• Quadri sinottici della cybersicurezza

Pubblichiamo in allegato, con un’introduzione degli Autori, un documento di sintesi della normativa sulla cybersicurezza, che si propone di fornire al lettore una “mappa” delle fonti, degli assetti istituzionali e degli obblighi rilevanti per gli operatori.

I Quadri sinottici della cybersicurezza – come abbiamo inteso chiamarli – rispondono ad un’esigenza, che immaginiamo non solo nostra: “collazionare ordinatamente” una normativa settoriale di estrema rilevanza e attualità che si caratterizza per complessità e dinamismo.

Il nostro intento è semplicemente quello di mettere in evidenza, a beneficio di tutti gli interessati, i nodi e le linee che scandiscono l’evoluzione, ora quanto mai trasversale, della cybersicurezza.

Il più evidente nodo si apprezza proprio sotto il profilo della complessità: l’elemento tecnologico, ontologicamente governato da elevati profili tecnici e tradizionalmente riservato agli operatori di settore, diviene oggetto di interventi di pubblica sicurezza e perno di un delicato rapporto tra gli ordinamenti, nazionale e unionale.

Un equilibrio che si mostra foriero di rinnovate architetture istituzionali, ma anche di rapida, ampia e stratificata produzione normativa, tra diritto derivato, fonti interne primarie e secondarie, e sempre più frequenti e dettagliati atti di regolazione dell’autorità di settore.

Tale complessità appare il predicato dei rischi sistemici e geopolitici che Unione e Stati membri si trovano a fronteggiare in nome della difesa di una nuova forma di sovranità, di carattere digitale.

A fronte di tali fattori – complessità, rischio e integrazione ordinamentale – le direttive europee e la disciplina nazionale hanno dato luogo a una istituzionalizzazione della cybersicurezza, attribuendole i connotati tipici dei settori di interesse generale, ossia la piena regolamentazione, la presenza di un’autorità di supervisione e la governance istituzionale; aspetto, quest’ultimo, necessario al fine di garantire l’efficacia dell’assetto normativo e dei controlli.

A livello europeo, l’esigenza di predisporre misure a tutela delle reti e dei sistemi informatici si affacciava, invero, già a fronte degli attacchi registrati agli inizi del secolo. L’allora Comunità europea, preso atto che gli operatori privati e pubblici degli Stati membri iniziavano ad assumere autonome iniziative di gestione del rischio informatico, nel 2004 ha istituito l’“Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione” (“ENISA”[1]), concependola come trait d’union per lo scambio di informazioni e di conoscenze tecniche tra Istituzioni, Governi e operatori di settore. Sempre sul fronte unionale, sono poi sorti i c.d. CERT (Computer Emergency Response Team), ossia gruppi permanenti di intervento e assistenza immediata alle imprese e agli enti vittime di attacchi.

La crescente pervasività degli incidenti cyber ha presto fatto sì che allo strumento della cooperazione internazionale si sostituisse quello della armonizzazione delle discipline nazionali, tramite l’imposizione di norme minime vincolanti per tutti gli Stati membri.

I principali interventi in tal senso si devono alla prima e alla seconda Direttiva NIS (Network and Information Security Directives - UE/2016/1148 e n. UE/2022/2555, quest’ultima in vigore dal gennaio del 2023), con l’obiettivo di stabilire un livello comune “elevato” di sicurezza delle reti e dei sistemi informativi e di promuovere tra gli Stati membri una vera e propria “cultura” della gestione dei rischi e della sicurezza informatica. La Direttiva NIS1 ha posto, in materia della cybersicurezza, le linee fondamentali di intervento dell’Unione nei rapporti con gli Stati membri: in una dimensione verticale, spicca l’obbligo di istituire, in ciascuno Stato, un’autorità di settore; nella dimensione orizzontale, imprese e amministrazioni operanti nei settori considerati critici sono sottoposte a rilevanti obblighi di c.d. collaborazione attiva (i.e. dispostivi di sicurezza tecnica, organizzativa e di governance) presidiati da sanzioni “effettive, proporzionate e dissuasive”.

