Home » News » Cybersecurity

Miralli: strategia dell’UE in materia di cybersicurezza e resilienza

di Redazione - 12 Aprile 2024
Corrado Miralli Security Manager & CISO Saipem strategia UE cybersicurezza e resilienza

Corrado Miralli, Security Manager e CISO, nonché cultore della materia della security aziendale, approfondisce il tema di estrema attualità e di grande importanza relativo alla strategia dell’UE sul fronte della cybersicurezza e resilienza, indicando in modo circostanziato e con dovizia di informazioni e riferimenti quali siano gli elementi chiave e le necessità di regolamentare le strutture di sicurezza delle entità critiche nazionali.

Buona lettura!

STRATEGIA DELL’UE IN MATERIA DI CYBERSICUREZZA E RESILIENZA

a cura di Corrado Miralli

L’analisi si apre partendo dalle varie Direttive europee, riguardanti i settori di riferimento.

Le Direttive europee

Le minacce informatiche al settore energia, trasporti, bancario, fino a ricomprendere il settore delle utilities, sono per loro natura transnazionali, ed in continuo aumento, complice anche l’uso di sistemi di offesa basati su intelligenza artificiale (AI).
Le infrastrutture critiche per loro natura sono particolarmente esposte al rischio di DDOS e Ransomware; in questi casi la risposta di sicurezza richiede uno sforzo congiunto pubblico-privato. Per i settori infrastrutturali critici di importanza nazionale le agenzie governative dovrebbero collaborare con l’industria e sviluppare modelli di security idonei a gestire concordate strategie per la protezione.
Gli attacchi cyber si posizionano tra i primi 5 scenari di rischio con più alta probabilità di accadimento.

Per far fronte a questo trend, dal 2023 il patrimonio normativo dell’Unione Europea si è arricchito con nuove direttive: la direttiva NIS 2 (direttiva UE 2022/2555), pubblicata a dicembre 2022 insieme alla direttiva CER (Critical Entity Resilience) (direttiva UE 2022/2557), ed al “Digital Operational Resilience Act o regolamento DORA (Regolamento 2022/25541/UE) sulla sicurezza ICT delle entità del settore finanziario e bancario, che mirano a meglio definire la strategia cyber comunitaria, chiedendo a tutti gli Stati membri di adottare misure coordinate per garantire la continuità operativa di infrastrutture che sono critiche per l’economia, la salute, la sicurezza pubblica e privata.

La direttiva NIS 2 è entrata in vigore su tutto il territorio dell’Unione Europea il 17 gennaio 2023 e gli Stati membri avranno l’obbligo di adottare e pubblicare gli atti normativi necessari a recepirla entro e non oltre il 17 ottobre 2024.
Essa estende il perimetro per l’applicazione delle norme europee in materia di sicurezza cyber già indicato dalla direttiva 2016/1148/UE recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. “direttiva NIS”), primo provvedimento di carattere generale adottato in ambito europeo sul tema della sicurezza informatica (valutazione della minaccia, obblighi di mitigazione del rischio, obblighi di comunicazione di eventi significativi, certificazione della sicurezza per prodotti e servizi TIC, obblighi di vigilanza), che era stata recepita in Italia con D.Lgs 18 maggio 2018, n. 65.
La NIS 2 si applicherà agli operatori dei settori e dei sotto settori ritenuti  ESSENZIALI  (grandi imprese e soggetti già individuati dalla NIS) o IMPORTANTI (medie imprese), denominati entità critiche.

