L’evoluzione dello scenario normativo in ambito di Cyber Security, definito dal Perimetro di Sicurezza Nazionale Cibernetica, impone il rispetto di una serie di requisiti da parte delle Organizzazioni impattate. Pertanto, è opportuno definire un approccio strutturato che garantisca la readiness dei soggetti coinvolti in tale ambito.
- Il D.L. 105/2019 istitutivo del Perimetro di Sicurezza Nazionale Cibernetica e i successivi decreti attuativi.
- Gli obblighi per i soggetti nominati inerenti la predisposizione dell’elenco dei Beni ICT, le modalità e le tempistiche di notifica e comunicazione degli incidenti di sicurezza, nonché le misure di sicurezza da implementare e la verifica esternalizzata della fornitura di prodotti e servizi.
- L’approccio EY ed il pool di competenze offerte, al fine di supportare i soggetti nominati nella compliance alla normativa sul Perimetro di Sicurezza Nazionale Cibernetica e successive evoluzioni.
Normative di riferimento in ambito Perimetro di Sicurezza Nazionale Cibernetica
Gli interventi del legislatore nazionale in materia di Cyber Security conseguono alla diffusa consapevolezza della rilevanza della minaccia cibernetica, che ha imposto il passaggio da strategie meramente di contrasto ad un approccio proattivo. La normativa NIS ha rappresentato il primo step fondamentale per la costruzione di una Cyber Security Strategy comune a tutti i paesi dell’Unione Europea, completata a livello nazionale dall’istituzione del Perimetro di Sicurezza Nazionale Cibernetica e dalla creazione dell’Agenzia per la Cybersicurezza Nazionale.
Il 21 settembre 2019 è stato emanato il D.L. n.105/2019 (convertito con modifiche in Legge il 18 Novembre 2019 n.133/2019), contenente “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica” il quale ha demandato l’attuazione del dettato normativo a successivi quattro D.P.C.M. L’obiettivo principale dell’istituzione del Perimetro è quello di «assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi sede nel territorio nazionale da cui dipende l’esercizio di una funzione essenziale dello Stato ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale».
Il D.P.C.M. n. 131/2020 (primo decreto attuativo) ha previsto la predisposizione e l’aggiornamento, con cadenza almeno annuale, degli elenchi dei beni ICT intendendosi per tali reti, sistemi informativi e servizi informatici necessari allo svolgimento delle funzioni essenziali dello Stato e l’erogazione dei servizi essenziali. Mediante lo svolgimento dell’analisi del rischio e in ossequio al principio di gradualita' sancito dalla normativo, i soggetti sono chiamati ad individuare tutti quei beni ICT la cui indisponibilità, a fronte della verificazione di un incidente, potrebbe inficiare lo svlgimento della funzione / servizio essenziale o una compromissione degli stessi, con effetti irreversibili sotto il profilo della integrita' o della riservatezza dei dati e delle informazioni.
L’11 giugno 2021, con la pubblicazione del D.P.C.M. n. 81/2021 (secondo decreto attuativo), sono state definite le modalità di notifica e comunicazione, al CSIRT italiano, degli incidenti di sicurezza aventi impatto su reti, sistemi informativi e servizi informatici nonchè l’adozione (entro 6 mesi o entro 30 mesi dalla data di trasmissione degli elenchi dei beni ICT) di misure volte a garantire elevati livelli di sicurezza . In tal senso i soggetti nominati, sino al 31 dicembre 2021 procederanno in via sperimentale alle notifiche nelle modalità stabilite dalla normativa, in quanto l’obbligo effettivo decorrerà a partire dal 1 gennaio 2022.
A completamento dell’attuazione del Perimetro Cibernetico restano attualmente gli ultimi due decreti attuativi riguardanti la verifica della fornitura esternalizzata di prodotti e servizi, rispetto ai quali il D.P.R. n. 54/2021 ha regolato procedure, modalità e termini per le valutazioni da parte del CVCN e dei CV, su prodotti in acquisizione da parte dei soggetti inclusi nel perimetro nonchè i poteri di verifica e ispezione delle Autorità competenti.
L'approccio di EY
Avvalendosi del team di professionisti con maturata esperienza nell’area di Cyber Security & Digital Protection, EY fornisce supporto ai player aventi un ruolo chiave nel settore pubblico e privato, al fine di assicurare la compliance ai requisiti richiesti in ambito di Perimetro di Sicurezza Nazionale Cibernetica, garantendo inoltre un osservatorio continuo sulle evoluzioni del landscape normativo. Tale pool di professioni è stato specificatamente costituito proprio al fine si seguire gli sviluppi sul panorama normativo in tale ambito e declinarne l’applicazione dal punto di vista tecnico a favore delle Aziende impattate.
In tal senso, EY utilizza una metodologia strutturata su un’analisi puntuale del contesto al fine di rivelare l’ecosistema inerente alla funzione/servizio essenziale e sullo svolgimento dell’analisi dei rischi, attraverso la quale è possibile identificare gli asset IT/OT critici. L’obiettivo è quello di definire l’elenco dei Beni ICT critici, di individuarne gli elementi principali e di permettere un aggiornamento tempestivo ed efficace dell’elenco stesso.
Rispetto ai requisiti previsti dal secondo D.P.C.M., EY fornisce supporto ai clienti per l’identificazione e l’implementazione di misure di sicurezza e modalità di notifica degli incidenti. Relativamente a quest’ultimo requisito EY pone in essere attività di revisione, definizione e adeguamento del processo di “Incident Management” nonché attività di testing, che consentono di identificare gap e azioni di remediation al fine di garantire la conformità alle stringenti tempistiche di notifica imposte dalla normativa. Inoltre, in materia di adeguamento alle misure di sicurezza, EY supporta il cliente nelle attività di assessment dell’attuale maturity level e nella definizione di una roadmap volta all’implementazione dei requisiti, nonché all’individuazione delle figure organizzative indicate nella normativa.
L’expertise EY in ambito Cybersecurity, le competenze di assessment e design, la pregressa conoscenza di standard e framework operativi, la multidisciplinarietà di approccio (legal & risk per taluni aspetti) rendono affidabili, robusti e conferiscono valore aggiunto ai servizi offerti a beneficio dei Clienti che necessitano di un partner in grado di supportarli in attività nuove, strategiche e complesse.
Inoltre, EY fornisce supporto nella definizione di un percorso virtuoso connesso al PNRR, che può effettivamente facilitare l’esecuzione di una evoluzione cyber coerente con le strategie Nazionali.
Conclusioni
EY si pone come partner principale per la fornitura di servizi volti all’adeguamento ai requisiti normativi nonché per il miglioramento del livello di protezione aziendale, stante l’importanza crescente a livello nazionale e transnazionale in materia di Cyber Security ed alla necessità per le Organizzazioni di innalzare i livelli di Cyber Security posture. Tale vista si amplia a tutte le evoluzioni normative previste in tale ambito, come ad esempio la NIS 2.0.