1 21 Table of Contents 23 144

SPS_2023

20 speciale anteprima SPS ITALIA 2023 ziale ed è costituita anche da infrastrutture. Ogni Stato membro adotterà una strategia per la resilienza che conterrà un framework di descrizione delle attività e delle responsabilità, quindi la descrizione della catena di co- mando e controllo, e lemisure adottate per la resilienza del Sistema Paese. La Commissione potrà adottare un atto delegato (in pratica, un decreto attuativo) per individuare i servizi essenziali nei settori potenzialmente contenenti entità critiche e ogni Stato baserà il proprio risk assesment governativo nazionale su questo elenco. Inoltre, gli Stati membri dovranno basare il risk assesment governativo anche sui rischi legati alle interdipen- denze, tema espressamente citato dalla Direttiva, quindi servirannomodelli di effetti domino e delle interdipendenze tra settori. Le entità critiche saranno individuate nei settori indicati, dovranno essere appartenenti alloStatoMembro e verranno selezionate su base dell’impatto derivante da incidenti che potrebbero causare discontinuità nella garanzia della fornitura del servizio essenziale correlato. L’impatto sarà calcolato in base a: numero di utenti coinvolti, estensione su altri settori, durata, conseguenze economiche, ambientali, sulla salute, sulle attività sociali, sulla sicurezza pubblica e sul mercato libero, nonché sull’area geografica coinvolta, anche cross border, e sulla valutazione delle possibili alternative di approvvigionamento del medesimo servizio. Ogni Stato membro dovrà poi nominare un’autorità competente nazio- nale, che in Italia potrebbe essere l’ufficio del Consigliere Militare al Pre- sidente del Consiglio dei Ministri, con la segreteria per le infrastrutture critiche, ufficio che ha anche negoziato la Direttiva per l’Italia. Teorica- mente potrà essere coinvolto per le fasi decisionali anche il Nisp (Nucleo di Situazione e Pianificazione - Dpcm5maggio 2010), come già avvenuto nel recepimento della Direttiva 114/08. Gli Stati membri coopereranno tra loro e con le entità critiche le quali dovranno redigere un risk assesment basato su quello nazionale e porre in essere contromisure adeguate per la riduzione dei rischi, in particolare per: prevenire gli incidenti; garantire adeguata sicurezza a tutti; rispon- dere, resistere e mitigare le conseguenze di eventuali incidenti; recupe- rare, garantire adeguata sicurezza a tutto il personale; effettuare adeguata awareness. Eventuali incidenti sulle entità critiche dovranno essere noti- ficati all’autorità competente nazionale indicando il numero di persone interessate, l’area geografica e la durata. Se l’entità critica fornisce il servizio essenziale in 6 o più Stati membri, è considerata critica a livello europeo e la Commissione potrà designare delle advisory mission per verificare la messa in opera delle contromisure. Le sanzioni saranno invece individuate a livello nazionale e la Commissione potrà scrivere linee guida per l’applicazione della Direttiva. Il Consiglio ha inoltre promulgato una proposta di raccomandazione sulla cybersecurity che anticipa alcune previsioni di NIS2 e CER, per velocizzare azioni specifiche sulla resilienza delle infrastrutture critiche, soprattutto nei settori di energia, infrastrutture digitali, trasporti e spazio. La raccomandazione individua soprattutto azioni per la condivisione delle informazioni e la risposta coordinata a livello europeo. Auspica inol- tre che gli Stati membri abbiano un approccio ‘all hazard’ nell’analisi dei rischi e mettano in opera azioni immediate per aumentare la resilienza, anche con stress test nazionali. La nuova Direttiva CER completa il panorama normativo europeo sulle In- frastrutture Critiche (IC) e a 14 anni dalla prima norma esprime una pro- fonda maturità dell’Europa sui temi della protezione delle IC, soprattutto riconciliando la sicurezza negli ambiti cibernetico e cinetico e offrendo un punto di vista all hazard e risk based. Sicuramente il 2023 si aprirà con l’avvio dei primi LAP (Laboratori Ac- creditati di Prova), per il supporto alle valutazioni e alle certificazioni del Cvcn. Il passaggio per il Cvcn sarà obbligatorio per gli acquisti di reti, sistemi e servizi ICT da parte di operatori del 5G e del cloud e di tutti gli operatori appartenenti al Psnc (Perimetro di Sicurezza Nazionale Ciber- netica), per i servizi interni al perimetro stesso. Le aziende attendono la pubblicazione dello schema o degli schemi di valutazione e certificazione che verranno prescelti dell’ACN in attesa dell’adozione da parte dell’Eu- ropa degli schemi di certificazione europei avviati dal ‘Cyber Security Act’ e a oggi in lavorazione. L’Europa ha già proposto per la discussione con gli Stati membri uno schema generale di certificazione basato su ‘common criteria’, uno schema per il 5G e uno schema per il cloud, ma non ha reso nota la data di adozione prevista. Norme contro gli attacchi La 10a edizione dell’Enisa Threat Landscape report, pubblicata lo scorso ottobre, sottolinea che, a partire dall’inizio del 2022, gli attacchi informa- tici sono in continuo aumento. Sulla base dell’analisi condotta, al primo posto tra le minacce che hanno interessato enti pubblici e privati, imprese e singoli cittadini nel corso del 2022 risulta essere il ransomware, seguito da malware, tecniche di social engineering (in particolare phishing) e data breach. Particolarmente diffusi risultano essere altresì gli attacchi DDoS: nel luglio del 2022 l’aziendaAkamai ha rilevato emitigato quello che è stato definito come il più grande attacco DDoS mai lanciato contro un cliente europeo sulla piattaforma Prolexic, con un traffico di attacco distribuito a livello globale che ha raggiunto un picco di 853,7 Gbps e 659,6 Mpps in 14 ore.Questa tipologia di attacco risulta essere sempre più complessa e tende a spostarsi verso le reti mobili e l’IoT (Internet of Things). Sempre secondo quanto emerso dal rapporto dell’Enisa, quasi il 50% delle minacce sarebbe rivolto verso Pubblica Amministrazione e governi (24%), fornitori di servizi digitali (13%) e cittadini in generale (12%). Il restante 50% sarebbe invece diretto ai diversi settori dell’economia in maniera generalizzata. Al fine di contrastare le numerose minacce informatiche al Sistema Paese, nel corso del 2022 si è cercato di rafforzare il quadro normativo in ambito sia nazionale che europeo, come prova l’emissione delle due nuove Direttive. Luisa Franchina, Presidente AIIC - Associazione Italiana esperti in Infra- strutture Critiche - https://infrastrutturecritiche.it La Direttiva CER va di pari passo con la NIS2 per creare un quadro normativo europeo il più possibile omogeneo e condiviso fra gli Stati membri dell’Unione Fonte foto shutterstock

RkJQdWJsaXNoZXIy Mzg4NjYz