Dal 27 giugno scorso è entrato ufficialmente in vigore in tutti gli Stati membri dell’Unione Europea il Cybersecurity act.
Il provvedimento, reduce da un lungo iter approvativo iniziato nel 2017 con la presentazione del testo iniziale da parte della Commissione europea, rappresenta una tappa fondamentale della nuova strategia per la sicurezza cibernetica dell’Europa e ha come obiettivo il rafforzamento della resilienza dell’Unione agli attacchi informatici e la creazione di un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi. Considerato da molti un “collante comunitario”, nasce dalla consapevolezza che i crimini informatici sono oggi un’emergenza concreta, a cui le aziende stanno rispondendo con strumenti idonei a gestirne tutti gli aspetti: attraverso l’attivazione di processi organizzativi ad hoc, con l’istituzione di team specializzati, oppure con la costituzione di centri dislocati nel territorio nazionale dedicati a questo tipo di criminalità. Il fenomeno ha portato anche a un boom di imprese che offrono servizi nel campo della sicurezza informatica: secondo un’elaborazione Unioncamere-InfoCamere sui dati del Registro delle imprese delle Camere di commercio, tra la fine del 2017 e i primi tre mesi del 2019 questo tipo di realtà è aumentato di oltre il 300%, passando da poco meno di 700 a oltre 2.800 unità.
Per comprendere in che modo le direzioni legali e gli studi hanno risposto all’introduzione del Regolamento europeo, Le Fonti Legal ha intervistato alcuni esperti: Gianluca De Cristofaro socio di Lca Studio Legale, Agostino Nuzzolo general counsel di Tim, Anna Petrizzelli head of legal and corporate affairs global digital solutions di Enel, Cristina Rustignoli general counsel di Generali Italia e Gianluca Santilli partner di LS Lexjus Sinacta.
Gli impatti sulle imprese Come spiega Anna Petrizzelli di Enel, lo scopo del Cybersecurity act è quello di rafforzare gli aspetti di sicurezza cyber, attraverso un quadro di riferimento unico per la certificazione della sicurezza informatica di prodotti, servizi e processi digitali nonché attraverso il rafforzamento del ruolo dell’Enisa (Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione).
Cristina Rustignoli di Generali ritiene che il Cybersecurity act contribuirà all’aggiornamento e all’ampliamento delle regole interne all’azienda «che permettano sia di promuovere e diffondere, a tutti i livelli, una cultura aziendale in tema di cybersicurezza che incrementare ulteriormente il livello di attenzione sul monitoraggio costante relativo all’effettiva adeguatezza delle misure finalizzate a prevenire attacchi, fin dalla fase di progettazione e sviluppo dei sistemi e dei servizi informativi».
Agostino Nuzzolo di Tim ha visto nel Regolamento Ue una valenza strategica: «A mio avviso, è utile per noi operatori del diritto fare riferimento anche ad una altro atto della Commissione il cosiddetto “Toolkit for supporting the implementation of the Guidelines on how to drive change towards Cyberjustice” approvato nel giugno 2019 nell’ambito di una sessione plenaria della Cepej, la Commissione Europea per l’Efficienza della Giustizia, organo del Consiglio d’Europa. Esso rappresenta un ulteriore evoluzione della roadmap di supporto alla strategia It di innovazione nel sistema giudiziario europeo, con ampio spazio dedicato a cybersecurity e data protection, in linea con i principi giuridici disciplinati dal Gdpr». Secondo Nuzzolo l’impatto atteso dal Cybersecurity act è di due tipi: «uno organizzativo, legato cioè alla figura dei dpo’s (data protection officers) i quali devono ormai avere nel proprio background conoscenza specifiche in materia di cybersecurity ed adattare le strutture alla necessità di presidiare tale materia e uno operativo, poiché le strutture organizzative complesse dovranno, anche alla luce delle norme introdotte dal Cybersecurity act, sempre di più strutturarsi (anche attraverso l’utilizzo di forme di AI) per prevedere e prevenire le minacce informatiche, effettuare assestment sulle vulnerabilità dei sistemi, avviare dei remediation plan ed infine rilevare ed arrestare cyber attacchi». A detta di Gianluca Santilli di LS Lexjus Sinacta, «è la certificazione il cardine del Cybersecurity act perché sinora questa veniva effettuata da enti dei singoli Stati con il limite di non venir riconosciuta ovunque costringendo i produttori a plurime e costose certificazioni».
