Negli scorsi giorni la Germania ha adottato una nuova legge, conosciuta in tedesco come l’IT-Sicherheitsgesetz, che regolamenta le pratiche di sicurezza informatica nel Paese.

COSA PREVEDE LA LEGGE TEDESCA

La normativa prevede che una lunga lista di industrie tedesche – circa 2.000 – concordino un insieme minimo di misure di sicurezza, che ne dimostrino l’effettiva implementazione attraverso controlli di sicurezza, che individuino un punto di contatto per gli incidenti e le relative misure da adottare e segnalino gravi episodi di hacking all’agenzia federale per la sicurezza, il BSI (Bundesamt für Sicherheit in der Informationstechnik). Il mancato rispetto dei punti di tale normativa comporterà sanzioni e penali.

LE NORME SPECIFICHE PER I SETTORI NUCLEARE E IT

La legge prevede, inoltre, norme specifiche applicabili al settore delle telecomunicazioni, che riguardano il monitoraggio e l’obbligo di comunicazione dello status delle tecnologie di sicurezza informatica ai clienti nel caso siano stati compromessi. Altre norme su misura si applicano alle società di energia nucleare, che devono rispettare uno standard di sicurezza più elevato.

IL DIFFICILE ACCORDO CON IL SETTORE PRIVATO

Nella fase iniziale di elaborazione della legge, il governo tedesco ha tentato di coinvolgere l’intero settore privato, pensando di poter applicare gli assiomi del “multistakeholderism”, ma si è ben presto reso conto che un vero accordo non sarebbe stato possibile, ha scritto la stampa tedesca. Gli operatori di infrastrutture tedeschi infatti si sono dimostrati subito critici nei confronti dell’IT-Sicherheitsgesetz e, di conseguenza, hanno offerto scarso sostegno alla redazione della legge. In linea generale, nonostante alcuni compromessi raggiunti con il Ministero degli Interni, l’industria tedesca continua a non essere d’accordo con la maggior parte dei suoi contenuti.

I LIMITI DELLA LEGGE

Ciò che gli industriali denunciano è la vaghezza della normativa, che da un lato può essere comprensibile. In passato, infatti, leggi molto dettagliate nella forma si sono poi rivelate obsolete al momento della loro emanazione. Dell’altro, però, questa vaghezza genera non pochi problemi perché limita le alternative che potrebbero migliorare la sicurezza informatica, senza contare che questo tipo di approccio lascia un margine di manovra significativo al ministero dell’Interno per quel che riguarda il livello di adeguatezza delle aziende  ai requisiti della legge stessa.

In secondo luogo, il requisito obbligatorio di segnalazione di un incidente grave è problematico poiché non è ben chiaro quali parametri lo definiscano tale. Di conseguenza, i gruppi industriali hanno cercato un compromesso proponendo la segnalazione anonima degli incidenti e che le relazioni siano sottoposte al giudizio di parte terza.

UN COMPROMESSO CHE LASCIA INSODDISFATTE LE PARTI

Il risultato? Il governo ha accettato le segnalazioni anonime, ma non si è piegato di fronte alla richiesta di coinvolgere una terza parte poiché, questo elemento, potrebbe entrare in contrasto con il diritto tedesco. Quello delineatasi è perciò uno scenario che lascia l’amaro in bocca a entrambe le parti in causa.

Il governo, infatti, non è sicuramente contento di mantenere rapporti anonimi con le aziende dal momento che è interessato a saperne di più su incidenti e inadempienze in fatto di sicurezza. L’industria, dal canto suo, è scettica sul fatto che il governo sarà in grado di mantenere i rapporti anonimi e teme un’ulteriore regolamentazione a seguito degli incidenti che saranno sistematicamente segnalati ogni anno.