In particolare la NIS 2

  • Identifica nuovi settori, 9 altamente critici e 7 critici, ai quali si affiancano soggetti identificati come critici dalla direttiva
  • Distingue i soggetti destinatari in entità essenziali e importanti, identificati sulla base di specifici criteri oggettivi (dalle medie imprese in su, salvo eccezioni), lasciando al Governo la facoltà di identificare ulteriori soggetti
  • Adotta un approccio multi-rischio, sia  fisico che cyber,  (coordinamento con direttiva CER) con un maggior dettaglio nella definizione di misure di sicurezza che devono avere il carattere della proporzionalità
  • Comprende misure per la continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi
  • Introduce nel modello di resilienza la sicurezza della catena di approvvigionamento. Le interruzioni delle supply chains sperimentate in epoca pandemica hanno costretto l’industria a rivedere le proprie strategie di approvvigionamento. Inflazione, incertezza geopolitica, crisi energetica, cambiamento climatico, situazioni di guerra ai confini dell’Europa e nel Middle East, aumentato rischio offshore nel Mar Rosso, hanno ulteriormente intensificato la situazione di incertezza e le conseguenze sull’economia mondiale
  • Adotta un processo di notifica più comprensivo, con poteri ispettivi e sanzionatori rafforzati (allineamento al modello sanzionatorio del GDPR – Regolamento 2016/679 UE)

Il 17 gennaio 2025 è il termine indicato per la definizione dei soggetti – entità critiche – destinatari della norma.

La Direttiva CER

La Direttiva CER (Critical Entity Resilience), che si occupa della resilienza delle entità critiche e altamente critiche, ovvero reti e beni infrastrutturali che, se danneggiati o distrutti, causerebbero ripercussioni alle funzioni cruciali della società, esponendo i cittadini a gravi danni per la mancanza di infrastrutture e di servizi primari, mira a garantire la fornitura di servizi essenziali ed a migliorare la cooperazione transfrontaliera tra le autorità competenti, ferma restando la responsabilità dei singoli stati dell’UE per la tutela della sicurezza nazionale (la direttiva CER non si applica agli enti della pubblica amministrazione operanti nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto alle attività criminali).
La direttiva CER, nata sulla spinta dei fatti che hanno visto coinvolto il gasdotto North Stream, evidenziando la fragilità e le dipendenze dei settori critici nazionali, sostituisce la direttiva 2008/114/CE del Consiglio, dell’ 8 dicembre 2008, relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione,  fungendo da norma di raccordo tra quanto previsto dalla NIS 2 a livello europeo e la legge nazionale  n. 133/19 e DPCM successivi “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”, che già aveva introdotto stringenti protocolli di sicurezza e di notifica degli incidenti per i soggetti inizialmente qualificati come Infrastrutture Critiche/Operatori di Servizio Essenziale (OSE).

Il termine di recepimento della direttiva CER, come per la NIS 2, è fissato per il 18 ottobre 2024, mentre entro il 17 luglio 2026 ogni stato dovrà individuare i soggetti critici destinatari della normativa.

Tipologie di soggetti introdotti dalla NIS2, confronto con CER e PSNC

Corrado Miralli UE strategie cybersicurezza resilienza Tab. tipologie soggetti NIS2

Il Digital Operational Resilience Act, o regolamento DORA dell’UE, stabilisce un framework vincolante per la gestione del rischio delle tecnologie di informazione e comunicazione (ICT) per le entità finanziarie e i loro fornitori critici di servizi tecnologici di terze parti, che dovrà essere recepito dai singoli stati membri entro il 17 gennaio 2025.

La NIS 2 e la direttiva CER riconciliano il concetto di sicurezza fisica con quello della sicurezza logica (o cyber), a partire dalla valutazione del rischio che dovrà tenere conto – come nel caso delle entità destinatarie della seconda – non solo di minacce cyber, ma anche di minacce cinetiche sia naturali che antropiche, volontarie o involontarie, ivi compresa la minaccia terroristica.

