tratto da Agenda Digitale

L’ultimo quinquennio è stato caratterizzato da un generalizzato aumento del livello di attenzione intorno al tema della cyber security. Da questione riservata a consessi tecnici ristretti, ha guadagnato il suo spazio all’interno delle agende di governi e istituzioni in tutto il mondo, come del resto era inevitabile alla luce della sempre più incombente “minaccia cibernetica“.

L’Italia, dal canto suo, ha compiuto recentemente alcuni significativi passi nella giusta direzione, uniformandosi al nuovo “sentiment” in tema di sicurezza cibernetica e recependo le linee di azione tracciate a livello europeo con i regolamenti e le direttive precedentemente analizzate.

Vediamo allora di seguito gli interventi più significativi in materia di cyber security in ambito europeo e nel nostro Paese, con una panoramica sui principali provvedimenti che hanno caratterizzato il panorama normativo cyber italiano negli ultimi cinque anni e gli elementi comuni attorno ai quali si è consolidata la strategia italiana.

Non è un caso, ad esempio, che a margine del G7 dei ministri degli esteri e del G7 industria, entrambi tenutisi nel 2017 in Italia (rispettivamente a Lucca e a Torino), siano stati prodottidue documenti specificamente dedicati alla cyber security: il primo, datato 11 aprile 2017 ed intitolato “G7 Declaration On Responsible States Behavior In Cyberspace”, contiene una sorta di impegno condiviso alla cooperazione internazionale per la realizzazione di uno spazio cibernetico aperto, accessibile, affidabile e sicuro^[2]; il secondo, datato 26 settembre 2017 ed intitolato “G7 Actions For Enhancing Cybersecurity For Businesses”, si concentra invece sull’individuazione di una serie di procedure condivise di risk management per rafforzare la resilienza dello spazio cibernetico in cui operano le imprese private.

Sulla stessa lunghezza d’onda, autorevoli voci del mondo politico e imprenditoriale come quella di Warren Buffet si sono spinte persino a dire che i rischi in ambito cyber saranno il principale problema dell’umanità di qui agli anni a venire, rappresentando essi ad oggi un territorio di fatto inesplorato e dal potenziale critico catastrofico per le infrastrutture informative degli Stati moderni.

I primi impulsi di natura regolamentare sul tema della cybersecurity si devono all’Unione europea, che a partire dal 2013 ha emanato una serie di provvedimenti che vanno nella direzione del rafforzamento della resilienza del proprio spazio cibernetico e identificano alcuni principi strategici, operativi e organizzativi per la gestione comune della minaccia cyber e lo sviluppo di risorse tecnologiche in grado di garantire un adeguato livello di difesa delle infrastrutture informative.

Gli interventi più significativi in tal senso sono:

• l’emanazione, in data 21 maggio 2013, del Regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio, relativo all’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA);
• l’adozione, in data 6 luglio 2016, della direttiva sulla sicurezza delle reti e dei sistemi informativi (meglio nota come “direttiva NIS” 2016/1148 del Parlamento europeo e del Consiglio), recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione;
• l’emanazione, in data 12 marzo 2019, del Regolamento del Parlamento europeo e del Consiglio che abroga il regolamento (UE) n. 526/2013 sull’ENISA, relativo alla certificazione della sicurezza cibernetica per le tecnologie dell’informazione e della comunicazione (conosciuto come “Cybersecurity Act“).

leggi l’articolo completo