Cyber-security: le difese internazionali e in Italia

Cyber-security: le difese internazionali e in Italia

Sono 1.552 gli attacchi informatici rilevati dal Clusit (Associazione Italiana per la Sicurezza Informatica) nel 2018, +38% rispetto all’anno precedente, una media di oltre 4 episodi gravi ogni giorno, sempre più devastanti. Secondo l’Osservatorio Information Security & privacy Politecnico di Milano, il mercato italiano delle soluzioni di Security & Privacy, seppur in crescita nel 2018 del 9%, vale solo 1,19 miliardi di euro. La crescita deriva sostanzialmente dall’adeguamento obbligatorio al GDPR, che si è aggiunto alla spesa delle componenti di sicurezza tradizionali.

DALLA MINACCIA ALLA DIFESA

Negli ultimi anni sono stati fatti passi avanti, che fanno comprendere che la cyber security è finalmente assurta a priorità nelle agende politiche internazionali e che si è giunti ad un adeguato livello di awareness gobale.

L’ultimo quinquennio è stato caratterizzato da un generalizzato aumento del livello di attenzione intorno al tema della cyber security. Da questione riservata a consessi tecnici ristretti, ha guadagnato il suo spazio all’interno delle agende di governi e istituzioni in tutto il mondo, come del resto era inevitabile alla luce della sempre più incombente “minaccia cibernetica“.

L’Italia, dal canto suo, ha compiuto recentemente alcuni significativi passi nella giusta direzione, uniformandosi al nuovo “sentiment” in tema di sicurezza cibernetica e recependo le linee di azione tracciate a livello europeo con i regolamenti e le direttive precedentemente analizzate.

LE DIFESE A LIVELLO INTERNAZIONALE

Non è un caso, ad esempio, che a margine del G7 dei ministri degli esteri e del G7 industria, entrambi tenutisi nel 2017 in Italia (rispettivamente a Lucca e a Torino), siano stati prodotti due documenti specificamente dedicati alla cyber security: il primo, datato 11 aprile 2017 ed intitolato “G7 Declaration On Responsible States Behavior In Cyberspace”, contiene una sorta di impegno condiviso alla cooperazione internazionale per la realizzazione di uno spazio cibernetico aperto, accessibile, affidabile e sicuro; il secondo, datato 26 settembre 2017 ed intitolato “G7 Actions For Enhancing Cybersecurity For Businesses”, si concentra invece sull’individuazione di una serie di procedure condivise di risk management per rafforzare la resilienza dello spazio cibernetico in cui operano le imprese private.

Sulla stessa lunghezza d’onda, autorevoli voci del mondo politico e imprenditoriale, come quella di Warren Buffet, si sono spinte persino a dire che i rischi in ambito cyber saranno il principale problema dell’umanità da qui agli anni a venire, rappresentando essi, ad oggi, un territorio di fatto inesplorato e dal potenziale critico catastrofico per le infrastrutture informative degli Stati moderni.

LE DIFESE A LIVELLO EUROPEO

I primi impulsi di natura regolamentare sul tema della cyber-security si devono all’Unione Europea, che a partire dal 2013 ha emanato una serie di provvedimenti che vanno nella direzione del rafforzamento della resilienza del proprio spazio cibernetico e identificano alcuni principi strategici, operativi e organizzativi per la gestione comune della minaccia cyber e lo sviluppo di risorse tecnologiche in grado di garantire un adeguato livello di difesa delle infrastrutture informative.

Gli interventi più significativi in tal senso sono:

  • l’emanazione, in data 21 maggio 2013, del Regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio, relativo all’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA);
  • l’adozione, in data 6 luglio 2016, della direttiva sulla sicurezza delle reti e dei sistemi informativi (meglio nota come “direttiva NIS” 2016/1148 del Parlamento europeo e del Consiglio), recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione;
  • l’emanazione, in data 12 marzo 2019, del Regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio che abroga il regolamento (UE) sull’ENISA, relativo alla certificazione della sicurezza cibernetica per le tecnologie dell’informazione e della comunicazione (conosciuto come “Cybersecurity Act“).

 

LA DIRETTIVA NIS

Con il Decreto Legislativo 18 maggio 2018, n.65, pubblicato sulla Gazzetta Ufficiale n.132 del 9 giugno 2018, l’Italia ha dato attuazione alla Direttiva (UE) 2016/1148, cosiddetta Direttiva NIS (Network and Information Security). Il legislatore europeo nella redazione della direttiva non ha adottato un orientamento prescrittivo. Il testo infatti non pone delle misure obbligatorie minimali da seguire pedissequamente, ma indica gli obiettivi da raggiungere lasciando ai singoli soggetti un ampio margine di manovra nell’individuare e implementare mezzi e strumenti considerati idonei per il loro raggiungimento.

La Direttiva NIS affronta per la prima volta a livello europeo, il tema della cyber security e definisce le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi, Tale decreto si applica agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD). Gli OSE sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. Gli FSD sono le persone giuridiche che forniscono servizi di e-commerce, cloud .Rientrano nella direttiva gli FSD con meno di 50 dipendenti e un fatturato o bilancio annuo inferiore a 50 milioni di euro.