Analisi: focus sull’elemento organizzativo

Il punto di attenzione per l’UE è proprio questo: la convergenza tra sicurezza fisica e cyber security in materia di protezione dei settori critici, elemento che non potrà non avere ripercussioni sull’organizzazione aziendale degli operatori privati destinatari della normativa europea.
L’approccio tradizionale di isolare le infrastrutture critiche dal mondo esterno non è più praticabile e mentre si sta sviluppando una sempre maggiore connessione dei sistemi industriali tramite reti IT, si sta ampliando il divario tra la capacità di offesa e quella di difesa.
I criteri di adozione della CER a livello nazionale, i requisiti di sicurezza per i vari settori, l’indicazione dell’entità che dovrà garantirne l’attuazione ed il monitoraggio, sono ancora in fase di definizione. Non è ancora chiaro l’indirizzo politico che si vorrà seguire in Italia, se lasciare la competenza in ambito militare, coinvolgere ACN con un ampiamento delle sue competenze o creare un’agenzia, omologa della ACN, ma con competenze sulla sicurezza cinetica, come è stato per il Department of Homeland Security – DHS statunitense, in ottica di convergenza della sicurezza fisica e logica in materia di protezione dei settori critici.
La direttiva CER (Critical Entity Resilience) (direttiva UE 2022/2557), così stabilisce :
“(29) I soggetti critici dovrebbero adottare misure tecniche, di sicurezza e organizzative adeguate e proporzionate ai rischi cui sono esposti, allo scopo di prevenire gli incidenti, di proteggersi da essi, di darvi risposta, di resistervi, di mitigarli, assorbirli, di adattarvisi e di ripristinare le proprie capacità operative. …//… Per promuovere un approccio coerente a livello di Unione, la Commissione dovrebbe, previa consultazione del gruppo per la resilienza dei soggetti critici, adottare linee guida non vincolanti per specificare ulteriormente tali misure tecniche, di sicurezza e organizzative. Gli Stati membri dovrebbero provvedere affinché ciascun soggetto critico designi un funzionario di collegamento o equivalente come punto di contatto con le autorità competenti”.
“(30) A fini di efficacia e di responsabilizzazione, i soggetti critici dovrebbero descrivere le misure da essi adottate con un livello di dettaglio che consegua sufficientemente gli obiettivi di efficacia e di responsabilizzazione stabiliti, tenuto conto dei rischi individuati, in un piano di resilienza o in uno o più documenti equivalenti a un piano di resilienza, e dovrebbero mettere in pratica tale piano. Qualora un soggetto critico abbia già adottato misure tecniche, di sicurezza e organizzative e redatto documenti conformemente ad altri atti giuridici pertinenti per le misure di rafforzamento della resilienza ai sensi della presente direttiva, esso dovrebbe poter utilizzare tali misure e documenti per soddisfare i requisiti riguardo alle misure di resilienza di cui alla presente direttiva. Al fine di evitare duplicazioni, un’autorità competente dovrebbe poter dichiarare conformi ai requisiti della presente direttiva, in tutto o in parte, misure di resilienza esistenti adottate da un soggetto critico che rispondono ai suoi obblighi di adottare misure tecniche, di sicurezza e organizzative ai sensi della presente direttiva”
In questo quadro in continua evoluzione volevo condividere delle riflessioni sulle direttive comunitarie citate che, sebbene rappresentino un passo importante nella direzione di sviluppare una strategia di resilienza comunitaria, non definiscono in maniera chiara e cogente requisiti di tipo organizzativo per l’operatore privato nazionale, chiamato a fare investimenti ed a garantire il rispetto dei requisiti di sicurezza richiesti.
L’elemento organizzativo può influenzare molto la capacità di una azienda/entità critica di migliorare la postura di cyber security come richiesto dalla NIS 2 e di garantire i livelli di resilienza richiesti dalla direttiva CER, ed avere un impatto in termini di responsabilità che potrebbe risalire fino al vertice aziendale.
Si pensi, ad esempio, alla responsabilità della gestione ICT per le entità finanziarie che il Regolamento DORA fa risalire fino ai membri del Consiglio di Amministrazione, ai dirigenti e senior managers i quali dovranno definire adeguate strategie di gestione del rischio, a partire dalla valutazione di impatto sui processi critici e dalla definizione di piani di continuità operativa e disaster recovery.