Con lo scopo di dare copertura “completa dei settori e dei servizi di vitale importanza per le principali attività sociali ed economiche nel mercato interno”, la Direttiva NIS 2 ha quindi esteso gli obblighi di sicurezza e di notifica degli incidenti a oltre ottanta categorie di operatori, in una molteplicità di settori critici e altamente critici, prendendo in considerazione, rispetto a tutti gli ambiti menzionati, anche il segmento della supply chain informatica e tecnologica.

Nel comparto bancario, finanziario e dei pagamenti, la supply chain (che ricomprende l’ampio spettro dei prestatori di servizi ICT) entra poi, per la prima volta, nel fuoco della vigilanza, ampliando significativamente il perimetro dei soggetti sottoposti a supervisione (in Italia) da parte di Banca d’Italia, Consob e IVASS. L’elevato rischio sistemico che gli attacchi cyber generano allorché viene in rilievo il pubblico risparmio ha, peraltro, fatto sì che in tale ambito l’Unione abbia intrapreso la via dell’armonizzazione piena e diretta, mediante il Regolamento (UE) 2022/2554 (Digital Operational Resilience Act, o DORA), espressamente definito lex specialis rispetto a NIS2.

Se, dunque, il diritto derivato si è sviluppato nella logica di tutela del mercato interno, in ambito nazionale, il settore cyber narra una storia per taluni versi autonoma rispetto a quella europea. Il contesto normativo di diritto interno si caratterizza, infatti, per la coeva presenza di disposizioni di recepimento del diritto unionale e di disposizioni speciali, che incorporano misure più stringenti laddove vengano in rilievo reti e sistemi informatici a supporto di funzioni fondamentali dello Stato. In tal senso si inquadra il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), il quale, per un verso, introduce una sanzione penale in un quadro presidiato (sin ora) da sanzioni amministrative, pur particolarmente afflittive, e per altro verso, ha esteso alla cybersicurezza l’ambito applicativo del golden power.

Sotto il profilo della governance istituzionale, la “protezione cibernetica” sorge in Italia innanzitutto come questione attinente alla difesa nazionale e, all’interno del Sistema di informazione per la sicurezza della Repubblica, si sviluppa inizialmente secondo un modello organizzativo-funzionale ripartito tra Presidente del Consiglio dei Ministri, Agenzie di intelligence e un Nucleo per la Sicurezza Cibernetica collocato presso il DIS.

Il PNRR si è fatto tuttavia propulsore di una ridefinizione complessiva delle funzioni amministrative nazionali in una prospettiva che volgesse oltre i confini della homeland security; ne è scaturita l’istituzione di un’autorità unica, l’Autorità per la cybersicurezza nazionale (ACN)[2], la quale concentra in sé potestà di regolazione, di attuazione dell’indirizzo strategico, di vigilanza e sanzionatorie. Il successivo Decreto di recepimento della Direttiva NIS2 (D.Lgs n. 138/2024) ha definitivamente stabilizzato l’attuale assetto istituzionale, delineando un nuovo quadro dialogico tra due poli, che tuttavia conserva, rispetto al passato, la centralità del potere esecutivo: da un lato, la direzione strategica della Presidenza del Consiglio e, dall’altro lato, l’ACN, competente sia in ambito NIS che nell’ambito del Perimetro e punto di riferimento per le altre autorità NIS a livello europeo.

ACN si presenta come un’autorità innanzitutto plurale, incorporando il Tavolo Interministeriale per il Perimetro di sicurezza nazionale cibernetica, il Nucleo per la Cybersicurezza e il CSIRT Italia[3], quest’ultimo in qualità di unità nazionale di risposta agli incidenti informatici. Pur restando attratta alla sfera di responsabilità politica del Governo, ACN condivide, sotto il profilo funzionale, molteplici caratteri distintivi delle authorities indipendenti, tra i quali spicca un penetrante potere prescrittivo nei confronti dei soggetti obbligati all’adozione dei presidi di sicurezza e alla notifica degli incidenti rilevanti.

