Nel dicembre 2020 la Commissione ha lanciato il “Cybersecurity package”, pacchetto che comprende la “Strategia dell’UE in materia di cibersicurezza per il decennio digitale”, una nuova direttiva sulla resilienza delle entità critiche e una proposta di direttiva relativa allo stato necessario per conseguire un elevato livello comune di cybersicurezza in tutta l’Unione (direttiva NIS rivista). Si tratta di un pacchetto di misure che si innesta in un framework normativo in divenire con il quale l’UE persegue l’ambizioso obiettivo di disegnare una cornice innovation friendly che sia tuttavia in grado di assicurare quella sicurezza indispensabile ad alimentare la fiducia degli utenti e, conseguentemente, gli investimenti delle imprese sia in fase di progettazione dei servizi che di adozione degli stessi.
LA CRESCITA DEGLI ATTACCHI INFORMATICI A LIVELLO GLOBALE ED EUROPEO
Al proliferare dei servizi e delle tecnologie digitali si accompagna inesorabilmente un allargamento della superficie esposta e, prevedibilmente, una crescita del numero di attacchi. Ad ottobre 2022 l’Associazione Italiana per la Sicurezza Informatica (CLUSIT) ha pubblicato il report Panoramica sull’evoluzione del cyber crime in Italia e nel mondo che registra 8.285 attacchi tra il gennaio 2018 e il giugno 2022, di cui 1.874 nel 2020, 2.049 nel 2021 e 1.141 nel primo semestre 2022, con una media complessiva di 153 attacchi al mese nell’intero periodo considerato e il picco massimo raggiunto a marzo 2022 (225 attacchi).
Si tratta di un andamento certamente prevedibile ma allarmante ove si consideri che secondo il report “NIS Investments”, pubblicato dall’ENISA a novembre 2022, un grave incidente di sicurezza informatica produce un danno economico medio pari a €200 mila nell’UE (in crescita rispetto al 2021 quando il danno medio era pari a €169mila). Il danno sale a €475 mila per le banche, €423 mila per le organizzazioni del comparto salute e €462 mila per il settore energetico. I soggetti mediamente meno danneggiati sono invece i marketplace (€150 mila), le infrastrutture digitali (€ 143 mila per incidente) e cloud computing (€104 mila).
ALLA RICERCA DELL’INNOVAZIONE SICURA: IL FRAMEWORK NORMATIVO EUROPEO
Consapevoli dell’assoluta necessità di garantire che l’innovazione tecnologica segua standard di sicurezza adeguati, in grado di assicurare la tutela dei diritti fondamentali degli individui, le istituzioni europee hanno adottato negli anni, a partire dal 2013, una serie molto corposa di atti normativi, raccomandazioni, strategie e, soprattutto negli ultimi anni, regolamenti, con cui si perseguono obiettivi di armonizzazione tesi a superare l’attuale frammentazione esistente. Il 2016 rappresenta un momento di importanza cruciale essendo stata adottata la direttiva NIS (direttiva n. 1148/2016) con la quale sono state definite per la prima volta misure organiche nel settore della cybersicurezza ed è stato implementato un sistema di cooperazione tra UE e Stati Membri in materia. Successivamente, nel 2019, il Reg. n. 881/2019 ha conferito mandato permanente all’ENISA, l’Agenzia dell’UE per la sicurezza informatica, chiamata, attraverso il conferimento di maggiori risorse e l’attribuzione di nuovi compiti, a ricoprire un ruolo chiave nella creazione e nel mantenimento del quadro europeo di certificazione della cybersicurezza, a predisporre la cornice per l’adozione di schemi di certificazione specifici e ad informare il pubblico sugli schemi di certificazione e sui certificati emessi attraverso un sito web dedicato, nonché ad aumentare la cooperazione operativa a livello dell’UE, supportando gli Stati membri dell’UE che lo richiedano nella gestione dei propri incidenti di cybersicurezza e sostenendo il coordinamento dell’UE in caso di attacchi informatici e crisi transfrontaliere su larga scala.
Nel 2020 è stato lanciato il Cybersecurity Package con il quale si mira innanzitutto ad aggiornare il quadro normativo definito dalla direttiva NIS e a superare le criticità applicative emerse negli anni. Dopo un anno e mezzo caratterizzato da un ampio ed acceso dibattito, il 10 e 28 novembre scorsi Parlamento e Consiglio hanno definitivamente approvato la NIS2, ora in attesa di pubblicazione sulla Gazzetta Ufficiale UE. Si tratta di un intervento importante che amplia il campo di applicazione dell’attuale direttiva NIS (aggiungendo nuovi settori basati sulla loro criticità per l’economia e la società e introducendo un chiaro limite dimensionale) ed elimina la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali sostituendola con quella tra soggetti importanti ed essenziali che si basa sulla criticità dei servizi offerti e da cui discendono regimi di vigilanza diversi[1], amplia i contenuti della strategia nazionale, prescrive l’adozione da parte degli Stati Membri di un piano nazionale di risposta agli incidenti e alle crisi di cybersicurezza su vasta scala, potenzia le misure tecniche ed organizzative da adottare da parte dei soggetti importanti ed essenziali, aderendo ad un approccio multirischio che guarda alla sicurezza della catena di approvvigionamento, prescrive valutazioni dei rischi coordinate a livello dell’UE, detta la disciplina degli obblighi di segnalazione e notifica, definendo il concetto di “incidente significativo”. Al fine di incoraggiare la condivisione delle informazioni e la cooperazione tra le autorità degli Stati membri, istituisce la Rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe), prevede la divulgazione coordinata delle vulnerabilità e l’istituzione del registro europeo delle vulnerabilità, la cui tenuta è affidata all’ENISA, che contiene informazioni circa la vulnerabilità, i prodotti TIC o i servizi TIC interessati, la gravità della vulnerabilità e le possibili modalità di attenuazione dei rischi derivanti dalle vulnerabilità divulgate e prevede una procedura di revisione tra pari.