Un tiepido riferimento organizzativo lo troviamo in Italia nel DPCM 14 aprile 2021, n. 81 “Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza”, dove la misura ID.AM-6 inclusa nell’Allegato B indica :
“È nominato, nell’ambito dell’articolazione di cui al punto 2, un incaricato, e un eventuale sostituto, con il compito di gestire l’attuazione delle disposizioni del decreto-legge previste per i soggetti inclusi nel perimetro, in possesso di specifiche professionalità e competenze nella materia della sicurezza cibernetica, che riferisce direttamente al vertice gerarchico del soggetto incluso nel perimetro ed assicura, almeno:

  1. l’efficace implementazione delle misure di sicurezza di cui al DPCM 2;
  2. la corretta esecuzione degli adempimenti relativi alla notifica degli incidenti aventi impatto su un bene ICT ai sensi dell’articolo 1, comma 3, lettera a), del decreto-legge;
  3. la collaborazione con l’Agenzia per la Cybersicurezza Nazionale (ACN), anche in relazione alle attività connesse all’articolo 5 del decreto-legge e alle attività di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la CyberSicurezza (NCS), e con i soggetti incaricati dello svolgimento delle attività di verifica e ispezione di cui all’articolo 1, comma 6, lettera c), del decreto-legge.”

Accade che in aziende, anche di grandi dimensioni e che potremo considerare come entità critiche, la funzione che gestisce le attività riconducibili al processo di security trovi collocazione organizzativa nei modi più diversi da settore a settore, spesso non a riporto della funzione datoriale e del vertice aziendale che detiene il potere decisionale. A volte la funzione di cyber security è separata dalla organizzazione che si occupa di sicurezza fisica, oppure “integrata” all’interno della funzione ICT, che ha come scopo dover garantire l’erogazione dei servizi IT, con un focus relativo sugli aspetti di security.

Una funzione security che non riporti direttamente al vertice ed al board aziendale avrà una montagna da scalare, prima di ottenere gli strumenti anche economici per adeguare l’organizzazione ai nuovi ed elevati livelli di sicurezza richiesti dalla normativa europea, dovrà fare uno sforzo immane per ottenere il change management necessario, nonostante l’obbligatorietà della trasformazione.

In considerazione del nuovo quadro normativo europeo, gli organi di controllo interno di una entità critica, destinataria delle citate direttive europee in materia di sicurezza, dovranno dotarsi delle competenze necessarie per svolgere le azioni di loro pertinenza.
Lo stesso varrà per i membri del Consiglio di Amministrazione, che dovranno mettersi in condizione di poter valutare adeguatamente il rischio cyber dell’azienda che fosse individuata come infrastruttura critica e quindi soggetta alle restrizioni dell’UE.

È fondamentale quindi definire ruoli e responsabilità ed una robusta governance che possa aiutare a mitigare i rischi informatici e garantire la disponibilità di adeguate risorse umane e tecnologiche.

Ipotesi di lavoro

Alla luce di queste considerazioni sarebbe opportuno lavorare sul tavolo del legislatore nazionale, per inserire in fase di recepimento della normativa europea anche dei modelli organizzativi standard” in materia di sicurezza fisica e cyber almeno per gli operatori destinatari della NIS 2, direttiva CER, regolamento DORA.
Lavorare sulle nuove norme europee potrebbe essere un’ottima opportunità, per colmare le lacune del D.L 81/2008 in materia di tutela della salute e della sicurezza nei luoghi di lavoro e nel D.Lgs 231/2001 Responsabilità amministrativa delle società e degli enti  – “colpevoli” –  se così si può dire, di non aver espressamente previsto il ruolo di security manager a supporto del Datore di Lavoro, sebbene abbiano contribuito in maniera determinante ad affermare la necessità, da parte del Datore di Lavoro, di dotarsi di un’efficiente organizzazione per valutare e gestire tutti i rischi, inclusi quelli specifici di security.

