Premessa
La resilienza cibernetica pare porsi come un concetto catalizzatore ossia, in senso non necessariamente deteriore, una catchword in rapporto di generalità rispetto al concetto di sicurezza cibernetica.
Prendendo le mosse dalle fonti nazionali ed europee esistenti sul tema, indicate nel paragrafo successivo, si potrebbe affermare che mentre l’espressione ‘sicurezza cibernetica’ attiene ad alcuni aspetti tecnici specifici, quali la prevenzione e la risposta a minacce informatiche che possono danneggiare dati e infrastrutture informatiche, la resilienza cibernetica pare fare riferimento ad una dimensione normativa e organizzativa di maggiore ampiezza attinente alla gestione e protezione di reti e infrastrutture, alla identificazione e rilevazione delle minacce, alla risposta e ripristino della funzionalità dei servizi e alla governance cibernetica a garanzia della efficacia e efficienza delle reti e infrastrutture.
Il concetto di resilienza presenta una ricorsività circolare fra livello nazionale ed europeo che, a partire dal settore sanitario, - si veda la Comunicazione della Commissione
relativa a sistemi sanitari efficaci, accessibili e resilienti, COM(2014) 215 final, pp. 2 ss. - , spesso in luogo e in sostituzione di un altro overarching concept, ossia la sostenibilità economica dei sistemi sanitari, passando per il più recente Recovery and Resilience Facility come dispositivo di risposta alla crisi economica e sanitaria attuato dal regolamento UE n. 241 del 2021, sino ad arrivare a formare una specifica diadi con la sicurezza cibernetica avente la finalità di evidenziare le necessità dell’implementazione di strumenti complessi e multidimensionali di risposta alle crisi cibernetiche, considerato che le stesse stanno diventando sempre più raffinate, sofisticate e numerose.
Alcuni rapporti recenti, infatti, mettono in evidenza la crescita e l’evoluzione degli attacchi e delle minacce cibernetiche nel periodo più recente. In particolare, viene evidenziato come a partire dal 2020 si sia verificata una impennata degli attacchi cibernetici a livello globale. Nel 2020 viene registrato un aumento del 12% rispetto al 2019 e del 20% rispetto al 2017. La quantità degli attacchi rilevati nel 2020, infine, marca una differenza del 29% rispetto alla media delle minacce per anno del triennio precedente[1].
Le fonti normative in materia di resilienza cibernetica
Già nel Piano nazionale per la protezione cibernetica e la sicurezza informatica del marzo del 2107 viene enucleato un concetto embrionale di resilienza informatica come ‘approccio reattivo integrato [….] seguendo procedure testate, proiettate a garantire la disponibilità dei servizi erogati’[2].
Il sostrato normativo su cui si innesta questo nuovo paradigma della resilienza cibernetica è alquanto complesso e stratificato a livello europeo e nazionale.
A livello europeo dobbiamo menzionare la Direttiva n. 114 del 2008 relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione; la Direttiva n. 1148 del 2016 relativa alla sicurezza delle reti e dei sistemi informativi; il Regolamento n. 881 del 2019 relativo all’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza, e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento UE n. 526/2013.
La nuova proposta europea di Direttiva NIS2, che abroga la Direttiva 1148 del 2016 relativa alla sicurezza delle reti e dei sistemi informativi, è coerente con le recenti proposte normative europee finalizzate a corroborare la resilienza cibernetica, quali la proposta di regolamento relativo alla resilienza operativa digitale per il settore finanziario[3] e la proposta di direttiva sulla resilienza degli operatori critici di servizi essenziali[4].
A livello nazionale occorre menzionare, oltre al DPCM del 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali” e alla Circolare Agid n. 2 del 2017 “Misure minime di sicurezza ICT per le pubbliche amministrazioni”, il D. Lgs. n. 65 del 2018 “Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione”, il decreto legge 21 settembre 2019, n. 105, convertito con modificazioni dalla legge 133 del 2019, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica - a cui talune modifiche sono state apportate dal decreto legge n. 162 del 2019, convertito con modificazioni dalla legge n. 8 del 2020, in materia di proroga dei termini e altre disposizioni sulla pubblica amministrazione -.
In attuazione del decreto legge n. 105 sono stati adottati il DPCM del 30 luglio 2020, n. 131, che ha individuato criteri e modalità per la definizione dei soggetti inclusi nel perimetro nazionale di sicurezza cibernetica, e il DPCM del 14 aprile 2021, n. 81, che stabilisce le modalità per la notifica nel caso di incidenti riguardanti beni ITC.