Gli impatti sul mercato legale
Il Regolamento europeo non cambierà solo il modus operandi delle imprese ma amplierà notevolmente lo spettro delle potenziali opportunità per il settore legale. «L’uniformità della disciplina di riferimento comporta principalmente due effetti», afferma Gianluca De Cristofaro di Lca Studio Legale «da un lato, l’emergere di nuove possibilità relative all’assistenza di clienti nazionali ed internazionali: il poter “giocare con le stesse regole” facilita le interazioni commerciali e di conseguenza amplia le opportunità per le imprese e per i professionisti che le assistono. Dall’altro, determina un incremento delle attività di studio e ricerca. La presenza di un unico corpo normativo, infatti, comporta uno studio congiunto dello stesso da parte di professionisti provenienti da diversi ordinamenti, e di conseguenza determina un affinamento del pensiero e della cultura giuridica sul tema in virtù del diverso substrato giuridico degli operatori del diritto. Si avrà quindi un’evoluzione del diritto di respiro europeo e non più strettamente nazionale».
I vantaggi di un’unica normativa europea
L’entrata in vigore di una normativa unica ha portato numerosi vantaggi agli Stati membri, facilitando la cooperazione e la lotta congiunta ai crimini informatici. «L’individuazione di regole, procedure, certificazioni e requisiti tecnici omogenei e riconosciuti a livello comunitario, unitamente al rafforzamento del ruolo di un’autorità centrale come l’Enisa», afferma Rustignoli «permetteranno di ottimizzare le valutazioni, anche in termini di costi e tempi, sull’adeguatezza delle misure di sicurezza e di porre prontamente rimedio a eventuali vulnerabilità. Gli Stati membri avranno altresì una maggiore capacità di affrontare in modo coeso e globale le minacce informatiche e agevolare la cooperazione reciproca nel caso in cui queste siano transfrontaliere. L’auspicio è che questa uniformazione incrementerà la fiducia dei consumatori nelle tecnologie digitali, che sono ormai diventate fondamentali per offrire servizi in grado di soddisfare in concreto le multiformi esigenze quotidiane dei clienti». «Avere un unico quadro normativo europeo consentirà un approccio facilitato alla supply chain», aggiunge Petrizzelli «in quanto le certificazioni avranno una valenza trasversale all’interno del digital single market. La nuova certificazione sarà immediatamente valida in tutti gli Stati membri, invogliando così i fornitori alla certificazione dei propri prodotti».
Il ruolo della certificazione unica
La certificazione è funzionale all’aumento del livello di cybersicurezza all’interno dell’Unione ed armonizza l’approccio nella certificazione della cybersicurezza dei prodotti e servizi digitali e processi Ict. Ne è convinto Nuzzolo, il quale aggiunge che «l’identificazione di requisiti di sicurezza standardizzati porterà valore aggiunto al processo di protezione della autenticità, integrità e riservatezza dei dati conservati, trasmessi o comunque trattati. La certificazione, specie nei settori tech-intensive, diverrà un fattore distintivo anche in termini di miglioramento della accountability dei servizi della società dell’informazione nei confronti dei cittadini e clienti». Secondo Rustignoli la certificazione unica sarà utile per evitare le incertezze derivanti da una frammentazione dei sistemi di certificazione nazionali e per avere informazioni certe sulle caratteristiche dei sistemi e dei servizi informativi, «permettendo di individuare più velocemente eventuali problematiche. Inoltre, il ruolo rafforzato dell’Enisa contribuirà a fissare livelli di cybersicurezza condivisi, che aiuteranno le imprese ad orientarsi al fine di rispettare la normativa applicabile». Dello stesso avviso è Petrizzelli, la quale sottolinea che «la certificazione unica faciliterà un approccio migliore al mercato, in quanto si potranno attingere forniture da diversi paesi europei, contando su livelli adeguati e omogenei di sicurezza sui prodotti e servizi acquisiti. Occorre però sottolineare che, in ambito cyber, una certificazione è davvero efficace solo se è riferita non al prodotto in una modalità statica, ma al processo di gestione del ciclo di vita dello stesso, così da garantirne il continuo stato di adeguata sicurezza nel tempo. E il Cybersecurity act va proprio in questa direzione, indirizzando schemi di certificazione che richiedono una gestione attiva da parte di fabbricanti e fornitori. Ad esempio, nell’articolo 55 vengono esplicitamente richiesti processi di supporto per la configurazione dei prodotti e il corretto utilizzo, fino all’identificazione delle vulnerabilità e al rilascio degli aggiornamenti per il relativo rimedio».