Il CISO – Chief Information Security Officer, è un profilo professionale oggi sempre più diffuso nelle moderne e grandi aziende che, grazie a competenze, conoscenze e ad una profonda consapevolezza dei processi interni, è in grado di assumere il ruolo di Responsabile della sicurezza informatica definendo la giusta strategia di protezione degli assets aziendali dalla minaccia cyber.
Un’unica funzione aziendale per la sicurezza logica e la sicurezza fisica, inclusiva del ruolo di CISO – Chief Information Security Officer, potrebbe assicurare il coordinamento necessario nella gestione della sicurezza fisica e cyber di un’organizzazione critica.
In tal senso si era espressa anche la ISO/IEC 27014 – “Governance of Information Security”, per la quale la governance della sicurezza delle informazioni dovrebbe garantire che gli obiettivi di sicurezza delle informazioni siano completi e integrati e che le attività riguardanti la sicurezza fisica e logica siano strettamente coordinate.

Un sistema così centralizzato e coordinato, necessariamente a riporto del vertice aziendale, potrebbe assicurare:

  • coinvolgimento della funzione security di riferimento e delle figure specialistiche di security in tutte le attività gestionali e operative, sin dalla fase strategica delle attività di business;
  • conformità all’ampiezza e alla complessità (a livello nazionale e internazionale) del quadro normativo, tecnico e regolamentare di riferimento;
  • garanzia che la funzione security a tutti i livelli abbia la capacità di gestire emergenze e crisi, in un ambiente operativo volatile in tutto il mondo, dove gli accadimenti non sempre sono riconducibili solo ad un evento fisico o solo ad un evento cyber, ma spesso hanno cause concorrenti (si pensi ad esempio ad un attacco cyber ad un mezzo in navigazione, oppure ad una piattaforma petrolifera in perforazione, oppure ai danni di un aeroplano in volo, ovvero ai danni di una condotta sottomarina);
  • ottimizzazione, vale a dire utilizzo più efficiente delle risorse;
  • offerta di soluzioni di security ottimizzate per le operazioni del business;
  • analisi di impatto sui processi critici, piani di continuità operativa;
  • collegamento con ICT, funzione commerciale, Affari Legali e Compliance, entreprise risk management;
  • certificazione di beni o servizi considerati critici;
  • qualifica della catena di approvvigionamento per beni o servizi valutati come critici.

Una volta definito uno o più modelli tipo di organizzazione di security aziendale, che siano di riferimento per i Paesi membri UE, sarà più semplice sviluppare misure coordinate per garantire la continuità operativa di infrastrutture che sono critiche per l’economia, la salute, la sicurezza pubblica e privata.
Un supporto verrà anche da ENISA “Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione“  istituita nel 2004 che, con l’aggiornamento del “Cybersecurity Act” ha assunto un ruolo molto più operativo nella gestione di un cyberattacco, ed in materia di certificazione.
Il “Framework Nazionale per la Cybersecurity e la Data Protection”, versione italiana del più noto “Cybersecurity Framework” ideato dal NIST – “National Institute of Standard and Technology”, rappresenta poi uno strumento possibile in Italia per l’organizzazione della strategia di difesa rispetto alle minacce cibernetiche, un percorso che le organizzazioni – qualunque esse siano – potrebbero seguire per misurare la propria postura di cybersecurity in relazione al contesto di riferimento.

Ultima considerazione – ma non di minor valore – è quella relativa al fatto che l’adeguamento alle nuove norme europee in materia di sicurezza (fisica e logica) e resilienza comporterà anche un notevole impegno economico da parte degli operatori privati/entità critiche impattati, che dovrà essere considerato e regolato in fase di recepimento nazionale, per non compromettere la competitività degli stessi sul mercato.

Conclusioni

Riferimenti normativi comuni, linguaggio comune, un elevato livello di preparazione di chi è chiamato a ricoprire ruoli manageriali, ma soprattutto una funzione security integrata come unico interlocutore con le competenti entità nazionali governative, sono garanzie per l’ottenimento degli obiettivi comunitari di resilienza fissati dall’UE con le nuove direttive.
La buona notizia c’è, ed è quella che ormai non si può più tornare indietro”.