COSA FA L’ITALIA PER LA SUA CYBER-SECURITY

L’Italia, dal canto suo, ha compiuto recentemente alcuni significativi passi nella giusta direzione, con il recepimento delle linee di azione tracciate a livello europeo attraverso i regolamenti e le direttive precedentemente analizzate.

I principali provvedimenti che hanno caratterizzato il panorama normativo cyber italiano nell’ultimo quinquennio sono:

  • Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico (QSN), delineato con decreto del Presidente del Consiglio dei ministri del 27 gennaio 2014 e recante gli indirizzi strategici attraverso cui “perseguire l’accrescimento delle capacità del Paese di prevenire e rispondere in maniera compartecipata alle sfide poste dallo spazio cibernetico”;
  • Decreto del Presidente del Consiglio dei Ministri del 17 febbraio 2017 (meglio noto come “Decreto Gentiloni”), recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali e dedicato nello specifico alla definizione della “architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali”;
  • Piano Nazionale per la protezione cibernetica e la sicurezza informatica,emanato a marzo 2017 dalla Presidenza del Consiglio dei Ministri in attuazione delle previsioni del Decreto Gentiloni ed in continuità con l’omologo Piano Nazionale del biennio 2014-2015, recante gli undici indirizzi operativi individuati per dare seguito alle linee strategiche contenute nei sopra citati documenti;
  • Decreto Legislativo 18 maggio 2018, n. 65, in attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio del 6 luglio 2016 (direttiva NIS), recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione;
  • Piano triennale per l’informatica nella Pubblica Amministrazione 2019-2021, redatto da AgID e approvato in data 12 marzo 2019 dal Ministro per la Funzione Pubblica Giulia Bongiorno, recante, in continuità con l’omologo Piano relativo al triennio precedente, le linee guida per gestire in maniera sicura e inclusiva il processo di trasformazione digitale della PA.

 

L’ARCHITETTURA DI DIFESA ITALIANA

Quadro Strategico, Decreto Gentiloni e Piano Nazionale sono incentrati sulla individuazione di una serie di standard operativi ed organizzativi che consentano una gestione coordinata, efficiente ed integrata del processo di protezione dello spazio cibernetico nazionale. La attuale configurazione dell’architettura nazionale cyber, cui si è giunti dopo una serie di interventi tesi a razionalizzarne la struttura inizialmente delineata nel 2013, presenta una semplificazione delle procedure ordinarie e straordinarie di gestione delle attività, una rimodulazione degli Organi che fanno parte del sistema di protezione e una complessiva contrazione della “catena di comando” deputata alla gestione delle crisi.

Fra le novità introdotte dal Piano Nazionale del 2017, particolare interesse riveste l’ampliamento dei poteri del Nucleo per la Sicurezza Cibernetica (NSC), cui viene riservata una collocazione centrale nella catena di governance dell’architettura nazionale. Il Nucleo, composto da rappresentanti dei ministeri principali, delle agenzie di intelligence, del Dipartimento della protezione civile e dell’Agenzia per l’Italia digitale, viene ricondotto all’interno del DIS e gli viene attribuita la funzione di coordinamento fra i vari attori che lo compongono sia nello svolgimento dell’attività ordinaria sia in occasione della risposta agli eventi cibernetici significativi per la sicurezza nazionale.

LA CYBER-SICUREZZA PASSA ANCHE DALLE ASSICURAZIONI

In questo quadro, anche lo strumento assicurativo gioca un ruolo sempre più rilevante; a tal fine è necessario che le compagnie assicurative affianchino le imprese nell’individuazione e gestione dei rischi cyber, insieme agli altri rischi di business e operativi in tutte le fasi del processo di Risk Management.

I servizi di Risk Consulting offerti da PCA BROKER non sono solo volti alla tutela del valore aziendale esistente ma sono anche un fattore che favorisce il cambiamento e, in un contesto volatile come questo, possono aiutare le aziende ad anticipare i rischi emergenti e garantire la resilienza aziendale – quindi sostenere l’azienda nei tre punti fondamentali della sua cyber-sicurezza visti sopra.

 

 

PCA, proprio per le sue caratteristiche di curiosità e attenzione all’innovazione, è molto attenta alle nuove forme di assicurazione, come le cyber polizze, perché possono portare in un futuro sempre più prossimo grandi benefici alla propria clientela.

Pertanto siamo a vostra disposizione per continuare e approfondire la conversazione su questo tema – per contribuire a ridurre il costo dei rischi per le vostre aziende trasformando il rischio in opportunità di crescita.

Per approfondire l’argomento, potete contattare i nostri esperti compilando la form qui di seguito.

Se invece volete scoprire la nostra storia di innovazione e assistenza su misura del Cliente, vi invitiamo consultare la nostra presentazione: scarica qui  

Seguite anche il nostro profilo Twitter per seguire le innovazioni e i trend di sviluppo per il mercato delle assicurazioni.

Grazie per l’attenzione e la lettura!

Ho preso visione dell'Informativa sulla Privacy e presto il consenso al trattamento dei dati*