1 15 Table of Contents 17 52

F&N 114

Fieldbus & Networks FEBBRAIO 2023 FIELDBUS & NETWORKS 16 La Commissione potrà adottare un atto delegato (in pratica, un decreto at- tuativo) per individuare i servizi essenziali nei settori potenzialmente conte- nenti entità critiche e ogni Stato baserà il proprio risk assesment governativo nazionale su questo elenco. Inoltre, gli Stati membri dovranno basare il risk assesment governativo anche sui rischi legati alle interdipendenze, tema espressamente citato dalla Direttiva, quindi serviranno modelli di effetti do- mino e delle interdipendenze tra settori. Le entità critiche saranno individuate nei settori indicati, dovranno essere appartenenti allo Stato Membro e verranno selezionate su base dell’impatto derivante da incidenti che potrebbero causare discontinuità nella garanzia della fornitura del servizio essenziale correlato. L’impatto sarà calcolato in base a: numero di utenti coinvolti, estensione su altri settori, durata, conse- guenze economiche, ambientali, sulla salute, sulle attività sociali, sulla si- curezza pubblica e sul mercato libero, nonché sull’area geografica coinvolta, anche cross border, e sulla valutazione delle possibili alternative di approvvi- gionamento del medesimo servizio. Ogni Stato membro dovrà poi nominare un’autorità competente nazionale, che in Italia potrebbe essere l’ufficio del Consigliere Militare al Presidente del Consiglio dei Ministri, con la segreteria per le infrastrutture critiche, ufficio che ha anche negoziato la Direttiva per l’Italia. Teoricamente potrà essere coinvolto per le fasi decisionali anche il Nisp (Nucleo di Situazione e Piani- ficazione - Dpcm 5 maggio 2010), come già avvenuto nel recepimento della Direttiva 114/08. Gli Stati membri coopereranno tra loro e con le entità critiche le quali do- vranno redigere un risk assesment basato su quello nazionale e porre in essere contromisure adeguate per la riduzione dei rischi, in particolare per: prevenire gli incidenti; garantire adeguata sicurezza a tutti; rispondere, resi- stere e mitigare le conseguenze di eventuali incidenti; recuperare, garantire adeguata sicurezza a tutto il personale; effettuare adeguata awareness. Eventuali incidenti sulle entità critiche dovranno essere notificati all’au- torità competente nazionale indicando il numero di persone interessate, l’area geografica e la durata. Se l’entità critica fornisce il servizio essenziale in 6 o più Stati membri, è considerata critica a livello europeo e la Commissione potrà designare delle advisory mission per verificare la messa in opera delle contromisure. Le san- zioni saranno invece individuate a livello nazionale e la Commissione potrà scrivere linee guida per l’applicazione della Direttiva. Il Consiglio ha inoltre promulgato una proposta di raccomandazione sulla cybersecurity che anticipa alcune previsioni di NIS2 e CER, per velocizzare azioni specifiche sulla resilienza delle infrastrutture critiche, soprattutto nei settori di energia, infrastrutture digitali, trasporti e spazio. La raccomandazione individua soprattutto azioni per la condivisione delle informazioni e la risposta coordinata a livello europeo. Auspica inoltre che gli Stati membri abbiano un approccio ‘all hazard’ nell’analisi dei rischi e mettano in opera azioni immediate per aumentare la resilienza, anche con stress test nazionali. La nuova Direttiva CER completa il panorama normativo europeo sulle Infra- strutture Critiche (IC) e a 14 anni dalla prima norma esprime una profonda maturità dell’Europa sui temi della protezione delle IC, soprattutto riconci- liando la sicurezza negli ambiti cibernetico e cinetico e offrendo un punto di vista all hazard e risk based. Sicuramente il 2023 si aprirà con l’avvio dei primi LAP (Laboratori Ac- creditati di Prova), per il supporto alle valutazioni e alle certificazioni del Cvcn. Il passaggio per il Cvcn sarà obbligatorio per gli acquisti di reti, sistemi e servizi ICT da parte di operatori del 5G e del cloud e di tutti gli operatori appartenenti al Psnc (Perimetro di Sicurezza Nazionale Ciber- netica), per i servizi interni al perimetro stesso. Le aziende attendono la pubblicazione dello schema o degli schemi di valutazione e certificazione che verranno prescelti dell’ACN in attesa dell’adozione da parte dell’Eu- ropa degli schemi di certificazione europei avviati dal ‘Cyber Security Act’ e a oggi in lavorazione. L’Europa ha già proposto per la discussione con gli Stati membri uno schema generale di certificazione basato su ‘common criteria’, uno schema per il 5G e uno schema per il cloud, ma non ha reso nota la data di adozione prevista. Norme contro gli attacchi La 10a edizione dell’ Enisa Threat Landscape report , pubblicata lo scorso ottobre, sottolinea che, a partire dall’inizio del 2022, gli attacchi informa- tici sono in continuo aumento. Sulla base dell’analisi condotta, al primo posto tra le minacce che hanno interessato enti pubblici e privati, imprese e singoli cittadini nel corso del 2022 risulta essere il ransomware, seguito da malware, tecniche di social engineering (in particolare phishing) e data breach. Particolarmente diffusi risultano essere altresì gli attacchi DDoS: nel luglio del 2022 l’azienda Akamai ha rilevato e mitigato quello che è stato definito come il più grande attacco DDoS mai lanciato contro un cliente europeo sulla piattaforma Prolexic, con un traffico di attacco di- stribuito a livello globale che ha raggiunto un picco di 853,7 Gbps e 659,6 Mpps in 14 ore. Questa tipologia di attacco risulta essere sempre più com- plessa e tende a spostarsi verso le reti mobili e l’IoT (Internet of Things). Sempre secondo quanto emerso dal rapporto dell’Enisa, quasi il 50% delle minacce sarebbe rivolto verso Pubblica Amministrazione e governi (24%), for- nitori di servizi digitali (13%) e cittadini in generale (12%). Il restante 50% sa- rebbe invece diretto ai diversi settori dell’economia in maniera generalizzata. Al fine di contrastare le numerose minacce informatiche al Sistema Paese, nel corso del 2022 si è cercato di rafforzare il quadro normativo in ambito sia nazionale che europeo, come prova l’emissione delle due nuove Direttive. (*) Presidente AIIC - Associazione Italiana esperti in Infrastrutture Critiche - https://infrastrutturecritiche.it Secondo l’ Enisa Threat Landscape report 2022 , a partire dall’inizio del 2022 gli attacchi informatici sono in continuo aumento Fonte: Shutterstock

RkJQdWJsaXNoZXIy Mzg4NjYz