In un mondo sempre più virtuale, dove anche la quotidianità si fonde con l’universo digitale, la consapevolezza collettiva dell’importanza della cybersecurity diventa fondamentale, imponendoci di investire tempo e risorse sulla sicurezza informatica al fine di tutelare l’uso domestico e professionale della tecnologia, la nostra privacy ed i nostri dati.
Va da sé che una protezione totale da ogni attacco o minaccia informatica è irrealizzabile, in primo luogo perché le competenze securitarie in ambito di Information Technology non riescono a tenere il passo con le nuove tecnologie. Infatti, oltre ad utenti spesso con competenze tecniche non adeguate, la mancanza di risorse economiche da destinare all’hardware o al software obbliga all’utilizzo di strumenti e dispositivi tecnologici obsoleti facilmente violabili. In secondo luogo, perché ad ogni perfezionamento delle tecniche di anti-hackering corrisponde un inevitabile progresso degli hacker, essendo proprio questi ultimi con i propri attacchi ad imporre dei sistemi di protezione sempre più sofisticati.
A seguito degli attentati terroristici avvenuti a Madrid nel marzo 2004 e a Londra nel luglio 2005, l’Unione Europea si è attivata al fine di migliorare le strategie nazionali di cybersecurity, attraverso la cooperazione e il rafforzamento delle capacità dei vari Computer Security Incident Response Team e gli studi sull’adozione sicura del Cloud, raffinando tecnologie di protezione della vita privata e della privacy nelle tecnologie emergenti, aumentando così la fiducia nei servizi digitali e identificando il panorama delle minacce informatiche.
Il Parlamento europeo ha, infatti, approvato una risoluzione del 12 settembre 2013 sulla strategia dell’Unione Europea per la cybersicurezza: un cyberspazio aperto e sicuro che, oltre ad invitare gli Stati membri ad adottare delle normative nazionali in materia di sicurezza delle reti e dei sistemi informativi per prevenire e rispondere ad eventuali perturbazioni e attacchi intrusivi, ha facilitato la pubblicazione della Direttiva UE 2016/1148, meglio conosciuta come la Direttiva NIS (Network and Information Security).
La Direttiva recepita in Italia, con il D.lgs. 18 maggio 2018 n. 65, noto con il nome di Decreto legislativo NIS, delinea delle specifiche misure di sicurezza delle reti e dei sistemi informativi in ambito nazionale e che se adottate dagli Stati membri, garantirebbero un livello elevato di protezione anche in ambito europeo.
A tal fine la Direttiva NIS ha istituito un Gruppo di Cooperazione[1], destinato a rafforzare la fiducia tra gli Stati membri, la loro cooperazione strategica, lo scambio di informazioni, coadiuvato da una rete di gruppi di intervento per la sicurezza informatica[2] legittimata ad intervenire in caso di incidente, definendo come tale ogni evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi[3].
La richiamata Direttiva rappresenta dunque il fulcro della strategia per la cybersicurezza, imponendo alle aziende che operano sul web e agli operatori di infrastrutture principali, quali piattaforme di commercio elettronico, banche e assistenza sanitaria, il perseguimento di un ambiente digitale sicuro e livelli di corretta competitività del mercato unico digitale.
In settori quali quello dei servizi finanziari, dei trasporti, dell’energia, dell’assistenza sanitaria e delle pubbliche amministrazioni in genere è imposta, a norma di convenzioni e/o accordi ad hoc, la segnalazione di eventuali incidenti, al fine di migliorare la gestione dei rischi e garantire lo scambio di informazioni tra il settore privato e quello pubblico.
Oggi la Direttiva NIS è stata affiancata dal Regolamento UE n. 2019/881 del Parlamento Europeo e del Consiglio 17 aprile 2019 noto anche come Cybersecurity Act (CSA), composto da un Allegato concernente i requisiti che gli organismi di valutazione della conformità devono soddisfare e sessantanove articoli suddivisi in quattro Titoli.
Il CSA in parte complementare alla Direttiva de quo, si prefigge come obiettivi il rafforzamento della resilienza dell’UE rispetto agli attacchi informatici; la generazione di un mercato unico della cybersecurity in termini di prodotti, servizi, processi di comunicazione, elaborazione di dati ed informazioni; l’aumento della fiducia dei consumatori nei confronti delle tecnologie digitali, conseguito con il rafforzamento dell’alfabetizzazione e dell’igiene informatica. Intendendosi per igiene informatica le misure di routine che le imprese, i privati e le organizzazioni devono attuare allo scopo di ridurre i rischi di una potenziale minaccia informatica.
