95
abitudini e nelle scelte strategiche
delle diverse entità della PA.
In questo senso ci pare debbano,
e dovranno, essere letti sia in
contenuti delle recenti iniziative
in materia di identità digitale,
quali SPID (in relazione all’entrata
in vigore del c.d. Regolamento
Comunitario e-IDAS in materia
di identificazione elettronica e
servizi fiduciari per le transazioni
elettroniche nel mercato interno)
sia, in divenire, i necessari percorsi
di adeguamento correlati all’entrata
in vigore nello scorso luglio della
direttiva NIS (Network and
Information Security) in materia di
misure volte a garantire un livello
comune elevato di sicurezza delle
reti e dell’informazione nell’Unione
Europea. In quest’ultimo
provvedimento, il legislatore
comunitario ha espressamente
previsto che la direttiva, il cui
scopo è il miglioramento della
sicurezza di internet, delle reti
e dei sistemi informativi privati,
fondamento per il funzionamento
delle società e delle economie
europee, nel contemplare
l’istituzione a livello nazionale da
parte delle PA di CSIRT – CERT
(Computer Emergency Response
Team), sia applicabile nei confronti
di specifici soggetti privati che
offrono i c.d. servizi essenziali.Vale
a dire per esempio: i servizi sanitari,
i trasporti, la fornitura di acqua e di
energia elettrica.
La ragione di una scelta siffatta è
illustrata nel considerando numero
3 della direttiva stessa ove si legge
che le reti e i sistemi informativi,
e in prima linea internet, svolgono
un ruolo essenziale nell’agevolare
i movimenti transfrontalieri
di beni, servizi e persone e
che gravi perturbazioni di tali
sistemi, intenzionali o meno e
indipendentemente dal luogo in cui
si verificano, possono ripercuotersi
su singoli Stati membri e avere
conseguenze in tutta l’Unione.
Le misure minime
di sicurezza ICT
Nell’ambito sopra descritto
si collocano i contenuti del
documento ‘Misure minime per
la sicurezza ICT per le Pubbliche
Amministrazioni’ emanate
dall’Agenzia per l’Italia Digitale
lo scorso 26 aprile in attuazione
della corrispondente direttiva della
Presidenza del Consiglio dei Ministri
del 1 agosto 2015.
Il documento, segnando un forte
elemento di discontinuità con
il passato, si ispira chiaramente
(definendo i c.d. ABSC - AgID
Basic Security Controls) da un lato
all’insieme di controlli noto come
SANS 20, pubblicato dal Center
for Internet Security, conosciuto
come CCSC ‘CIS Critical
Security Controls for Effective
Cyber Defense’ nella versione
6.0 di ottobre 2015; e dall’altro
ai contenuti del documento
‘Italian Cyber Security Report
Un Framework Nazionale per
la Cyber Security’ il quale, a sua
volta, è dichiaratamente orientato
ai contenuti del ‘Framework for
Improving Critical Infrastructure
Cybersecurity, version 1.0’ del
National Institute of Standards and
Technology statunitense.
La struttura a macchia di leopardo
che ne risulta appare, secondo
novembre-dicembre 2016
Giuseppe Serafini
,Avvocato
giuseppe.serafini@ordineavvocati.perugia.itchi scrive, molto frammentaria
e nemmeno del tutto in linea,
quanto a completezza e metodo
di rappresentazione dei contenuti,
con le previsioni delle richiamate
norme di recente emanazione
comunitaria in materia di sicurezza
delle informazioni ispirate, ci pare, a
differenti criteri di standardizzazione;
ISO su tutti. Ferme queste
osservazioni, senza soffermarci sulla
cogenza delle misure indicate, nel
loro raccordo con le previsioni di
cui agli art. 31 e 169 del Codice
Privacy, ciò che sembra apprezzabile
è il tentativo di classificazione di
controlli e condotte che dovrebbero
guidare le PA italiane in percorsi
di rafforzamento delle misure di
protezione della sicurezza delle
informazioni nell’ottica, non solo,
di prevenire il successo di un
eventuale attacco, ma anche di
implementare efficaci strumenti di
rilevazione in grado di abbreviare i
tempi, oggi pericolosamente lunghi,
che intercorrono dal momento in
cui l’attacco primario è avvenuto
e quello in cui le conseguenze
vengono scoperte.
Riteniamo di poter interpretare a
tale stregua i controlli in materia
di regole tecniche relative alla
valutazione e correzione continua
delle vulnerabilità, copie di
sicurezza e protezione dei dati,
rispettivamente, ABSC 4, 10 e 13.
NEL PROSSIMO NUMERO
Nel prossimo numero, esamine-
remo, con riferimento ai criteri
che le imprese sono chiamate ad
attuare per salvaguardare lo spazio
cibernetico nazionale e comunita-
rio, i contenuti della Direttiva UE
2016/1148 del 6 luglio 2016 re-
cante misure per un livello comu-
ne elevato di sicurezza delle reti e
dei sistemi informativi nell’Unione
- NIS (Network and Information
Security Directive).