La cyber security alla luce della disciplina europea: un primo approccio - Cyber Security 360

L'APPROFONDIMENTO

La cyber security alla luce della disciplina europea: un primo approccio

Le nuove normative europee in tema di cyber security, in particolare il Cybersecurity Act, sono destinate a innovare profondamente il quadro normativo e regolamentare in materia, soprattutto in merito alla certificazione della sicurezza informatica di prodotti, servizi e processi ICT. Ecco perché

11 Feb 2021
C
Flavio Campara

Affari istituzionali e responsabile Centro studi e ricerche di Consumerismo No Profit

C
Alfonso Contaldo

Docente di Diritto della comunicazione multimediale - Unint Roma

La cyber security è diventata un tema di grande attualità nel dibattito nazionale ed europeo, anche sulla spinta di importanti novità normative quali il Perimetro di sicurezza nazionale cibernetica per quanto riguarda l’Italia e la nuova strategia europea per la sicurezza informatica.

Paradossalmente, però, la cyber security entrerà davvero a far parte della nostra quotidianità nel momento in cui non la distingueremo più dal concetto generale di sicurezza e la percepiremo come la naturale necessità di proteggere noi stessi e la nostra comunità e, dunque, la sentiremo come parte essenziale del nostro agire: in questo modo, ogni persona vedrà sé stessa come componente attiva della medesima.

È pertanto utile focalizzare l’attenzione su alcuni dei temi e delle questioni che oggi interessano la cyber security tanto a livello definitorio quanto a livello normativo-regolamentare.[1]

Cyber security e cyber defense: un primo approccio

Nonostante i numerosi e autorevoli tentativi definitori, sembra forse più opportuno ricondurre la cyber security – termine frutto della crasi tra “cyberspace” e “security[2] – a quell’insieme di tecnologie, programmi, processi e tecniche concepiti e messi in atto per proteggere dispositivi, dati e reti informatiche.

WHITEPAPER
Cosa fare per trovare, classificare e analizzare i dati in tempo reale?
Big Data
Cybersecurity

Con ciò intendiamo richiamare un triplice concetto: in primis la protezione di contenuti, dati e informazioni; in secundis la protezione dell’hardware (quindi gli elementi fisici dei dispositivi quali pc, smartphone, mainframe, server, etc.); in tertiis la protezione relativa agli aspetti software intesi quali programmi, reti, database, archivi digitali ed altre impostazioni tecnologiche similari.

Quindi, già da queste linee prodromiche di approccio alla questione, se ne evince che la demarcazione dei confini della cyber security appare piuttosto rarefatta e, teoricamente, in possibile espansione[3].

Se è vero che i sistemi di sicurezza fisici del mondo digitale hanno avuto un’evoluzione nel corso dei secoli, alcuni di essi risultano comunque sempre utili e adeguati in talune situazioni relativamente semplici (es. per interdire l’accesso ad un luogo si può utilizzare un lucchetto). Ciò non è precisamente vero in ambito di sicurezza dei sistemi informatici e telematici. Infatti, utilizzare strumenti di protezione obsoleti non riesce a garantire alcuna forma di protezione (es. usare un antivirus con una definizione dei virus del 1995).

Quindi, in ambito di cyber security è sempre e comunque necessario un costante aggiornamento delle tecniche e delle metodologie di protezione.

Non si potrà evocare un meccanismo paragonabile al vecchio “lucchetto” del mondo analogico che poteva, entro certi limiti, protegge un archivio nel 1930 così come nel 2020.

Il senso è che la sicurezza informatica non può essere e non sarà mai totale. Al lavoro di aggiornamento e perfezionamento delle tecniche anti-hacking, corrisponde il parallelo progresso delle tecniche di hacking, anzi, sono proprio i progressi fatti dagli hacker e dai creatori di virus a determinare la crescita qualitativa dei sistemi di protezione.

Non esiste un sistema di difesa, insomma, che una volta montato renda il nostro computer o le nostre reti sicure per sempre. Si può tentare di fare un parallelismo con il mondo biologico, identificando la preda (il sistema attaccato) ed il predatore (il criminale informatico) ricordando che l’evoluzione porta ad un perfezionamento delle armi di entrambi senza riuscire, peraltro, a far dominare nessuno dei due. Laddove ciò accadesse, si andrebbe verso l’estinzione di una specie e, nel nostro caso, di una branca della sicurezza informatica o delle tecniche di aggressione digitali.

