La cyber security nell’ambito dell’aviazione civile: il nuovo quadro normativo UE - Cyber Security 360

L'APPROFONDIMENTO

La cyber security nell’ambito dell’aviazione civile: il nuovo quadro normativo UE

Il nuovo Regolamento di Esecuzione (UE) 2019/1583 sulla cyber security nell’ambito dell’aviazione civile stabilisce disposizioni particolareggiate per l’attuazione delle norme fondamentali comuni sulla sicurezza aerea, per quanto riguarda le misure di cibersicurezza. Ecco il rapporto con la Direttiva NIS e il Perimetro cibernetico

3 giorni fa
C
Giovanni Campanale

Security Manager, Data Protection Officer e Formatore

Il comparto aereo e in particolare il trasporto passeggeri, a fare data dall’11/09/2001 ha fatto fronte a numerose sfide e cambiamenti, che hanno portato all’introduzione di normative cogenti e nuovi modelli operativi, destinati ad avere un impatto diretto in tutti i processi posti in essere dai principali attori del mondo aeroportuale.

In particolare, il settore dell’aviation security ha rappresentato l’ambito operativo che più di tutti è stato coinvolto in questo percorso di evoluzione e cambiamento, focalizzandosi in via principale avverso i rischi di security di tipo fisico.

In questo senso, infatti, gli attacchi del 9/11 hanno rappresentato il motore di questo cambiamento, attraverso il mantenimento di un focus largamente limitato alla security in senso fisico e, dunque, alla natura cinetica degli attacchi connessi a tali scenari criminosi.

Gli ultimi anni si sono successivamente caratterizzati dall’evoluzione e consolidamento dei rischi di security di tipo informatico. Si può parlare in questo senso di azioni illecite intenzionali, veicolate in via principale mediante strumenti e protocolli informatici e finalizzate alla compromissione o distruzione di reti, sistemi informativi e servizi informatici, e/o all’esfiltrazione di dati o informazioni riservate.

Questo scenario evolutivo si è dimostrato trasversale a tutti i settori economici, toccando il mondo sia pubblico che privato, senza distinzioni di nazionalità o aree geografiche colpite.

Il settore aeronautico e degli aeroporti, in particolare, non fa eccezione anche in considerazione della ulteriore ed eventuale classificazione di infrastruttura critica, posta in capo a specifici scali nazionali.

Questa esigenza ha trovato un importante recepimento in ambito comunitario, con l’entrata in vigore in data 31/12/2020 del Regolamento di esecuzione (UE) 2019/1583, che modifica il regolamento di esecuzione (UE) 2015/1998 (in realtà il suo allegato nello specifico), e che stabilisce disposizioni particolareggiate per l’attuazione delle norme fondamentali comuni sulla sicurezza aerea, per quanto riguarda le misure di cibersicurezza.

Aviazione civile e cyber security: il nuovo regolamento UE

La modifica della legislazione comunitaria di esecuzione, è pertanto finalizzata a fornire criteri di interpretazione comuni a beneficio degli Stati membri, per la corretta applicazione delle nuove norme connesse alle misure preventive di cibersicurezza ex Annesso 17 ICAO (annesso sulla sicurezza), nella sua modifica più recente (modifica 16), rispetto alla quale è stato introdotto in particolare il par. 4.9.1. relativo alle misure preventive di cibersicurezza[1].

Il regolamento di esecuzione (UE) 2019/1583 del 25 settembre 2019, diviene quindi lo strumento per supportare gli Stati membri dell’Unione nell’implementazione della modifica 16 dell’Annex 17 ICAO, con riferimento al suo par. 4.9.1. Le modifiche all’Allegato del regolamento di esecuzione (UE) 2015/1998, possono dunque essere riassunte in quattro (4) direttrici distinte:

