La versione 2.0 della direttiva europea sulla sicurezza delle infrastrutture critiche è un altro passo verso la inutile burocratizzazione della sicurezza nazionale tecnologica. Ma, se ben recepita, può rivoluzionare la sicurezza tecnologica nazionale. L’analisi di Andrea Monti, professore incaricato di Digital Law nel Corso di laurea magistrale in Digital Marketing dell’Università di Chieti-Pescara
Lo scorso 10 novembre il Parlamento europeo ha approvato il testo della “proposta di direttiva del Parlamento europeo e del Consiglio sulle misure necessarie per un alto livello di cybersecurity nell’Unione”, nota anche come Direttiva Nis 2. Una volta approvata anche dal Consiglio europeo e pubblicata nella Gazzetta Ufficiale dell’Unione europea, la direttiva dovrà essere recepita dagli Stati membri, emendando o sostituendo le norme che avevano attuato la Nis 1 –per l’Italia, il decreto legislativo 56/2018.
I tempi di attuazione
Salve accelerazioni emergenziali, è realistico pensare che questa fase occuperà tutto il termine di – pare – 21 mesi concesso per adottare l’atto di recepimento a livello nazionale. Dunque, solo una volta recepita la Nis 2 in una legge dello Stato sarà possibile avere un’idea dei provvedimenti attuativi eventualmente necessari e dunque dei tempi per l’effettiva entrata a regime. Per avere un raffronto è possibile basarsi sull’esperienza del decreto legislativo 56/2018 che ha richiesto quasi due anni per recepire la Nis 1 e del decreto legge 105/2019 che ha istituito il Perimetro di sicurezza nazionale cibernetica – sono passati tre anni e non sono ancora entrati in funzione i laboratori di certificazione.
Anche se, ovviamente, non c’è correlazione fra i tempi richiesti per la messa in esercizio delle norme in questione e quelli necessari per la Nis 2, bisogna considerare che il processo non si concluderà con le mera pubblicazione in Gazzetta Ufficiale del decreto legislativo di recepimento. Ai tempi regolamentari, infatti, vanno aggiunti i “supplementari” che servono per consentire ad aziende e istituzioni per adattare infrastrutture e processi alle prescrizioni normative. In sintesi, dunque, non c’è da essere molto ottimisti sui tempi per la definitiva entrata in funzione del sistema basato sulla Nis 2 ma, soprattutto sulla sua efficacia.
Il rischio paralisi e l’opportunità di un “testo unico delle infrastrutture critiche”
La Nis 2 si applicherà praticamente a qualsiasi “cosa” sia connessa a una rete: internet exchange point, fornitori di servizi DNS, gestori dei registri nazionali per ccTLD, cloud data centre, content delivery network, trust service provider, prestatori di servizi di gestione remota (inclusi quelli di sicurezza), gestori di piattaforme di marketplace, motori di ricerca, piattaforme di social networking. Come già, da ultimo, nel caso della proposta di regolamentazione sull’intelligenza artificiale, l’Unione europea adotta un approccio iper e pan-normativista che si traduce nella progettazione di architetture giuridiche complesse, confuse e, di conseguenza, difficilmente applicabili in modo efficace.
Da un lato, come detto, la direttiva estende la propria giurisdizione all’intera filiera dei servizi di comunicazione elettronica e a quelli della società dell’informazione, escludendo tuttavia i settori giustizia, difesa e sicurezza pubblica e nazionale. Dall’altro introduce un criterio di discrezionalità nel recepimento domestico. Agli Stati membri è lasciato un certo margine di manovra per esentare determinati soggetti dai rigori della direttiva o per ridurre il peso degli adempimenti. Inoltre, è previsto che se l’ordinamento nazionale già prevede norme compatibili con la Nis 2 non sarà necessario “reinventare la ruota”.
Per quanto sia comprensibile la ratio di una scelta del genere, il risultato concreto potrebbe essere innanzi tutto una disarmonizzazione delle normative di recepimento. In altri termini: visto che ogni Stato può fare da sé, sarebbe necessario un coordinamento fra le cancellerie per evitare che i recepimenti individuali siano troppo diversi, vanificando il senso di una strategia comune per la protezione delle infrastrutture critiche. Inoltre, l’obbligo di individuare le norme vigenti che già soddisfano i requisiti di armonizzazione stabiliti dalla direttiva non consente, come pure si è fatto in altri casi, di recepire il testo comunitario facendo sostanzialmente un semplice copia e incolla della sua traduzione ufficiale.
Queste premesse lasciano ipotizzare la potenziale replica (e, probabilmente, l’aumento) della confusione creata dal mancato coordinamento fra il già citato decreto legislativo 56/2018, il decreto legge 105/2019 e i successivi atti regolamentari e, infine la recente normativa sulla rappresaglia informatica. Essendo state ritenute necessarie e urgenti per via della (reale o presunta) situazione emergenziale maturata a partire dal 2019 e aggravata dal diffondersi di azioni criminali transnazionali dirette verso bersagli estremamente delicati del settore tecnologico ed energetico, le norme sulla sicurezza delle infrastrutture e dei servizi basati sulle tecnologie dell’informazione sono state concepite frettolosamente e si sono sviluppate in modo caotico e confuso. Un esempio su tutti è la vicenda che ha portato all’istituzione dell’Agenzia per la cibersicurezza, le cui competenze in materia di certificazione erano inizialmente state affidate dal decreto legge 105/2019 ad altro soggetto e poi, peraltro giustamente, poco dopo attribuite alla neonata struttura tecnica.