Sempre nel mese di novembre, ha ricevuto l’approvazione, in prima lettura, da parte del Parlamento europeo, la proposta di direttiva sulla resilienza dei soggetti critici che abroga la direttiva 2008/114/CE e che, come già anticipato, è stata presentata dalla Commissione europea unitamente alla strategia ed alla proposta di NIS2, nel dicembre 2020. Si tratta di una direttiva importante, con la quale si passa da un sistema orientato a proteggere un numero limitato di infrastrutture fisiche la cui distruzione o il cui danneggiamento avrebbero un significativo impatto transfrontaliero, ad uno che mira ad aumentare la resilienza di soggetti, negli Stati membri, che sono fondamentali per la fornitura di servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche nel mercato interno, in una serie di settori che sono alla base del funzionamento di molti altri settori dell’economia dell’Unione. Il Parlamento, in particolare, ha approvato una serie di modifiche all’impianto proposto dalla Commissione. I soggetti, appartenenti a ben 11 settori (con possibilità per gli Stati membri, di aggiungerne altri sulla base di una serie di criteri indicati), sono chiamati ad adottare misure tecniche di sicurezza e organizzative adeguate e proporzionate per garantire la propria resilienza, ivi comprese, nel testo approvato dal Parlamento, procedure per i controlli dei precedenti personali a carico del personale, nonché a designare un funzionario di collegamento o equivalente come punto di contatto con le autorità competenti. È dettata in dettaglio la disciplina della notifica degli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali mentre dal punto di vista istituzionale, la direttiva istituisce il gruppo per la resilienza dei soggetti critici con funzione di sostegno alla Commissione ed incentivo alla cooperazione tra gli Stati membri.
Nel frattempo, ad integrazione del quadro dalla stessa tracciato e in attuazione di quanto previsto nella Strategia lanciata nel 2020, il 15 settembre scorso la Commissione Europea ha pubblicato una proposta di regolamento sui requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali e che modifica il regolamento (UE) 2019/1020 (Cyber Resilience Act-CRA) con cui si mira a salvaguardare i consumatori e le imprese che acquistano o utilizzano prodotti o software con una componente digitale attraverso la fissazione di regole armonizzate per l’immissione sul mercato di prodotti o software con una componente digitale, l’individuazione di requisiti di cybersecurity che disciplinano la pianificazione, la progettazione, lo sviluppo e la manutenzione di tali prodotti, la fissazione di obblighi per ogni fase della catena del valore e la declinazione di un obbligo generale di diligenza per l’intero ciclo di vita di tali prodotti.
CONCLUSIONI
Gran parte della competizione globale oggi si fonda sulla capacità di sviluppare e utilizzare le tecnologie emergenti come IoT, Intelligenza artificiale, cloud, blockchain, edge computing.
Il panorama globale dimostra un dato prevedibile: una crescita della complessità degli attacchi e dei danni che ad essi si accompagnano. Da ciò discende la necessità di investire e di prevedere un complesso normativo che garantisca standard adeguati di sicurezza.
Nella partita per la cybersicurezza l’UE mostra grandissima consapevolezza e un forte impegno per tracciare un set di regole che sin dalla fase di progettazione garantiscano la necessaria sicurezza e lo dimostra l’ampia mole di atti in discussione in materia di cybersecurity. Si tratta di un puzzle normativo ad oggi molto complesso e in continua evoluzione che, seppur al comprensibile e ineludibile fine di governare l’evoluzione tecnologica rendendola sicura, rischia di accrescere la complessità e gli adempimenti a carico delle imprese chiamate a coordinare atti normativi dalla diversa efficacia, dagli ambiti applicativi spesso definiti in maniera non netta e che prevedono adempimenti diversi a volte concorrenti, imponendo una riflessione circa l’opportunità di riunire in un unico strumento tutta la disciplina vigente in materia così da assicurare quella certezza del diritto che a volte sembra vacillare.
[1] L’Allegato 1, in particolare, individua 10 settori (e relativi sottosettori) nell’ambito dei quali soggetti con determinate caratteristiche (anch’esse indicate) sono definiti “essenziali”. Tali settori, in particolare, sono energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, acqua potabile, acque reflue, infrastrutture digitali, Pubblica Amministrazione e spazio. L’Allegato II individua, invece, settori, sottosettori e tipologia di soggetti definiti “importanti”. Si tratta, nello specifico, di servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione di una serie di beni (tra cui dispositivi medici, computer, apparecchiature elettroniche, mezzi di trasporto, ecc.) e fornitori di servizi digitali (fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network). Le microimprese e le piccole imprese ai sensi della raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, sono escluse dall’ambito di applicazione della direttiva, ad eccezione dei fornitori di reti di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico, dei prestatori di servizi fiduciari, dei registri dei nomi di dominio di primo livello (top-level domain, TLD) e della pubblica amministrazione, nonché di alcuni altri soggetti, come l’unico fornitore di un servizio in uno Stato membro.