95

abitudini e nelle scelte strategiche

delle diverse entità della PA.

In questo senso ci pare debbano,

e dovranno, essere letti sia in

contenuti delle recenti iniziative

in materia di identità digitale,

quali SPID (in relazione all’entrata

in vigore del c.d. Regolamento

Comunitario e-IDAS in materia

di identificazione elettronica e

servizi fiduciari per le transazioni

elettroniche nel mercato interno)

sia, in divenire, i necessari percorsi

di adeguamento correlati all’entrata

in vigore nello scorso luglio della

direttiva NIS (Network and

Information Security) in materia di

misure volte a garantire un livello

comune elevato di sicurezza delle

reti e dell’informazione nell’Unione

Europea. In quest’ultimo

provvedimento, il legislatore

comunitario ha espressamente

previsto che la direttiva, il cui

scopo è il miglioramento della

sicurezza di internet, delle reti

e dei sistemi informativi privati,

fondamento per il funzionamento

delle società e delle economie

europee, nel contemplare

l’istituzione a livello nazionale da

parte delle PA di CSIRT – CERT

(Computer Emergency Response

Team), sia applicabile nei confronti

di specifici soggetti privati che

offrono i c.d. servizi essenziali.Vale

a dire per esempio: i servizi sanitari,

i trasporti, la fornitura di acqua e di

energia elettrica.

La ragione di una scelta siffatta è

illustrata nel considerando numero

3 della direttiva stessa ove si legge

che le reti e i sistemi informativi,

e in prima linea internet, svolgono

un ruolo essenziale nell’agevolare

i movimenti transfrontalieri

di beni, servizi e persone e

che gravi perturbazioni di tali

sistemi, intenzionali o meno e

indipendentemente dal luogo in cui

si verificano, possono ripercuotersi

su singoli Stati membri e avere

conseguenze in tutta l’Unione.

Le misure minime

di sicurezza ICT

Nell’ambito sopra descritto

si collocano i contenuti del

documento ‘Misure minime per

la sicurezza ICT per le Pubbliche

Amministrazioni’ emanate

dall’Agenzia per l’Italia Digitale

lo scorso 26 aprile in attuazione

della corrispondente direttiva della

Presidenza del Consiglio dei Ministri

del 1 agosto 2015.

Il documento, segnando un forte

elemento di discontinuità con

il passato, si ispira chiaramente

(definendo i c.d. ABSC - AgID

Basic Security Controls) da un lato

all’insieme di controlli noto come

SANS 20, pubblicato dal Center

for Internet Security, conosciuto

come CCSC ‘CIS Critical

Security Controls for Effective

Cyber Defense’ nella versione

6.0 di ottobre 2015; e dall’altro

ai contenuti del documento

‘Italian Cyber Security Report

Un Framework Nazionale per

la Cyber Security’ il quale, a sua

volta, è dichiaratamente orientato

ai contenuti del ‘Framework for

Improving Critical Infrastructure

Cybersecurity, version 1.0’ del

National Institute of Standards and

Technology statunitense.

La struttura a macchia di leopardo

che ne risulta appare, secondo

novembre-dicembre 2016

Giuseppe Serafini

,Avvocato

giuseppe.serafini@ordineavvocati.perugia.it

chi scrive, molto frammentaria

e nemmeno del tutto in linea,

quanto a completezza e metodo

di rappresentazione dei contenuti,

con le previsioni delle richiamate

norme di recente emanazione

comunitaria in materia di sicurezza

delle informazioni ispirate, ci pare, a

differenti criteri di standardizzazione;

ISO su tutti. Ferme queste

osservazioni, senza soffermarci sulla

cogenza delle misure indicate, nel

loro raccordo con le previsioni di

cui agli art. 31 e 169 del Codice

Privacy, ciò che sembra apprezzabile

è il tentativo di classificazione di

controlli e condotte che dovrebbero

guidare le PA italiane in percorsi

di rafforzamento delle misure di

protezione della sicurezza delle

informazioni nell’ottica, non solo,

di prevenire il successo di un

eventuale attacco, ma anche di

implementare efficaci strumenti di

rilevazione in grado di abbreviare i

tempi, oggi pericolosamente lunghi,

che intercorrono dal momento in

cui l’attacco primario è avvenuto

e quello in cui le conseguenze

vengono scoperte.

Riteniamo di poter interpretare a

tale stregua i controlli in materia

di regole tecniche relative alla

valutazione e correzione continua

delle vulnerabilità, copie di

sicurezza e protezione dei dati,

rispettivamente, ABSC 4, 10 e 13.

NEL PROSSIMO NUMERO

Nel prossimo numero, esamine-

remo, con riferimento ai criteri

che le imprese sono chiamate ad

attuare per salvaguardare lo spazio

cibernetico nazionale e comunita-

rio, i contenuti della Direttiva UE

2016/1148 del 6 luglio 2016 re-

cante misure per un livello comu-

ne elevato di sicurezza delle reti e

dei sistemi informativi nell’Unione

- NIS (Network and Information

Security Directive).