Prosegue senza soste il processo di attuazione della normativa sul Perimetro di sicurezza nazionale cibernetica. Lo scorso 11 giugno è stato pubblicato in Gazzetta Ufficiale n. 138 il secondo decreto attuativo (DPCM 81 del 14/04/2021) riguardante l’applicazione del Perimetro cibernetico. Tale decreto, costituisce il Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici e di misure volte a garantire elevati livelli di sicurezza.
A pochi giorni di distanza, il 15 giugno, il Presidente del Consiglio dei ministri ha inoltre approvato la proposta avanzata dal Comitato interministeriale per la sicurezza della Repubblica (CISR) che prevede l’ampliamento della superficie del Perimetro, includendo ulteriori soggetti pubblici e privati nell’ambito delle 223 funzioni essenziali dello Stato.
La comunicazione del coinvolgimento di tali soggetti verrà effettuata dal Dipartimento delle Informazioni per la Sicurezza (DIS). Da quel momento, i nuovi soggetti inclusi avranno a disposizione sei mesi di tempo per trasmettere l’elenco dei beni ICT in base a quanto previsto dal nuovo impianto normativo.
Ecco l’Agenzia per la cybersicurezza nazionale: come cambia la sicurezza cibernetica dell’Italia
Indice degli argomenti
Perimetro cibernetico: le novità del secondo DPCM
La pubblicazione del nuovo decreto risulta di particolare interesse alla luce di tre elementi innovativi che guidano il percorso di applicazione del Perimetro per i soggetti coinvolti:
- individuazione di una tassonomia degli incidenti;
- definizione di modalità e tempistiche di notifica degli incidenti;
- identificazione delle misure di sicurezza attraverso l’utilizzo del Framework Nazionale per la Cybersecurity e la Data Protection.
Individuazione delle tipologie di incidenti
Nelle tabelle 1 e 2 dell’Allegato A, parte del suddetto decreto, viene proposta una classificazione di incidenti di natura cyber che possono avere un impatto su “beni ICT”. Con quest’ultimo concetto si fa riferimento all’insieme di reti, sistemi informativi e servizi informatici, o parti di essi, incluso nell’elenco che i soggetti coinvolti nel Perimetro devono predisporre e tramettere agli enti di competenza. Le due tabelle si differenziano in base al livello di gravità individuato per ciascun incidente: un livello meno grave e un livello più grave.
In generale, il concetto di tassonomia rappresenta uno strumento di riduzione della complessità particolarmente utile e diffuso nell’ambito dell’analisi e della gestione del rischio. Vi sono, infatti, diversi standard nazionali e internazionali di settore che propongono delle proprie tassonomie, solitamente basate sull’elemento di minaccia, ovvero il fenomeno/evento che, sfruttando una vulnerabilità, potrebbe causare effetti indesiderati su un’organizzazione.
Nell’ambito del Perimetro di sicurezza nazionale cibernetica è interessante rilevare che la tassonomia individuata sia basata sul concetto di impatto, ovvero sulle implicazioni di un evento di sicurezza a danno dei beni ICT e, conseguentemente, dei servizi essenziali collegati agli stessi.
Tale approccio, che risulta particolarmente innovativo, si evince chiaramente non solo dall’elenco delle categorie di incidente ma, soprattutto, dalle descrizioni dei singoli incidenti che fanno ripetutamente riferimento ai concetti di “violazione del livello di servizio atteso” e di consapevolezza dell’accadimento dell’incidente a seguito della rilevazione delle relative evidenze.
Affinché i soggetti parte del Perimetro siano in grado di perseguire tale approccio sarà opportuno adeguare i propri piani di sicurezza (es. Risk Management, Continuità Operativa, Crisis Management, …), in termini di classificazione e determinazione degli incidenti, per rispondere positivamente alle nuove necessità. Tale adeguamento, oltre ad essere funzionale al rispetto delle prescrizioni previste, si configura come un’azione utile per razionalizzare tempistiche e risorse anche alla luce dei requisiti specificati dal decreto in materia di notifica degli incidenti.