  1. Il riconoscimento in capo all’autorità competente (Enac), del dovere di stabilire ed attuare procedure di condivisione delle informazioni rispetto agli operatori aeroportuali (in particolare i gestori) ed ai vettori aerei, al fine di consentire un aggiornamento continuo delle valutazioni dei rischi per la sicurezza, rispetto alle proprie attività operative (su questo tema sarà opportuno verificare il rapporto con l’Agenzia per la Cibersicurezza Nazionale di cui al D.L. 82/2021);
  2. L’individuazione da parte degli operatori aeroportuali e dei vettori aerei, all’interno dei propri programmi di security (in via diretta), oppure in via indiretta in documentazione apposita citata nel Programma di security stesso, dei dati e dei sistemi ICT sui quali si basano le proprie operazioni. Una volta eseguita l’individuazione (Identify, secondo la nomenclatura proposta ex DPCM 81/2021) degli asset fondamentali, all’interno del medesimo documento (Programma di Security o documento in esso richiamato) devono essere descritte nel dettaglio le misure di protezione adeguate al rischio (Protect), individuate per fronteggiare eventuali azioni illecite intenzionali, nonchè le misure di rilevamento e riconoscimento degli attacchi (Detect). Operazioni queste, che nei paper di settore (es. Securing Smart Airport di Enisa del 2016), possono ritrovare i dovuti supporti per contribuire alla corretta valutazione del rischio;
  3. Rispetto alle persone che dispongono di diritti di amministratore o di accesso illimitato a dati e sistemi fondamentali di tecnologia dell’informazione, è inoltre previsto un controllo rafforzato, che si aggiunge al controllo standard dei precedenti personali. Molto importante in questo caso, è sottolineare come la decisione relativa all’esecuzione di un controllo standard, rispetto ad uno rafforzato, sia attribuita all’autorità competente (Enac), che potrebbe anche in questa fase definire un confronto con l’Agenzia per la Cibersicurezza Nazionale;
  4. Rispetto alle persone che attuano operativamente le misure di protezione e rilevamento dei dati e dei sistemi fondamentali di tecnologia dell’informazione, nonché alle persone che hanno accesso ai dati e sistemi dell’organizzazione stessa, deve porsi in essere un piano distinto di addestramento in materia di rischi connessi alla cibersicurezza. Questo programma formativo ed i relativi contenuti, dovranno poi essere approvati (prima dell’erogazione) dall’autorità competente (Enac), rispetto alla quale vale quanto detto sopra, circa l’eventuale confronto con l’Agenzia per la Cibersicurezza Nazionale.

Il rapporto con la Direttiva NIS

In considerazione dei contenuti del regolamento di esecuzione (UE) 2019/1583, potrebbe essere opportuno domandarsi se l’attuale regolamento di settore, si ponga rispetto alla Direttiva (UE) 2016/1148 (di seguito, anche solo, Direttiva NIS), in rapporto di genere a specie, laddove la Direttiva NIS introduce uno standard minimo comune (o “capacità minima comune”) in materia di sicurezza delle reti e dei sistemi informativi nell’ambito dell’UE.

Questo rapporto potrebbe emergere dalla lettura del Considerando n. 9 della Direttiva NIS, laddove si precisa che, “Determinati settori dell’economia sono già regolamentati, o potrebbero esserlo in futuro, da atti giuridici settoriali dell’Unione comprendenti norme in materia di sicurezza delle reti e dei sistemi informativi (i.e. il Regolamento di esecuzione (UE) 2019/1583 con particolare riferimento al nuovo punto 1.7.). Ogniqualvolta tali atti giuridici dell’Unione contengono disposizioni che impongono obblighi in materia di sicurezza delle reti e dei sistemi informativi o di notifica di incidenti, si dovrebbero applicare tali disposizioni se gli obblighi ivi contenuti hanno effetti almeno equivalenti a quelli previsti dalla presente direttiva…”.

In senso analogo, il par. 1.7.5. dell’allegato del regolamento 2019/1583, attribuisce all’autorità competente l’onere di stabilire a quali prescrizioni in materia di cibersicurezza, un operatore aeroportuale debba soggiacere, qualora siano vigenti “altre normative dell’UE o nazionali” che introducano obblighi di cibersicurezza di settore. Un tema questo, destinato ad assumere crescente rilievo, man mano che le normative di settore (in particolare per le infrastrutture di trasporto) diverranno sempre più specifiche e vincolanti.

Riprendendo dalla Direttiva NIS, come successivamente recepita dal D.lgs. n. 65/2018, questa individua come noto nel settore dei Trasporti ed in particolare nel sotto – settore del trasporto aereo e dei gestori aeroportuali, l’ambito di individuazione specifico degli Operatori di Servizi Essenziali (di seguito, OSE).

L’OSE è dunque individuato in rapporto all’erogazione di quelle funzioni e servizi essenziali per il mantenimento di attività sociali e/o economiche fondamentali e dunque, le reti ed i sistemi informativi impiegati per il servizio erogato, trovano tutela in rapporto alle finalità di salvaguardia e tutela del mercato interno europeo e del movimento transfrontaliero di beni, servizi e persone.

La Direttiva ha contribuito così al consolidamento dell’architettura nazionale per la protezione dello spazio cibernetico ed attraverso il suo articolo 7 (vedi, art. 6 del D.Lgs. n. 65/2018), ha rilanciato all’adozione da parte di ciascuno stato membro, di una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi.