L’attività di regolazione pare ormai centrale, come testimonia l’elaborazione di una strategia trifasica che affida all’autorità l’individuazione della tassonomia degli incidenti oggetto di notifica, così come l’elaborazione delle baseline measures, varate ad aprile del 2025, e delle advanced obligations che vedranno la luce nel 2026, aprendo, per gli operatori economici, la terza fase attuativa del comparto NIS2.

L’ultimo tratto di innovazione si apprezza sul versante della governance aziendale, specchio dell’architettura istituzionale nazionale ed europea. La responsabilità per l’adempimento degli obblighi NIS è posta in capo agli organi di amministrazione e direttivi delle imprese. Si instaura un reciproco rapporto di vigilanza e controllo tra, da un lato, il Consiglio di amministrazione e, dall’altro, due figure inedite quanto centrali: il Punto di Contatto, riferimento unico dell’autorità per ciò che concerne gli adempimenti amministrativi (e.g. registrazioni e aggiornamento dati e informazioni su reti e sistemi), e il Referente CSIRT, interlocutore unico del CSIRT Italia e responsabile della segnalazione e gestione delle vulnerabilità e degli incidenti.

La complessità della materia e della sua regolazione pare incontrare, infine, un ordine sistematico ripartito su tre livelli: il primo,  in ambito europeo, dove l’ENISA monitora l’andamento del rischio nella dimensione transnazionale e il Consiglio dell’Unione adotta le politiche di difesa del mercato comune; il secondo, in ambito nazionale, dove la Presidenza del Consiglio traccia le linee strategiche di difesa interna e ACN vi dà attuazione in coordinamento con le altre autorità unionali e con il supporto tecnico del CSIRT Italia per gli eventi di crisi; al contempo, l’autorità stabilisce le disposizioni di dettaglio necessarie a implementare, all’interno del settore privato, gli obblighi di matrice europea, come tradotti dagli atti di recepimento nazionali;  il terzo, che riguarda le imprese che rientrano in ambito NIS e nel Perimetro di sicurezza, le quali dialogano con ACN, fornendo costanti aggiornamenti in merito allo stato di vulnerabilità dei propri sistemi informativi e di implementazione dei dispositivi di sicurezza.

D’altra parte, l’esigenza di tutela dei settori critici e delle relative infrastrutture consente che un ambito in precedenza scevro da regolamentazione si popoli di controlli amministrativi, sotto forma di poteri ispettivi dell’autorità competente o di poteri speciali del Governo, di norme cautelari specifiche, la cui attuazione comporta per i destinatari (principalmente operatori economici privati) un gravoso impegno in termini di risorse tecniche, da impiegare, e di risorse finanziarie, da mettere a disposizione, anche per evitare sanzioni pecuniarie che si contraddistinguono per una chiara finalità deterrente oltre che per spiccata afflittività.

Dunque, una complessità che si misura in ragione di una minaccia esterna poliforme e priva di soggettività e di territorialità, come ben evidenziano i Threat Landscape di ENISA e ACN, dai quali emerge come ai singoli attacchi si sostituiscano sovente impersonali campagne di hacking, talvolta di stampo terroristico.

I tempi potrebbero dimostrarsi maturi per una più ampia coesione internazionale, occasione che si presenta ora che il Consiglio dell’Unione ha autorizzato la Commissione e gli Stati membri ad aderire alla Convenzione ONU contro la criminalità informatica, aperta alla firma fino al 31 dicembre 2026.

In ogni caso, la materia è in continua evoluzione per il dinamismo che la caratterizza e la caratterizzerà, sicché i Quadri sinottici della cybersicurezza sono destinati ad essere periodicamente aggiornati.

Questo sarà il nostro impegno.

Il contributo è reso dalla dott.ssa Oliva a titolo personale e non esprime in alcun modo la posizione istituzionale della Banca D’Italia.