Il concetto di cyber defense

Il secondo concetto che ci preme analizzare in questa sede riguarda la cyber defense che, in base alle indicazioni rilasciate dal CCDCOE[4] è definita come “misura proattiva per rilevare od ottenere informazioni su un’infrazione informatica, attacco informatico o imminente operazione informatica ovvero per determinare l’origine di un’operazione che comporta l’avvio di una contromisura preventiva o informatica contro la fonte d’aggressione[5].

La sottile sfumatura che differenzia questo ambito dalla impostazione della cyber security è da individuarsi nell’oggetto tutelato. Tipicamente, le dinamiche legate alla cyber defense sono intimamente connesse a meccanismi di difesa nazionali, sistema militare o paramilitare e protezione delle istituzioni di enti ed organizzazioni governative.

La difesa informatica, in questa accezione, si concentra sulla prevenzione, sul rilevamento e sulla fornitura di risposte tempestive agli attacchi o alle minacce, in modo che nessuna infrastruttura o informazione venga manomessa.

Con la crescita del volume e la complessità degli attacchi informatici, la difesa informatica è essenziale per la maggior parte delle entità al fine di proteggere le informazioni sensibili e salvaguardare le risorse.

Cybersecurity Act: la ratio di un quadro europeo di certificazione

Volgendo lo sguardo a quanto accade nel panorama europeo, la nuova strategia unionale per la sicurezza cibernetica trova tra i suoi pilastri principali, accanto all’ormai celebre direttiva NIS, il Regolamento (UE) n. 2019/881, altrimenti conosciuto come Cybersecurity Act (CSA)[6].

Senza dubbio tale regolamento è destinato a mutare profondamente la disciplina in materia di cyber security, soprattutto per aver dettato una cornice normativo-regolamentare europea per la certificazione della sicurezza informatica di prodotti, servizi e processi ICT.

Ed è proprio qui, infatti, che si misura il principale portato innovativo del regolamento rispetto a quanto lo stesso ha previsto in ordine all’ENISA, il cui ruolo è stato naturalmente riformato e rafforzato.

Il duplice intento del legislatore europeo era, da un lato, pervenire ad un quadro europeo di regole sulla certificazione della cyber security che potesse implementare le condizioni di funzionamento del mercato interno, accrescendo il livello di cybersicurezza dell’UE; dall’altro, rendere possibile un approccio armonizzato dei sistemi europei di certificazione per creare un Digital Single Market (DSM) per prodotti, servizi e processi ICT[7] e per incrementare la fiducia degli utenti-consumatori degli stessi[8].

Sebbene esistessero già sistemi di certificazione nella maggior parte dei Paesi UE[9], un gran numero di questi non trova attualmente riconoscimento oltre i confini nazionali o, nella migliore delle ipotesi, solamente in alcuni di essi.

Di conseguenza le imprese, al fine di poter operare a livello transnazionale, si vedono obbligate ad avviare vari processi di certificazione, il che produce inevitabilmente un innalzamento dei costi sostenibili, un utilizzo ulteriore di risorse disponibili nonché un prolungamento delle tempistiche per ottenere tale certificazione abilitante.

Ora, grazie al CSA, la generazione di tali sistemi, da elaborare secondo le specifiche categorie di prodotti e servizi, implica che i certificati rilasciati sulla base di questi siano validi e riconosciuti in ciascun Paese UE (art. 56, par. 10, CSA).

Inoltre, il valore “europeo” della certificazione contribuirebbe ad implementare il mercato interno, arginando la creazione di certificazioni nazionali e disarmoniche che potenzialmente frenano lo sviluppo del DSM. In tal maniera viene introdotto un importante strumento commerciale per certificare l’eccellenza europea nella protezione dei diritti digitali dei propri cittadini[10].

Ed ancora, il regolamento de quo dota i produttori europei di un valido strumento per proteggersi dalla concorrenza di competitors extra-comunitari che intendono offrire prodotti a prezzi inferiori, lesinando sull’implementazione delle adeguate misure di sicurezza e di protezione dei dati.