Il decreto legge n. 82 del 2021 “Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale”, convertito con modificazioni dalla legge 109 del 2021, ha proceduto a definire la governance nazionale di sicurezza cibernetica e ha istituito l’Agenzia per la cybersicurezza nazionale.
Tale normativa completa la strategia di resilienza cibernetica nazionale, avviata con la disciplina sul perimetro cibernetico (istituito dall’art. 1, c. 1, D.L. n. 105/2019), e accresce, attraverso la promozione della cultura della sicurezza cibernetica, la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.
L’Agenzia per la cybersicurezza nazionale (ACN) è chiamata a operare sotto la responsabilità del Presidente del Consiglio dei ministri e dell’Autorità delegata per la sicurezza della Repubblica e in stretto raccordo con il Sistema di informazione per la sicurezza della Repubblica ed è incaricata di esercitare le previste funzioni di Autorità a tutela degli interessi nazionali in materia di cybersecurity e possiede le funzioni di garante della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche. Da un parte, nel primo ambito è chiamata a contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD) e ad assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica. Dall’altra, nel secondo ambito è chiamata a sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale e a supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore.
La resilienza cibernetica nel PNRR e nella Strategia nazionale di sicurezza cibernetica
La pandemia ha fatto emergere la consapevolezza dell’importanza della sicurezza e della efficienza delle reti delle infrastrutture informatiche e, infatti, a seguito della pandemia sono state adottate le più importanti norme a livello europeo e nazionale sul tema.
Più in generale, i tentativi di risposta alle varie crisi che sono state determinate dalla pandemia e che attengono a differenti dimensioni istituzionali e sociali, pensiamo alla crisi economica, alla crisi sanitaria, alla crisi delle stesse istituzioni che si sono trovate a fronteggiare problematiche complessissime e multidimensionali, hanno portato alla ricerca di meccanismi di resilienza diversificati e che coprono un ampio spettro di ambiti materiali.
Nel Piano Nazionale di Ripresa e Resilienza (PNRR)[5] si fa riferimento al concetto di resilienza in molteplici punti e il Piano pare, innanzitutto, recuperare in primis tale nozione nel suo senso originario[6], ossia riferito alla resilienza di tipo sanitario, per poi impiegarla in relazione al sistema economico[7] e all’ambito climatico[8].
Il PNRR alloca, poi, apposite risorse mirate al rafforzamento della protezione cibernetica e al potenziamento della resilienza delle reti e delle infrastrutture informatiche a partire dalle funzioni e dai servizi essenziali dello Stato e della sua filiera informatica. Tali misure sono state pensate al fine di sfruttare al massimo le potenzialità della transizione digitale garantendo alti standard di sicurezza e protezione dei dati.
Anche nella Strategia nazionale di cybersicurezza (2022-2026) il concetto di resilienza appare uno strumento concettuale centrale rispetto al discorso sulla sicurezza cibernetica e all’apparato di misure finalizzate a garantire la sicurezza cibernetica.
La Strategia nazionale è stata approvata lo scorso 18 maggio 2022 dal Comitato Interministeriale per la Cybersicurezza, presieduto dal Presidente del Consiglio dei ministri, congiuntamente all’annesso Piano di implementazione. La Strategia nazionale costituisce un documento di indirizzo la cui attuazione viene affidata agli 82 punti indicati nel Piano di implementazione.
La Strategia si colloca all’interno di un sostrato normativo europeo e nazionale in pieno fermento nell’ambito della sicurezza e della resilienza cibernetica.
A livello europeo, l’Unione europea sta adottando e proponendo una serie di atti con la finalità di mettere al riparo da minacce gli stati e gli enti più esposti in un contesto di piena e progressiva digitalizzazione dei servizi all’interno di una prospettiva di rapida trasformazione degli equilibri geopolitici. In questo ipotetico elenco, oltre ai documenti già menzionati, si deve fare riferimento anche al Digital Operational Resilience Act[9], al Cyber Resilience Act[10], all’Artificial Intelligence Act[11], al Digital Services Act[12].
La strategia si pone sostanzialmente una serie di obiettivi strategici, fra i quali, i più importanti, sono i seguenti: assicurare la resilienza della PA e del tessuto industriale, garantire la digitalizzazione del Paese che deve essere guidata dalla cybersecurity, anche nell’ottica di conseguire l’autonomia strategica nazionale, anticipare l’evoluzione delle minacce cyber e contrastare la disinformazione; consentire l’adozione di un approccio il più possibile security-oriented.
