanata lo scorso 27 dicembre, persegue gli obiettivi di cyber security già fissati e attuati dall’UE attraverso la Direttiva NIS, aggiornandone diversi aspetti.

Dall’entrata in vigore il 17 gennaio 2023, gli Stati membri dell’Unione europea avranno a disposizione 21 mesi per adottare la normativa di recepimento e conseguentemente i soggetti pubblici e privati interessati dovranno organizzare le misure di sicurezza. La Direttiva NIS 2 ha introdotto, rispetto alla prima (che entro la sua abrogazione il 18 ottobre 2024, prevedeva un rafforzamento dei livelli di sicurezza dei sistemi informativi e delle reti degli Stati e una migliore gestione degli incidenti cyber), misure più restrittive in termini di cyber risk management, di segnalazione e condivisione delle informazioni relative agli incidenti, rivolgendosi ad una platea più ampia. La necessità di una nuova normativa è stata generata dalla precedente insufficiente lungimiranza del legislatore relativamente ai destinatari che ne ha comportato un ampliamento, includendovi anche soggetti attivi in settori definiti “ad alta criticità”, quali acque reflue, pubblica amministrazione e spazio. Grazie a nuovi criteri uniformi per consentire un’organica identificazione degli operatori pubblici e privati (“soggetti essenziali” e “soggetti importanti”), si dispone anche la necessità di  tener conto del “multirischio” nell’approntare le misure organizzative e si invitano gli Stati membri a prevedere sia che gli organi di gestione degli operatori partecipino alla strategia di rischio,  sia che sovrintendano alla prevenzione degli incidenti, definendo le responsabilità in caso di violazione delle misure . La definizione delle responsabilità è in linea con quanto previsto dalla normativa italiana sul Perimetro di Sicurezza Nazionale Cibernetica, relativamente al c.d. “Responsabile dell’attuazione del Perimetro”. Ai fini di uno scambio di informazioni per potenziare i servizi di gestione e contenimento delle minacce cibernetiche, anche mediante un aggiornamento e una migliore formazione del personale, la Camera dei deputati ha sottoscritto lo scorso 11 gennaio un protocollo d’intesa in materia di sicurezza informatica con l’Agenzia per la Cybersicurezza Nazionale, una collaborazione “in un contesto globale in cui la minaccia cyber si è fatta sempre più forte e in cui la collaborazione e il confronto sulle strategie di rafforzamento diventano cruciali anche in considerazione del percorso di trasformazione digitale avviato dalla Camera nello svolgimento della sua funzione istituzionale.”