Corrado Miralli

È esperto in gestione delle emergenze e crisi, travel security e continuità operativa, sicurezza delle operazioni in ambito onshore e offshore in aree ad alto rischio, cyber security governance.

Proveniente dai Corsi dell’Accademia Militare di Modena (169°), ha prestato servizio nell’Arma dei Carabinieri fino al grado di Tenente Colonnello, ricoprendo anche incarichi investigativi presso il Raggruppamento Operativo Speciale (ROS) dei Carabinieri di Milano e Brescia, e presso la Direzione Investigativa Antimafia (DIA) di Milano, acquisendo esperienze con polizie estere in Canada, Brasile, Stati Uniti, Svizzera, Inghilterra, Spagna, Croazia, Bosnia e Slovenia. Ha conseguito la Laurea in Giurisprudenza presso l’Università La Sapienza di Roma e la Laurea in “Scienze della sicurezza interna ed esterna” presso l’Università Tor Vergata di Roma.

È senior security manager qualificato UNI 10459 ed ha ottenuto la certificazione in materia di business continuity di cui alla ISO 22301. Tra il 2022 ed il 2023 è stato Chair del BCI Italy Chapter.

Dal 2008 è Security Manager e Chief Information Security Officer (CISO) di Saipem SpA, nonché cultore della materia della security aziendale.

#Cybersecurity#Normative#Scenari#Security Management
Condividi questo articolo su:
Articoli correlati
Proofpoint ransomware LockBit Black
Cybersecurity

Ransomware LockBit Black distribuito da milioni di messaggi

“Dal 24 aprile 2024, ogni giorno per circa una settimana, milioni di messaggi hanno distribuito il ransomware LockBit Black”: a dare l’alert è Proofpoint e Selena Larson, Staff Threat Researcher and...
15 Maggio 2024 - Redazione
Ing. Cristina Andreoni e Adrio Andreoni Presidente ELAN al convegno CEI di Firenze
Attualità

ELAN e il CEI: la regola dell’arte e gli eventi

Quest’anno ELAN ha intrapreso un passo significativo entrando a far parte delle aziende associate al Comitato Elettrotecnico Italiano (CEI). “Questa decisione – sottolineano da ELAN – riflette il nostro impegno...
14 Maggio 2024 - Redazione
Sabrina Mazzanti Direttore Marketing South Western Europe Commvault
Cybersecurity

Commvault: Mazzanti Director of Marketing South Western Europe

Commvault promuove Sabrina Mazzanti a Director of Marketing South Western Europe. Mazzanti, in tale nuovo ruolo, avrà la responsabilità di guidare la strategia e le attività di marketing Commvault della...
13 Maggio 2024 - Redazione
Altre news da: Cybersecurity
Paolo Lossa CyberArk Italia identità fattore chiave sicurezza
Cybersecurity

Perché l’identità è sempre più un fattore chiave per la sicurezza?

Le identità, sia umane che macchina, sono al centro di tutti, o quasi, gli attacchi, divenendo così sempre più un fattore chiave per la sicurezza. A sottolinearlo Paolo Lossa, Country Sales...
7 Maggio 2024 - Redazione
Paolo Lossa Country Sales Director di CyberArk
Cybersecurity

Il World Password Day e l’Identity and Access Management

Il World Password Day, che si celebra il 2 maggio, è la giornata dedicata a sottolineare la necessità di assicurare sempre e nel modo migliore la protezione e il controllo...
29 Aprile 2024 - Redazione
Exprivia Apulia CyberSecurity Forum 2023 tavolo relatori evoluzione CyberSecurity
Cybersecurity

CyberSecurity nel pubblico e nel privato: evoluzione e soluzioni

In merito all’evoluzione della Cybersecurity nel Pubblico e nel Privato, S News incontra vari interlocutori per rilevare le soluzioni concrete delle nuove frontiere. Ecco le interviste ad Antonio De Chirico...
23 Aprile 2024 - Monica Bertolo

RIVISTA

Scarica l’ultimo numero in versione PDF.

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.