Isabella Alessandrucci – Avvera.s.r.l.
Il 22.9.2019 è entrato in vigore il Decreto Legge n. 105/2019 che definisce il perimetro di sicurezza nazionale cibernetica. Entro quattro mesi il Presidente del Consiglio dei Ministri individuerà le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, in esso inclusi, scelti tra quelli che svolgono una funzione essenziale dello Stato ovvero di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato svolti attraverso le reti, sistemi informativi e servizi informatici dal cui potenziale “malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale”.
Rispetto al recentissimo D.Lgs. n. 65/2018, di recepimento della direttiva NIS (Direttiva (UE) 2016/1148) volto ad assegnare agli Stati membri il dovere di adottare una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi che definisca gli obiettivi strategici e le opportune misure strategiche e regolamentari al fine di conseguire e mantenere un livello elevato di sicurezza delle reti e dei sistemi informativi e che, a tale scopo, identifica gli Operatori di Servizi Essenziali (OSE) e i Fornitori di Servizi Digitali (FSD), il Decreto Legge n. 105/2019 sembra, prima facie, avere ambito applicativo più esteso diretto a ricomprendere, almeno, tali soggetti e categorie di servizi. In tale corollario si colloca anche il Regolamento (UE) 2019/881 (c.d. Cybersecurity Act), reso esecutivo dal 27.6.2019. Completa il quadro normativo volto alla realizzazione di un unico mercato digitale che assicuri un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione il Regolamento (UE) 2016/679 dedicato, come noto, alla protezione dei dati personali. L’incipit comune a tale variegato panorama normativo è l’assunzione del principio di accountability che permea da ogni disposizione legislativa. Anche il settore pubblicistico si è adeguato ad adottare misure volte a garantire la sicurezza informatica con l’adozione di specifiche “Misure minime per la sicurezza ICT delle Pubbliche amministrazioni”.
Con il dichiarato intento di affiancare gli Operatori di Servizi Essenziali (OSE), le Autorità dei rispettivi settori di competenza, hanno adottato, il 4.7.2019, le Linee guida per la gestione dei rischi, prevenzione e mitigazione degli incidenti aventi impatto rilevante sulla continuità e sulla fornitura di servizi essenziali ed ha assegnato loro un termine massimo di adeguamento. Tale documento si ispira al Framework Nazionale per Cybersecurity e la Data Protection elaborato dal CIS-Sapienza e CINI. Ogni organizzazione deve individuare la funzione, la categoria, ciascuna subcategoria ad essa legata e contestualizzarla anche parametrando i relativi livelli di priorità e maturità dell’apparato di sicurezza adottato e da implementare. Ad ogni sottocategoria sono raccomandati gli standard di riferimento (tra tutti, ISO/IEC 27001, COBIT 5, CIS CSC, Misure Minime AgID, ISO/IEC 29100, ISO/IEC 29134). Il framework prevede 5 funzioni di: Identify, quale definizione del contesto e degli asset a supporto dei processi critici, Protection, come censimento delle misure di protezione dei processi di business e degli asset, Detect, identificazione degli incidenti di sicurezza informatica, Respond come attività di intervento post incidente, Recover quale censimento di tutte le attività di ripristino dei processi e dei servizi.
Al fine di fornire un supporto tecnico e pragmatico alle aziende, il mondo delle certificazioni ha adottato una serie di norme specificamente rivolte a presidiare la sicurezza anche in ambito ICT ma non solo. La loro importanza come standard di riferimento e best practice viene ulteriormente sottolineata dallo specifico rinvio che il Framework Nazionale per Cybersecurity e la Data Protection ad essi ampiamente svolge. Tra loro ampiamente implementata è la UNI CEI EN ISO/IEC 27001:2017 come sistema di gestione per la sicurezza delle informazioni, tout court, e le Linee guida ad essa connesse, quali la UNI CEI EN ISO/IEC 27002:2017 (Information technology – Security techniques – Code of practice for information security controls), la ISO/IEC 27005:2018 (Information technology — Security techniques — Information security risk management) e la UNI CEI ISO/IEC 29100:2015 (Tecnologie informatiche – Tecniche per la sicurezza – Quadro di riferimento per la privacy). Del pari la Linea guida ISO/IEC 29151:2017 (Information technology – Security techniques – Code of practice for personally identifiable information protection) e la norma ISO/IEC 29134:2017 (Information technology – Security techniques – Guidelines for privacy impact assessment) specifica per il risk assessment e la UNI EN ISO 27799:2017 (Health informatics – Information security management in health using ISO/IEC 27002) per il mondo sanitario. Da ultimo, è stato emanato lo standard ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines, come estensione della più celebre norma UNI CEI EN ISO/IEC 27001:2017 ed è specifica per la gestione del Personally Identifiable Information (PII).
Seppur il settore privato e pubblico attinge ampiamente da tali standard per certificare la loro organizzazione conforme e “sicura” dal punto di vista cibernetico e non solo, per quanto riguarda la protezione dei dati occorre attendere che, in ossequio a quanto disposto dall’art. 42 del Regolamento (UE) 2016/679, il Garante adotti i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione in subiecta materia.