Se, dunque, da un lato il recepimento della Nis 2 rischia di trasformarsi in una ulteriore zavorra per il sistema regolamentare a supporto della sicurezza delle infrastrutture critiche, dall’altro rappresenta un’occasione da non perdere per risolvere questi problemi combinando le tessere del mosaico normativo in modo da fargli acquisire finalmente senso e significato. Sarebbe fortemente auspicabile, in altri termini, sfruttare l’occasione offerta dal recepimento della direttiva per emanare un “Testo unico della sicurezza nazionale tecnologica” riconducendo a coerenza e unità una frotta di norme emanate in ordine sparso, trasformandole in un meccanismo efficiente e funzionale.
L’impatto sul mercato e gli effetti anticoncorrenziali
Un tema collaterale rispetto all’obiettivo della Nis 2 ma non meno rilevante in termini di sistema è l’impatto sul mercato interno dei servizi di comunicazione elettronica e della società dell’informazione.
I costi per l’adeguamento alla direttiva nei quali possono incorrere gli operatori di telecomunicazioni e gli internet provider possono essere molto elevati. Se si aggiungono a quelli già previsti dalle norme vigenti – per esempio in materia di prestazioni obbligatorie, conservazione di dati di traffico, blocco DNS e parental control – è realistico ipotizzare effetti negativi come l’uscita dal mercato di quei soggetti meno economicamente robusti. Per evitare conseguenze di questo genere sarà necessario affrontare una volta e per sempre il tema del sostegno economico agli investimenti che gli operatori saranno costretti a fare per rispettare le prescrizioni normative.
È vero, come detto, che la direttiva prevede esenzioni per tipologie e fasce di operatori ma queste esenzioni non sono sufficienti o praticabili perché non c’è una correlazione diretta fra dimensione dell’operatore e criticità del servizio che eroga. In altri termini, una piccola impresa, esentata come tale da una serie di obblighi, potrebbe ugualmente offrire a clienti “essenziali” o “importanti” dei servizi che, se “compromessi” provocherebbero conseguenze imprevedibili. Il tema della interdipendenza dei servizi essenziali da una serie di altri servizi ancillari la cui importanza non è immediatamente evidente è emerso in tutta la sua rilevanza nell’allarme sulla necessità di un piano di gestione del rischio razionamento energetico lanciato dall’Associazione italiana internet provider nel settembre di quest’anno verso l’Agenzia per la cybersicurezza nazionale e i dicasteri interessati.
Una rete pubblica di comunicazioni per i servizi essenziali
Un altro tema interessato dal recepimento della Nis 2, ma non immediatamente evidente, è quello della rete pubblica di comunicazioni.
Il presupposto inespresso sul quale si basa il dibattito attuale è che sia i servizi essenziali e importanti, sia quelli che non appartengono alle categorie individuate dalla direttiva si appoggino sulla stessa infrastruttura di rete – convenzionalmente chiamata Big Internet – utilizzata in qualsiasi altro ambito, anche non critico.
La possibilità di connettere più reti costruite da operatori privati ha rappresentato un fattore importante nella moltiplicazione delle imprese nel settore delle telecomunicazioni. Nello stesso tempo, tuttavia, il fatto che queste reti siano indifferentemente utilizzate anche per servizi essenziali e importanti costituisce un problema serio. Ai possibili vantaggi in termini di economicità complessiva del servizio, fanno da contraltare non solo rischi di sicurezza, ma anche di ingerenza da parte degli organi dell’internet governance in scelte che dovrebbero essere di esclusiva pertinenza dei decisori pubblici nazionali. Dunque, per quanto controintuitiva, non sarebbe irricevibile l’idea di recuperare un approccio à la Milnet americana di un tempo e costruire una rete pubblica di comunicazioni per i soli servizi essenziali.
Come ha rilevato il presidente di Associazione italiana internet provider, Giovanni Zorzoni, attestare i servizi essenziali su di un’infrastruttura fisica distinta e separata da quella impiegata per gli altri usi civili gestita esclusivamente dallo Stato e alla quale connettere anche parti di reti degli operatori privati, consentirebbe l’interazione controllata fra i due ambienti. Segregando la rete dei servizi essenziali e riducendo i punti di accesso (ma senza aggiungere backdoor) si incrementerebbero sicurezza e resilienza del sistema nel suo complesso. Diventerebbe più agevole sia controllare gli accessi, sia rilevare gli attacchi, attribuirli e, se del caso, reagire.
Conclusioni
La direttiva Nis 2 complica notevolmente il quadro regolamentare sulla sicurezza delle infrastrutture critiche in termini di coordinamento normativo, difficoltà di gestione concreta ed effetti anticoncorrenziali sul mercato interno. Essa rappresenta, tuttavia, un’opportunità per ricomporre in modo coerente il mosaico della normativa sulla sicurezza nazionale tecnologica.
È auspicabile che questa opera di sistematizzazione venga compiuta di concerto con gli Stati membri dell’Unione europea perché i margini di discrezionalità lasciati a ciascuno rischiano di creare differenze normative e tecniche tali da ridurre o addirittura vanificare gli obiettivi fissati dalla norma europea.
Il recepimento della direttiva incide potenzialmente anche sul dibattito politico in materia di rete pubblica di comunicazioni. Una lettura olistica della norma e del sistema nel quale è inserita suggerisce, infatti, di valutare la creazione di una rete dedicata ai servizi essenziali e fisicamente separata da quelle interconesse che compongono la Big Internet. Il minor numero di punti di accesso così realizzati consentirebbe maggiore sicurezza dei servizi essenziali e una più efficace reazione in caso di attacchi diretti.