Nei due documenti menzionati è indubbio che un nuovo paradigma venga introdotto nell’ambito del settore cibernetico attraverso il riferimento alla capacità dei sistemi di resistere e rispondere alle varie crisi che si possono verificare e che possono incidere sulla vita di un Paese. Tutta una serie di rilevantissime questioni connesse alla resilienza e alla sicurezza cibernetica vengono delineate, quali il rafforzamento della resilienza nella transizione digitale del paese, l’anticipazione della evoluzione costante della minaccia cibernetica e la gestione continua delle crisi cibernetiche.
La resilienza cibernetica, a fianco della sicurezza cibernetica, si pone, dunque, fra le misure che consentono una difesa nazionale delle reti, dei sistemi informatici, dei servizi e delle infrastrutture e consentono la continuità dello svolgimento delle attività istituzionali del Paese soprattutto in riferimento ai servizi essenziali (cfr. misura 12; misura 21; misura 39)[13].
[1] Si veda ad esempio, il Rapporto Clusit sulla sicurezza ICT in Italia, 2021, pp. 15 ss.
[2] Cfr. Piano nazionale per la protezione cibernetica e la sicurezza informatica, marzo 2107, p. 23, che si pone in linea di continuità con il Piano nazionale per la protezione cibernetica e la sicurezza informatica del 2013. Cfr. il DPCM 24 gennaio 2013, recante “Indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”, che ha delineato all’art. 1 “in un contesto unitario e integrato l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali, indicando a tal fine i compiti affidati a ciascuna componente ed i meccanismi e le procedure da seguire ai fini della riduzione della vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi”.
[3] Cfr. Proposta di Regolamento del Parlamento Europeo e del Consiglio relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014 e (UE) n. 909/2014, COM(2020) 595 final, 24/09/2020.
[4] Cfr. Proposta di Direttiva del Parlamento europeo e del Consiglio sulla resilienza dei soggetti critici, COM(2020) 829 final, 16/12/2020.
[5] veda il Piano di ripresa e resilienza trasmesso il 30 aprile 2021 alla Commissione europea e la Decisione di esecuzione del Consiglio relativa all’approvazione della valutazione del piano per la ripresa e la resilienza dell’Italia, Bruxelles, 13 luglio 2021.
[6] Cfr. Piano nazionale di ripresa e resilienza, p. 30. In riferimento al sistema sanitario viene adottata la raccomandazione di “Rafforzare la resilienza e la capacità del sistema sanitario per quanto riguarda gli operatori sanitari, i prodotti medici essenziali e le infrastrutture; migliorare il coordinamento tra autorità nazionali e regionali”. Cfr. anche pp. 32 del Piano.
[7] Cfr. Piano nazionale di ripresa e resilienza, pp. 102 e 106.
[8] Cfr. Piano nazionale di ripresa e resilienza, pp. 126, 129, 131, 136.
[9] Cfr. Proposta di regolamento del Parlamento europeo e del Consiglio relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014 e (UE) n. 909/2014, COM(2020) 595 final.
[10] La proposta è in programma per il 2022, cfr. Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions, Commission work programme 2022, Making Europe stronger together, COM(2021) 645 final.
[11] Proposal for a regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (artificial intelligence act) and amending certain union legislative acts, COM/2021/206 final.
[12] Proposal for a regulation of the European Parliament and of the Council on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC, COM/2020/825 final.
[13] Cfr. Misura 12: ‘Continuare ad accrescere le capacità nazionali di difesa, resilienza, contrasto al crimine e cyber intelligence, rafforzando ulteriormente la situational awareness mediante il monitoraggio continuo e l’analisi di minacce, vulnerabilità e attacchi, secondo gli specifici ambiti di competenza’; Misura 21: ‘Promuovere lo sviluppo e l’implementazione di un servizio nazionale di gestione delle copie dei backup “a freddo”, al fine di offrire, alle Pubbliche Amministrazioni e operatori privati, un’infrastruttura con alti livelli di resilienza a supporto di una pronta riattivazione di sistemi e servizi a seguito di guasti o incidenti’; Misura 39: ‘Promuovere e coordinare la partecipazione a esercitazioni europee e internazionali che riguardano la simulazione di eventi di natura cibernetica, al fine di innalzare la resilienza del Paese’.