A detta di De Cristofaro il vantaggio principale di avere una unica normativa europea sulla cybersecurity è per le imprese: «Il regolamento infatti prevede l’introduzione di un sistema europeo di certificazione dei prodotti, servizi e processi Ict, il quale comporta una serie di benefici: in primo luogo quello relativo all’abbattimento dei costi per gli operatori economici, i quali non dovranno più ottenere una differente certificazione in ogni paese in cui decidono di operare. In secondo luogo, il potenziamento dei poteri dell’Enisa permette di individuare un’organizzazione di riferimento in materia, con la conseguenza di agevolare lo svilupparsi di pratiche commerciali uniformi e, quindi, di favorire il mercato nel suo complesso. A livello contrattuale, inoltre, si avrà una leva negoziale in più, connessa all’acquisizione delle certificazioni, che permetterà alle imprese un migliore posizionamento e “alzerà l’asticella” della sicurezza informatica nell’Unione Europea». De Cristofaro ha poi sottolineato i vantaggi per gli utenti finali: «si avrà da un lato una più efficiente comunicazione commerciale, grazie appunto all’esistenza di un unico standard a cui far riferimento, che aumenterà la fiducia degli utenti-consumatori circa la sicurezza dei prodotti, servizi e processi Ict; dall’altro lato, vi è un rafforzamento del livello di tutela degli stessi. Gli art. 63 e 64 introducono, infatti, la possibilità ottenere una piena tutela giurisdizionale nei confronti di un emittente di un certificato europeo di cybersicurezza, o nei confronti di un ente di controllo, ossia di quei soggetti chiamati a certificare la corrispondenza di un determinato prodotto, servizio o processo Ict agli standard di sicurezza».
Strumenti e strategie aziendali
Il modello di gestione dei rischi cyber adottato da Enel si fonda su una visione “sistemica”, che integra il settore dell’information technology, quello dell’operational technology e quello dell’internet of things. «In particolare», spiega Petrizzelli «Enel si è dotata di una politica, Cybersecurity Framework, per indirizzare e gestire le attività di cyber security, che prevede il commitment di tutte le aree aziendali, il recepimento delle indicazioni normative, regolatorie e legali, l’utilizzo delle migliori tecnologie disponibili, l’attivazione di processi organizzativi ad hoc, la consapevolezza delle persone e la cooperazione con tutti gli stakeholder dell’ecosistema energetico. Il framework, per rafforzare la resilienza cyber dei sistemi del Gruppo, pone a fondamento delle decisioni strategiche e delle attività di progettazione un approccio “risk- based” e prevede un modello di progettazione e sviluppo basato sul principio di “cyber security by design”, che comprende anche una collaborazione con produttori e vendors, per un immediato allineamento dei loro servizi, prodotti o componenti ai più elevati standard di sicurezza. Enel ha inoltre creato il proprio Cert (Cyber emergency readiness team), con la missione di proteggere da attacchi cyber la propria costituency (dipendenti, asset industriali e tecnologici), coordinando le attività di risposta agli incidenti cyber in cooperazione con tutte le funzioni aziendali. Ogni giorno, il Cert di Enel svolge una sistematica e continua attività di protezione, monitoraggio e gestione degli incidenti cyber, che ha consentito finora di evitare effetti significativi sulla continuità del business. Il Cert di Enel è attivo nella comunità internazionale della cybersecurity, nella quale gli attori si riconoscono reciprocamente in base ad accordi ufficiali». «La strategia di Generali», racconta Rustignoli «si sviluppa su diversi livelli volti ad ottimizzare gli investimenti crescenti in questo ambito. Tale strategia si basa su attività svolte a livello di Gruppo ed erogate attraverso strutture centralizzate di monitoraggio e controllo ed attività locali più vicine alle unità di business ed ai servizi informativi attraverso i quali serviamo la nostra clientela».
Telecom Italia dispone di un avanzato Security operations center (Soc) «dove operano un numero importante di professionisti specializzati con 11 centri dedicati. Il tutto per gestire gli incidenti di sicurezza. Telecom Italia è all’avanguardia nel settore della cybersecurity a partecipa anche a numerose iniziative internazionali volte ad accrescere la cultura della sicurezza informatica ed a favorire lo scambio del know-how in materia», aggiunge Nuzzolo.