Il sistema europeo di certificazione della cyber security

Vediamo ora quali sono le tappe salienti del processo di elaborazione di un sistema europeo di certificazione della cyber sicurezza.

In primo luogo, la Commissione europea è tenuta a predisporre e pubblicare il c.d. programma di lavoro progressivo UE per la certificazione.

Tale un documento – da aggiornare minimo ogni tre anni[11] – indica quelle che sono reputate le priorità strategiche per i futuri sistemi europei di certificazione della sicurezza cibernetica. Sulla base di questo programma, la Commissione può richiedere all’ENISA la formulazione di una proposta di sistema o la revisione di uno già esistente (art. 48, par. 1, CSA).

A seguito di tale richiesta, l’ENISA ha il compito di confezionare una proposta di sistema – previa consultazione di ogni stakeholder – che soddisfi i requisiti ex artt. 51, 52 e 54, CSA, i quali disciplinano, rispettivamente, gli obiettivi di sicurezza, i livelli di affidabilità e gli elementi in ordine ai sistemi europei di certificazione.

Una volta ricevuta la proposta dall’ENISA, la Commissione ha il potere di adottare atti di esecuzione, prevedendo un sistema di certificazione per prodotti, servizi e processi ICT che soddisfa i requisiti ex artt. 51, 52 e 54, CSA[12]. Per ciascun sistema adottato, bisogna effettuare una valutazione periodica da prodursi minimo ogni cinque anni, considerando quanto espresso dalle parti interessate.

Riguardo al primo requisito, diciamo che i sistemi di certificazione devono fornire, durante tutto il ciclo di vita del prodotto, servizio o processo ICT, adeguata protezione ai dati conservati, trasmessi o trattati sia dall’archiviazione, dal trattamento, dall’accesso o dalla divulgazione accidentali o non autorizzati, sia dalla distruzione, dalla perdita o dall’alterazione accidentali o non autorizzati oppure dalla mancanza di disponibilità.

In ordine al secondo requisito, i sistemi de quibus devono specificare uno o più livelli di affidabilità (“di base”, “sostanziale” o “elevato”) per ogni prodotto, servizio e processo ICT, che sono determinati rispetto al grado di rischio associato al loro impiego, in termini di probabilità e impatto di un incidente, e che non misurano di per sé la loro sicurezza.

Circa il terzo requisito, vi è un elenco di elementi minimi (ventidue) che un sistema europeo di certificazione è tenuto a soddisfare (art. 54, CSA).

Proseguendo, diciamo che i prodotti, servizi e processi ICT certificati attraverso un sistema europeo sono considerati conformi ai requisiti di tale sistema. Tuttavia, vi è un elemento che potrebbe depotenziare la portata innovativa del CSA, e cioè il fatto che la certificazione della cybersicurezza rimane volontaria, salvo diversamente specificato dal diritto dell’UE o degli Stati membri, e, invero, sarà compito delle autorità nazionali definire eventuali obbligatorietà[13].

La Commissione è tenuta a valutare periodicamente l’efficacia e l’impiego dei sistemi europei di certificazione adottati, nonché l’eventuale necessità di rendere obbligatorio uno specifico sistema tramite appropriate disposizioni normative comunitarie, allo scopo di garantire l’opportuno livello di cybersicurezza di prodotti, servizi e processi ICT e di migliorare il funzionamento del mercato interno.

Il rilascio dei certificati riferiti ad un livello di affidabilità “di base” o “sostanziale”[14] viene effettuato dagli organismi di valutazione della conformità (art. 56, par. 4, CSA), salva l’eccezione ex par. 5[15].

Diversamente, a rilasciare certificati per un livello di affidabilità “elevato” spetterà ad un’autorità nazionale di certificazione della cybersicurezza[16]. Quest’ultima ha poi il compito di vigilare sulla correttezza dell’applicazione delle norme previste dalla certificazione, disponendo di un corpus di poteri minimi di tipo istruttorio, ispettivo e sanzionatorio (art. 58, par. 8, CSA).

In conclusione, sottolineiamo che la validità del certificato dipende dal periodo indicato nel sistema di certificazione, e che la condizione per il rinnovo del medesimo è la costante soddisfazione dei requisiti originari.