Sicurezza aerea e Perimetro cibernetico

In osservanza a quanto richiesto dall’art. 7 della Direttiva NIS, che richiede a ciascuno Stato membro la definizione di una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi, con il DL. n. 105/2019 (convertito nella Legge n. 133/2019) ed i successivi DPCM n. 131/2020, DPCM n. 81/2021 ed il DPCM 15 giugno 2021, è stato istituito il Perimetro di Sicurezza Nazionale Cibernetica (di seguito, PNSC).

Il PNSC coerentemente con gli obiettivi della Direttiva NIS, si orienta dunque ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di enti ed operatori pubblici e privati, dai quali dipende l’esercizio di una funzione essenziale dello Stato e dalla cui compromissione, possa derivare un pregiudizio per la sicurezza nazionale.

Questa impostazione, orientata alla sicurezza dello Stato prima ancora che dei mercati interni, consentirebbe quindi di allargare il numero dei soggetti coinvolti, oltre agli OSE di cui alla Direttiva NIS, anche a tutti quei soggetti pubblici o privati che esercitano una funzione essenziale per il mantenimento della continuità dell’attività di Governo, degli organi costituzionali e della sicurezza interna ed esterna, nonchè a coloro che prestano servizi essenziali per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato.

In tal modo, anche tutti questi soggetti, vedono estendersi ad essi i processi e le misure di innalzamento della sicurezza delle reti e dei sistemi informativi, impiegati nell’erogazioni dei propri servizi. In particolare, il DPCM 14 aprile 2021 n. 81, introduce un Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici e di misure volte a garantire elevati livelli di sicurezza.

Proprio l’aspetto delle misure di sicurezza assume particolare rilievo, poiché viene introdotto uno standard di processo, adeguato allo specifico contesto operativo rappresentato dal PNSC, e riferibile al Framework Nazionale per la Cybersecurity e la Data Protection, edizione 2019, sviluppato da CIS, CINI con il supporto dell’Autorità Garante per la Protezione dei Dati Personali e del DIS, ed ispirato dal Cybersecurity Framework del NIST americano.

Il DPCM propone di fatto nel suo Allegato B, una contestualizzazione del c.d. framework core, attraverso la selezione delle function, category e subcategory rilevanti (unitamente ai controlli elaborati per ciascun obiettivo di controllo), che definirebbero uno specifico prototipo di contestualizzazione rivolto anche ai soggetti pubblici o privati che svolgono ed erogano funzioni o servizi essenziali.

Conclusioni

Stante il quadro sopra descritto, considerato il ruolo svolto dagli scali aeroportuali nazionali, sussumibile ad un tempo sul piano dell’impatto del regolare e sicuro funzionamento del mercato interno ex Direttiva NIS, e successivamente sul piano dell’erogazione dei servizi essenziali per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato ex PSNC, gli adeguamenti previsti dal regolamento di esecuzione (UE) 2019/1583 (ed in particolare quelli relativi ai punti 1.7.2, 11.1.2 e 11.2.8) potrebbero orientarsi nell’alveo delle disposizioni di cui al DPCM n. 81/2021.

Tale riconducibilità sarebbe suggerita in considerazione dell’inclusione del Framework Nazionale per la Cybersecurity e la Data Protection, edizione 2019, sviluppato da CIS e CINI, all’interno di uno dei DPCM attuativi del PNSC e dunque, dal passaggio del framework dall’alveo delle best practices raccomandate nell’ambito dei processi di mitigazione dei rischi di cybersecurity, a quadro di riferimento per la valutazione dei rischi stessi.

Questo vale in particolare per quelle Organizzazioni che non utilizzano ancora uno strumento di supporto al processo di gestione e trattamento dei rischi di cybersecurity, mentre laddove siano già implementati standard e certificazioni, le misure del Framework (in particolare alla luce del suo recepimento normativo), seppure riconducibili a pratiche di sicurezza già previste da standard di settore (es. ISO) o da regolamentazioni generali vigenti (es. GDPR), sarebbero di supporto, ad esempio, per agevolare la comunicazione con gli interlocutori esterni (es. enti di Stato o Forze di Polizia coinvolte nella gestione dei rischi di cybersecurity), affinché siano rappresentati in modo chiaro i livelli dei rischi cyber ai quali le Organizzazioni sono esposte, nonché il livello di implementazione delle misure di protezione in essere.

 

NOTE

  1. 4.9 Measures relating to cyber threats. 4.9.1 Each Contracting State shall ensure that operators or entities as defined in the national civil aviation security programme or other relevant national documentation identify their critical information and communications technology systems and data used for civil aviation purposes and, in accordance with a risk assessment, develop and implement, as appropriate, measures to protect them from unlawful interference“.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5