Specializzazioni e team dedicati
«Per un avvocato occuparsi di cybersecurity significa avere una conoscenza, quantomeno nozionistica, delle principali tematiche di natura tecnico-informatica. «Questa necessità», spiega De Cristofaro «si inserisce in un trend ormai iniziato anni fa che vede la figura del giurista come un professionista sempre più ibrido, che mischia la conoscenza del diritto a tutta una serie di conoscenza ultronee e specifiche ormai imprescindibili per assistere al meglio i clienti. Sicuramente non gli si potrà richiedere una valutazione tecnica, ma non potrà mancare una cultura della materia che gli permetta di interpretare in modo corretto gli output provenienti dagli operatori tecnici di settore». Dello stesso avviso è Nuzzolo, secondo il quale «il giurista dovrà avere sempre maggiore dimestichezza con la materia, attesa la sua contiguità con la tematica della protezione dei dati personali e della connessa tutela aziendale». Nelle aziende la gestione delle problematiche di sicurezza informatica è demandata, nella maggior parte dei casi, a professionisti altamente specializzati. In Generali il team si avvale di differenti professionalità che vanno dalla definizione della governance, all’individuazione dei rischi, alla loro mitigazione. Queste attività direttamente connesse ai sistemi informativi ed alle operation non possono poi prescindere da un costante allineamento con le funzioni Data Protection e Risk Management. All’interno della funzione Security di Tim, come specifica Nuzzolo, esiste un team specifico specializzato nella cybersecurity che assicura il monitoraggio della sicurezza della rete pubblica di telecomunicazione, dei data center e della rete e gestisce gli incidenti di sicurezza Ict. Il team assicura anche il presidio dell’evoluzione delle minacce di cybersecurity, lo scouting & benchmarking e la prototipazione di tecnologie di sicurezza innovative per la protezione di reti, sistemi e applicazioni, nonché i servizi di Security Testing Lab per tutte le piattaforme tecnologiche. Le risorse che vi operano hanno sviluppato un know-how tecnologico all’avanguardia nella materia della cybersecurity, essendo Tim uno degli operatori più riconosciuti nel settore.
Naturalmente attesa la delicatezza dei temi trattati, esiste un presidio ad hoc dell’ufficio legale che agisce in modo osmotico con il team di cybersecurity ogniqualvolta ve ne sia la necessità. «Dal punto di vista organizzativo», spiega Petrizzelli «in Enel è attiva, dal 2016, un’unità dedicata di cybersecurity a diretto riporto del Chief Information Officer (Cio) e il cui responsabile ricopre il ruolo di Chief Information Security Officer (Ciso) del Gruppo. L’unità presiede, a livello globale, alla governance, indirizzo e controllo dei temi di cybersecurity, guidando la definizione della strategia di Gruppo e definendo policy e guidelines coerenti con regolamentazioni e standard internazionali. Fornisce inoltre linee guida architetturali e supporto ingegneristico a protezione tutti gli ambienti tecnologici, sia gestionali che industriali del Gruppo, monitora la postura di sicurezza globale attraverso attività di verifica sia a livello di processo che a livello tecnologico (come ad esempio hacking etici, penetration test o vulnerability assessment) e indirizza i programmi di formazione e sensibilizzazione per diffondere la cultura della cybersecurity nel Gruppo. L’unità di cybersecurity guida e gestisce infine, attraverso il Cert, le attività di prevenzione, identificazione e risposta agli incidenti cyber ed ha infine la responsabilità dei sistemi per la gestione delle identità digitali e del controllo degli accessi.
Un elemento innovativo del modello Enel è l’efficace coinvolgimento delle linee di business e delle Linee responsabili della progettazione, realizzazione e gestione dei sistemi sia It che industriali, grazie alle figure dei cybersecurity risk managers e dei cybersecurity response managers. Tali figure sono a diretto riporto del Ciso e delle rispettive Linee e garantiscono il costante coinvolgimento di queste ultime nei processi chiave di valutazione dei rischi, di disegno e progettazione di sistemi sicuri, di definizione dei criteri per rispondere in caso di attacco, di selezione e attuazione delle adeguate azioni di contrasto».