NOTE

  1. Entrambi i temi vengono analizzati nel volume Cybersecurity Law. Disciplina italiana ed europea della sicurezza cibernetica anche alla luce delle norme tecniche, a cura di Contaldo A. e Mula D., Pacini Giuridica, Pisa, 2020, il cui intento è descrivere analiticamente la disciplina nazionale ed europea in materia di cyber security, valorizzando le molteplici e variegate norme tecniche, anche di livello internazionale, che si sono progressivamente consolidate in materia, e illustrando la graduale e costante espansione delle frontiere della sicurezza cibernetica.
  2. Ognuna delle quali dotata di una propria definizione consolidata nel tempo e sicuramente meritoria di una autonoma ed elaborata analisi semantica. Vd. Marchetti R., Mulas R., Cyber Security: Hacker, terroristi, spie e le nuove minacce del web, Roma, Luiss Press, 2017, 42 ss.
  3. Teti A., Cyber espionage e cyber counteintelligence. Spionaggio e controspionaggio cibernetico, Soveria mannelli (CZ), 2018, 85 ss.
  4. Acronimo del Cooperative Cyber Defence Centre of Excellence della Nato, avente sede a Tallin in Estonia.
  5. Trad. dall’originale Compilation of Existing Cybersecurity and Information Security Related Defintions, Open Technology Institute New America (2013) in www.ccdcoe.org.
  6. Forsi R., Indagine conoscitiva sulle nuove tecnologie delle telecomunicazioni, con particolare riguardo alla transizione verso il 5G ed alla gestione dei big data, in www.camera.it, 2019, 3.
  7. Art. 46, par. 1, CSA. Vd. ISCTI, Audizione commissione finanze del senato reti 5g: problematiche di cyber sicurezza ed iniziative in corso, www.senato.it, 2019, 2.
  8. Tosoni L., Cybersecurity Act, ecco le nuove norme in arrivo su certificazione dei prodotti e servizi ICT, 2019.
  9. Limitandoci a riportare qualche esempio, in Italia opera, presso il MISE, l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCOM) che si occupa della certificazione della sicurezza informatica di prodotti e sistemi ICT, in ossequio allo schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell’informazione. Analoghi sistemi di certificazione quali quello britannico del Commercial Product Assurance (CPA), quello francese della Certification de Sécurité de Premier Niveau des Produits des Technologies de l’Information (CSPN), ed infine quello olandese del Baseline Security Product Assessment (BSPA). Vd. Tosoni L., op. cit.
  10. Benedetti D., Cybersecurity Act, gli effetti della certificazione europea di sicurezza digitale, in www.csqa.it, 2019; Ianni G., Vacchi G., Il rapporto tra cyber security e protezione dei dati, personali e non: linee guida, in www.cybersecurity360.it, 2019.
  11. Art. 47, par. 5., CSA. Vd. ultra ENISA, Bolstering ENISA in the EU cybersecurity certification framework, in www.enisa.europa.eu, 2019, 3.
  12. Art. 49, par. 7, CSA. Si ricorda, inoltre, che l’adozione di tali atti di esecuzione avviene secondo la procedura d’esame ai sensi dell’art. 66, par. 2, CSA.
  13. Franchina L., Cyber security nazionale, il nuovo panorama: così l’Italia si gioca il proprio ruolo Paese, 2019.
  14. Secondo i criteri previsti dal sistema europeo di certificazione della cybersicurezza adottato dalla Commissione ex art. 49, CSA.
  15. In casi debitamente giustificati, un sistema europeo di certificazione può prevedere che i certificati da esso derivanti possano essere emessi unicamente da un ente pubblico, ossia da un’autorità nazionale di certificazione (art. 58, par. 1, CSA) oppure da un organismo pubblico accreditato come organismo di valutazione della conformità (art. 60, par. 1, CSA).
  16. Essa ha, tuttavia, il potere di conferire tale incarico ad un organismo di valutazione della conformità, tramite previa approvazione di ogni singolo certificato da questo emesso oppure mediante delega generale in favore dell’organismo medesimo (art. 56, par. 6, CSA).

WEBINAR
[WEBINAR] AI e cloud networking: come mettere in sicurezza l'azienda diffusa
Cloud
Intelligenza Artificiale
@RIPRODUZIONE RISERVATA

Articolo 1 di 5