Multe, analisi del rischio, obblighi di notifica e sicurezza della catena di fornitura. La padronanza dei regolamenti UE e delle normative nazionali per rispondere alle esigenze di cybersecurity e resilienza
I più noti regolamenti europei in ambito cybersecurity sono la semplice risposta alla crisi della società informatica moderna. Gli incidenti e gli attacchi informatici crescono da diversi anni e ormai anche il grande pubblico ne è consapevole. I disastri affliggono le nostre aziende e la pubblica amministrazione ed è stato necessario approvare leggi specifiche per cercare di tutelare l’interesse comune perché le stesse aziende e la PA, per motivi diversi, erano incapaci di correre ai ripari in forma autonoma. Tra quelle europee ormai ben conosciute troviamo il GDPR, la NIS2 e DORA. In Italia l’ultima arrivata è la legge 90/24 del 2 luglio “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”.
La sequenza temporale di regolamenti e direttive mostra l’evoluzione dell’approccio dell’UE alla cybersecurity, partendo da normative più generali sulla sicurezza digitale e l’identità elettronica, passando per la protezione dei dati, fino ad arrivare a regolamenti più specifici e mirati sulla resilienza cyber e la sicurezza delle infrastrutture critiche. A parte gli obiettivi europei di armonizzazione, semplificazione e libero scambio, alcuni aspetti comuni di queste norme riguardano le multe, l’analisi del rischio, gli obblighi di notifica e la sicurezza della catena di fornitura.
LE MULTE
Il fatto che le sanzioni previste si basino sul fatturato annuo realizzato, per i soggetti internazionali ovunque nel mondo (nel caso del GDPR il 4%), e non soltanto sugli importi assoluti, le rende significative ed efficaci. Chiaramente questo criterio preoccupa molto le grandi corporate internazionali, i grandi cloud provider e i cosiddetti “gatekeeper” che cercano attivamente di essere conformi.
L’ANALISI DEL RISCHIO
Invece di definire aprioristicamente una serie di misure tecniche e organizzative da implementare, è richiesto al soggetto regolamentato di fare da sé l’analisi del rischio per identificare quelle appropriate. In questo senso, gli si demanda la scelta di quali misure devono essere usate per ridurre il rischio di produrre un danno a terzi, al mercato o alla società nel complesso. Precedentemente in Italia, la legge prevedeva esattamente cosa fare (per esempio aggiornare l’antivirus almeno ogni sei mesi) e questo approccio è chiaramente fallimentare in un contesto tecnologico in forte evoluzione. Il nuovo approccio richiede di svolgere l’analisi di quello che può succedere, valutarlo e agire di conseguenza. Ciò implica che in assenza di altre norme specifiche, l’azienda è libera di scegliere cosa fare. La cosa è evidente nel caso dell’articolo 32 del GDPR che richiede l’analisi del rischio e l’adozione di misure adeguate […] anche “tenendo conto dei costi di attuazione”. Avendo lasciato questo margine di manovra, le eventuali controversie sull’aver o meno operato correttamente saranno ovviamente lasciate alle autorità e ai periti di parte che fanno riferimento al buon senso e alle migliori pratiche internazionali.
OBBLIGHI DI NOTIFICA
Chi subisce un incidente deve sempre segnalarlo all’autorità competente. Purtroppo non sono stati definititi dei tempi minimi per tutte le situazioni e le autorità coinvolte sono diverse a seconda dei casi.
SICUREZZA DELLA CATENA DI FORNITURA
Il fattore di trasformazione più significativo per l’intero sistema produttivo è l’obbligo, imposto a specifici attori come le grandi imprese, di verificare la sicurezza dei propri fornitori. Sebbene un riferimento fosse già presente nel GDPR, che definisce i ruoli di titolare e responsabile, è con i regolamenti DORA e NIS2 che questa responsabilità assume un ruolo centrale. In questo modo, il legislatore riesce a ottenere l’obiettivo sociale, creando i presupposti di controlli a cascata.
Alessandro Vallega Comitato Scientifico CLUSIT