Il Regolamento al Titolo I concerne le disposizioni generali, esplicando l’oggetto, l’ambito di applicazione e le definizioni; al Titolo II declina il mandato, gli obiettivi, i compiti, l’organizzazione, la formazione e la struttura del bilancio, il personale e le disposizioni generali dell’European Network and Information Security Emergency (ENISA) che costituisce l’Agenzia dell’Unione europea per la sicurezza cibernetica. In particolare, essa si compone di un consiglio di amministrazione, di un comitato esecutivo e di un direttore esecutivo. Ha numerose responsabilità, tra cui quella di provvedere all’amministrazione corrente dell’Agenzia; attuare le decisioni adottate dal consiglio di amministrazione; preparare il documento unico di programmazione e presentarlo al consiglio per l’approvazione prima di trasmetterlo alla Commissione; predisporre, oltre che il progetto di stato di previsione delle entrate e delle spese dell’ENISA, l’esecuzione del bilancio; proteggere gli interessi finanziari dell’Unione mediante l’applicazione di misure preventive contro la frode, la corruzione e qualsiasi altra attività illecita, mediante controlli efficaci e, in caso di irregolarità rilevate, mediante il recupero degli importi erroneamente versati e, se del caso, mediante sanzioni amministrative e pecuniarie efficaci, proporzionate e dissuasive[4]. Il Titolo III è dedicato al quadro di certificazione della cybersicurezza, mentre al Titolo IV vengono statuite le disposizioni finali.
Sul piano nazionale, alla luce di quanto premesso, in considerazione della vulnerabilità delle reti e dei sistemi informativi italiani e considerata la necessità, oltre che l’urgenza, di dare attuazione al Piano Nazionale di Ripresa e Resilienza (PNRR), approvato definitivamente il 13 luglio 2021 con decisione di esecuzione del Consiglio dei ministri, non stupisce come la cybersecurity rivesta un ruolo fondamentale non solo in Europa, rientrando nella prima delle sei missioni previste dal PNRR nell’ambito della quale è espressamente prevista all’interno della Componente n. 1[5]. Pertanto, al fine di ridefinire l’architettura nazionale in materia di cybersecurity e adeguarsi al quadro normativo europeo è stata prevista l’istituzione, mediante il Decreto Legislativo n. 82/2021, di un’apposita Agenzia per la Cybersicurezza Nazionale.
Istituita, a tutela degli interessi nazionali nel campo della cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico, l’Agenzia nazionale competente e punto unico in materia di sicurezza delle reti e dei sistemi informativi gode di personalità giuridica di diritto pubblico, di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria[6].
Al suo vertice è posto il direttore generale che, oltre a rappresentare legalmente l’Agenzia, è il referente diretto del Presidente del Consiglio dei ministri, al quale spettano la sua nomina ed eventualmente revoca.
Per quanto concerne le funzioni dell’Agenzia per la cybersicurezza nazionale, l’articolo 7 del decreto-legge n. 82/2021 elenca una pluralità di funzioni. In primo luogo, l’Agenzia svolge una funzione di coordinamento tra i soggetti pubblici competenti nel settore; promuove la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni[7]; predispone la strategia nazionale di cybersicurezza[8].
Sono anche affidate all’Agenzia le funzioni di certificazione della sicurezza cibernetica statuite ai sensi dell’articolo 58 del Regolamento UE 2019/881 e tutte le funzioni già attribuite al Ministero dello sviluppo economico dall’ordinamento vigente, comprese quelle relative all’accertamento delle violazioni e all’irrogazione delle sanzioni[9]. Infine, oltre ad assumere tutte le funzioni di vigilanza attribuite alla presidenza del Consiglio dei ministri, è tenuta a curare e promuovere la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel campo della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale. Proprio in ragione di ciò, l’Agenzia esprime pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersecurity[10]. Infine, svolge ogni necessaria attività di supporto al funzionamento del Nucleo per la cybersicurezza[11], il quale coadiuva il Presidente del Consiglio dei ministri, sia in merito agli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi, sia per l’attivazione delle procedure di allertamento.
La molteplicità di atti normativi emanati in materia di cybersecurity sia a livello europeo che nazionale ha contribuito a creare un quadro normativo estremamente complesso fatto di norme e disposizioni tecniche su cui il giurista dovrà necessariamente confrontarsi.
Beatrice Rubis
BIBLIOGRAFIA:
Cybersecurity law. Disciplina italiana ed europea della sicurezza cibernetica anche alla luce delle norme tecniche, a cura di Alfonso Contaldo e Davide Mula, Pacini Giuridica, 2020.
SITI WEB:https://www.gazzettaufficiale.it/eli/id/2021/06/14/21G00098/sghttps://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32019R0881&from=PThttps://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016L1148&from=CShttps://www.gazzettaufficiale.it/eli/id/2018/06/09/18G00092/sg
[1] Art. 11 Direttiva UE 2016/1148.
[2] Art. 12 Direttiva UE 2016/1148.
[3] Art. 4 Direttiva UE 2016/1148.
[4] Art. 20 Regolamento UE 2019/881.
[5] In particolare sono destinati alla cybersecurity 0,62 Mld.
[6] Art. 5, comma 2, D.L. n. 82/2021.
[7] Art. 7, comma 1, lett. a), D.L. n. 82/2021.
[8] Art. 7, comma 1, lett. b), D.L. n. 82/2021.
[9] Art. 7, comma 1, lett. e), D.L. n. 82/2021.
[10] Art. 7, comma 1, lett. p), D.L. n. 82/2021.
[11] Art. 7, comma 1, lett. c), D.L. n. 82/2021.