Solo grazie al coordinamento di tutte le forze in campo si possono vincere le guerre nel quinto dominio, spiega la professoressa Annita Larissa Sciacovelli (Università degli Studi di Bari “Aldo Moro”). Con la direttiva Nis2 è l’ora di creare i cybersecurity officer, dice a Formiche.net
Le evoluzioni geopolitiche, sociologiche e tecnologiche hanno spinto l’Unione europea a compiere un passo insolito per un’istituzione simile: aggiornare una direttiva, quella sulla sicurezza delle reti e dei sistemi informativi, dopo appena sei anni dalla sua entrata in vigore. Ne parliamo con Annita Larissa Sciacovelli, professore aggregato di Diritto internazionale e specialista in cybersecurity presso l’Università degli Studi di Bari “Aldo Moro”. Sciacovelli è anche componente dell’advisory group dell’Agenzia europea per la cybersecurity (Enisa), una sorta di ambasciata che funge per i soggetti interessati da collettore di criticità.
Che cosa non ha funzionato nella direttiva Nis1?
L’evoluzione della situazione geopolitica nonché le novità e le criticità dovute al rapido incremento dell’impiego delle tecnologie digitali hanno spinto l’Unione europea ad aggiornare la direttiva Nis1. La direttiva si è dimostrata poco efficace a causa dell’ampia discrezionalità riconosciuta agli Stati, nella sua adozione interna, dal punto di vista della vigilanza e della segnalazione degli incidenti. Spesso gli Stati hanno omesso di includere alcune categorie di attori NIS nel perimento cibernetico, escludendoli quindi dall’obbligo di segnalazione degli incidenti. È fondamentale, infatti, che tutti i 27 Stati membri perseguano il medesimo livello di cyber sicurezza e resilienza, ciò che finora, secondo la Commissione europea, è stato diversificato e, quindi, non del tutto soddisfacente.
Come nasce la direttiva Nis2?
L’obiettivo della direttiva Nis2 è il raggiungimento di una sicurezza cibernetica che sia efficace e di standard elevato in tutti gli Stati membri. Questo comporta che la protezione dei sistemi informatici debba essere effettiva e che si basi sull’osservanza di una check list dettagliata di politiche di sicurezza delle reti e dei dati da parte di enti pubblici e aziende che gli Stati ritengono che debbano rientrare nella categoria degli Operatori essenziali e importanti. Inoltre, la direttiva Nis2 amplia i settori produttivi e di servizi che rientrano nel perimetro cibernetico, comprendendo, per esempio, l’agroalimentare, il chimico e il farmaceutico che in Italia sono particolarmente importanti. Venie introdotto anche un significativo apparato sanzionatorio per i soggetti interessati e nuove responsabilità per i rappresentanti legali e i componenti dei consigli di amministrazione. Tuttavia, dato che la vigilanza ex post e/o ex ante delle politiche di sicurezza spetta a esperti professionisti del settore, credo che sia giunta l’ora di creare una figura professionale specifica, quella del cybersecurity officer, prestando attenzione anche alla questione di “chi forma il formatore”.
E l’Italia?
L’Italia si è impegnata molto per rafforzare la propria resilienza cibernetica. L’istituzione dell’Agenzia per la cybersicurezza nazionale, seppur in ritardo rispetto ad altri Paesi europei e occidentali, ha rappresentato un passo importante. Oggi l’Agenzia è il punto di contatto unico a livello europeo, assieme ai ministeri competenti, e collabora attivamente con l’Unione europea e con i partner internazionali nella cyber resilienza. Infatti, la domanda da porsi oggigiorno non è solo “quanto siamo sicuri”, bensì “quanto siamo resilienti” in caso di attacco cibernetico.
Quanto spazio di manovra hanno gli Stati membri nel recepimento della direttiva Nis2?
Agli Stati membri è lasciato comunque lo spazio di manovra necessario per il recepimento nella direttiva Nis2 e vengono indicate anche nuove importanti iniziative, come l’elaborazione di una politica di sicurezza cyber per le smart city.
In generale, la direttiva Nis2 richiede un impegno organizzativo e operativo che ha comunque importanti ricadute in termini di spesa per le aziende coinvolte.
Quali sono le sfide per l’Italia nel recepimento della direttiva Nis2?
Una delle principali sfide per l’Italia nel recepimento della direttiva Nis2 è la consapevolezza. Temo non ce ne sia a sufficienza da parte delle aziende, in particolare nel settore alimentare, con almeno 600.000 aziende, se si includono le catene di approvvigionamento e di distribuzione. In questo contesto, è necessario adottare alcune soluzioni. Sul punto, la direttiva Nis2 insiste sulle partnership pubblico-privato e sarebbe opportuno diffondere le best practices richieste dalla nuova normativa europea tramite le associazioni di categoria. È un aspetto sul quale stiamo lavorando nell’advisory group di Enisa. Occorre poi adottare i decreti legislativi attuativi della Nis2, per dare modo e tempo alle aziende di adempiere, per ciascun settore, agli obblighi previsti. In una visione di medio periodo, la sicurezza cibernetica per i vari livelli richiesti dai settori pubblico e privato (da quello base, a quello intermedio/alto) potrebbe anche essere garantita dalla formazione del personale e dalla ri-professionalizzazione realizzata nelle cyber-school. L’idea è di creare dei cyber campus i cui corsi di laurea, triennali e magistrali, sarebbero ispirati a un approccio olistico.
Nei giorni scorsi Enisa ha pubblicato il Thread Landscape. Quali rischi la preoccupano di più?
Il Threat Landscape 2023 pubblicato da Enisa le scorse settimane, tra gli altri aspetti, mette in luce, oltre alla crescente professionalizzazione degli hacker criminali, i rischi legati alle operazioni disinformazione che fanno parte di una più ampia strategia di guerra ibrida. Come si legge nella sentenza del Tribunale dell’Unione europea, nel caso RT France contro Consiglio del 2022, la propaganda e le campagne di disinformazione fanno parte integrante dell’arsenale della guerra moderna di alcuni Stati terzi verso l’Europa. L’obiettivo delle minacce ibride è la polarizzazione delle società democratiche per rimetterne in discussione i fondamenti.
Come affrontare queste sfide?
È necessario quindi mantenere alta la guardia in vista delle prossime elezioni per il Parlamento europeo del 2024. In proposito, l’Unione europea ha creato una Hybrid Toolbox affinché gli Stati membri dispongano degli strumenti per individuare, prevenire e rispondere agli attacchi ibridi in maniera sinergica e congiunta. Peraltro, alla luce del forte incremento degli attacchi cibernetici è oggi più che mai necessaria l’adozione di una Convenzione di Ginevra per il cyber-spazio che protegga le infrastrutture critiche e i dati digitali, e una riflessione sulla necessità di condivisione di informazioni tra gli Stati europei e quelli alleati. Queste proposte sono parte delle cyber strategy della Casa Bianca e del Pentagono del 2023 per combattere in modo efficace la guerra cibernetica e il crimine informatico. Non dobbiamo dimenticare che in Italia solo grazie al coordinamento di tutte le forze in campo si è riusciti a contrastare il dilagare del fenomeno mafioso.