Cosa cambia nella notifica degli incidenti
Un ulteriore aspetto affrontato nel decreto riguarda il sistema di notifica degli incidenti per i soggetti parte del Perimetro e gli enti individuati dal decreto di recepimento della Direttiva NIS. Tale sistema dovrà essere operativo dal primo gennaio 2022, a seguito di un periodo sperimentale, attivo dal momento della comunicazione dell’elenco dei beni ICT sino al 31 dicembre 2021.
L’arco temporale di prova si configura come un accorgimento lungimirante, utile a collaudare e verificare il sistema di notifica previsto dal nuovo impianto regolamentare al fine di uniformare i diversi livelli di preparedness in ambito di sicurezza cibernetica dei soggetti inclusi nel Perimetro.
La presenza di tempistiche di notifica definite e diversificate a seconda della natura dell’incidente (un’ora per gli incidenti gravi, sei ore per quelli meno gravi) ma uniformi per tutti i soggetti coinvolti, nonché l’obbligo di predisporre comunicazioni dettagliate allo CSIRT (reportistica sugli incidenti, eventuali vulnerabilità sfruttate, IoC ecc.) rappresentano elementi ad elevata complessità che possono richiedere sforzi organizzativi, tecnici e procedurali da verificare a seconda dello specifico contesto in cui operano i soggetti.
Nell’ambito del sistema di notifiche riveste un aspetto centrale anche la definizione di ruoli e responsabilità nella corretta gestione dei processi di rilevazione e comunicazione degli incidenti in capo “all’articolazione per l’implementazione del Perimetro”.
L’individuazione di specifici ruoli e responsabilità a questo proposito viene indicata dalle misure di sicurezza presenti nell’Allegato B, con riferimento alla subcategory ID.AM-6 contenuta nel Framework Nazionale per la Cybersecurity e la Data Protection.
Identificazione delle misure di sicurezza
L’allegato B del nuovo decreto attuativo individua le misure di sicurezza che i soggetti parte del Perimetro sono tenuti ad attuare a partire da quanto previsto nel Framework Nazionale per la Cybersecurity e la Data Protection.
Tale documento, ispirato al Framework di cybersecurity del NIST, si pone come uno strumento di misurazione della postura di sicurezza di un’organizzazione utile a garantire un linguaggio comune di settore rispetto alle pratiche di cybersecurity. Pubblicato per la prima volta nel 2015 dal Centro di ricerca di Cyber Intelligence and Information Security (CIS) dell’Università Sapienza di Roma e dal Cybersecurity National Lab del Consorzio Interuniversitario Nazionale per l’Informatica (CINI), il Framework Nazionale è stato aggiornato nel 2019, con il supporto del Dipartimento delle Informazioni per la Sicurezza (DIS) e dell’Autorità garante per la protezione dei dati personali, includendo anche aspetti relativi alla privacy e alla data protection.
La struttura del Framework prevede un Core che rappresenta il ciclo di vita del processo di gestione della cybersecurity, dal punto di vista tecnico e dal punto di vista organizzativo. Il Core è strutturato gerarchicamente in Function, Category e Subcategory. Le Function, concorrenti e continue, sono: Identify, Protect, Detect, Respond, Recover e costituiscono le principali aree tematiche da affrontare per operare una adeguata gestione del rischio cyber in modo strategico. Il Framework quindi definisce, per ogni Function, le Category e le Subcategory che forniscono indicazioni in termini di specifiche risorse, processi e tecnologie da mettere in campo per gestire la singola Function.
Tra gli elementi chiave introdotti dal Framework Nazionale vi è il concetto di “contestualizzazione”.
Questa, che viene svolta per un ambito applicativo (come un settore produttivo o una categoria omogenea di organizzazioni), prevede una selezione delle Function, Category e Subcategory rilevanti nonché la definizione dei livelli di priorità e maturità per le Subcategory selezionate. Inoltre, nella versione del Framework del 2019 è stato introdotto il concetto di “Prototipo di contestualizzazione” che rappresenta uno strumento particolarmente utile per facilitare la creazione e l’aggiornamento di una specifica contestualizzazione. Si tratta, in sintesi, di un template di supporto, ideato sulla base delle indicazioni fornite da documenti di diverso tipo (normative, regolamenti tecnici e di attuazione o best practice di settore) che possono essere accompagnati da eventuali controlli di sicurezza. Questi ultimi si configurano come un insieme di azioni in cui si possono declinare i requisiti espressi dalle singole Subcategory.
Le linee guida per l’implementazione delle misure di sicurezza
Dall’analisi dell’Allegato B del decreto, i concetti di contestualizzazione, prototipo di contestualizzazione e controlli di sicurezza sembrano essere stati colti dal Legislatore, proponendo una specifica linea guida per l’implementazione delle misure di sicurezza da parte dei soggetti del Perimetro. Infatti, sono state selezionate Function, Category e Subcategory di interesse nonché elaborati specifici controlli di sicurezza associati a ciascuna Subcategory.
Tale approccio, dunque, potrebbe individuare un prototipo di contestualizzazione, comprensivo di una selezione di Subcategory di classe “obbligatoria”, a favore delle necessità dei soggetti parte del Perimetro, cui è possibile integrare da parte di ciascun soggetto ulteriori Subcategory – di classe “consigliata” o “libera” – al fine di cogliere tutti gli aspetti affrontati dal Framework Nazionale.
Analizzando nello dettaglio la selezione effettuata per i soggetti del Perimetro emerge un particolare interesse per determinate dimensioni di sicurezza, ovvero quelle che hanno una diretta relazione con gli obblighi normativi imposti dal Perimetro, tra cui le seguenti:
- l’identificazione e la gestione degli asset;
- il monitoraggio della catena di fornitura;
- l’individuazione di specifici ruoli e responsabilità in termini di cyber security;
- il controllo degli accessi e la sicurezza dei dati;
- l’awareness del personale e delle terze parti;
- la rilevazione di anomalie/eventi/incidenti;
- la pianificazione della risposta e le attività di comunicazione interna/esterna;
- il ripristino e recupero dei sistemi e degli asset impattati.
Al fine di recepire le indicazioni fornite dal Legislatore potrebbe essere opportuno, per i soggetti parte del Perimetro, valutare la propria postura di sicurezza attraverso il prototipo di contestualizzazione proposto e associare specifici livelli di priorità alle singole subcategory selezionate al fine di stabilire una eventuale roadmap degli interventi da porre in essere e i relativi criteri di implementazione.
Conclusioni
Il presente decreto rappresenta una pietra miliare nel percorso di implementazione del Perimetro che prevede allo stato attuale due ulteriori decreti attuativi previsti entro il 2021, riguardanti l’identificazione delle categorie di prodotto soggette a screening tecnologico e le regole di accreditamento per quanto riguarda i laboratori pubblici e privati che potranno effettuare tale screening.
Il nuovo decreto affronta tre aspetti fondamentali per la gestione della sicurezza cyber (rilevazione degli incidenti, le notifiche degli stessi e le misure di sicurezza) anche alla luce di quanto previsto da normative e standard nazionali e internazionali.
Cyber security e PNRR: ecco perché può essere occasione di sviluppo per l’Italia
Le novità introdotte si pongono in continuità con gli ulteriori avanzamenti che il nostro Paese sta portando avanti in ambito di sicurezza nazionale cibernetica, utili per innalzare presidi di sicurezza adeguati alle nuove sfide. Infatti, contestualmente a tale decreto, sono da segnalare, da un lato, l’istituzione dell’Agenzia per la Cybersecurity e, dall’altro, la pianificazione delle attività da svolgere per dare concreta attuazione al Piano Nazionale di Ripresa e Resilienza (PNRR), necessari per assicurare al nostro Paese uno sviluppo in sicurezza dei propri processi di digitalizzazione anche alla luce delle nuove esigenze emerse in termini economici, sociali e tecnologici.
