Cybersecurity Ue: resilienza e sicurezza by design con NIS2 e CRA

Obiettivi della Strategia dell’UE in materia di cybersicurezza per il decennio digitale

Tale Strategia rispondeva ai seguenti obiettivi:

• La necessità di rafforzare l’infrastruttura critica e i servizi essenziali attraverso la sicurezza informatica (l’attuale NIS2[2]).
• La volontà di creare uno scudo cibernetico europeo con la creazione di gruppi di intervento per la sicurezza informativa in caso di incidente (CSIRT) e attraverso una rete di Centri Operativi di Sicurezza (SOC) per monitorare e rispondere alle minacce informatiche.
• L’intento di sviluppare un’infrastruttura di comunicazione ultra-sicura basata su tecnologie quantistiche.
• Stabilire una Joint Cyber Unit per coordinare la risposta alle minacce informatiche su vasta scala e migliorare la cooperazione tra Stati membri e istituzioni UE.
• Combattere la criminalità informatica attraverso una maggiore cooperazione tra le autorità di cybersecurity e le forze dell’ordine migliorando le capacità di indagine digitale.
• Potenziare la capacità di difesa cibernetica dell’UE, in linea con la Strategia Globale dell’UE del 2016.
• Promuovere una visione del cyberspazio basata sui diritti umani, le libertà fondamentali e i valori democratici, attraverso la cooperazione internazionale.
• Guidare la definizione di standard e norme internazionali nel cyberspazio, assicurando che l’architettura di internet rimanga globale e aperta.
• Promuovere lo sviluppo di competenze cibernetiche avanzate attraverso l’istruzione e la formazione continua.

Queste linee programmatiche rispondono all’esigenza dell’UE di introdurre un impianto normativo mirato a rafforzare tre settori d’azione dell’UE: cioè la resilienza, la sovranità tecnologica e la leadership; la capacità operativa di prevenire, scoraggiare e rispondere; la cooperazione per promuovere un cyberspazio globale e aperto.

Gli impatti degli attacchi informatici

Gli attacchi informatici costituiscono una questione di interesse pubblico dato che hanno un impatto determinante su:

• L’economia dell’Unione.
• Sulla democrazia.
• La sicurezza dei consumatori.
• Sulla salute.

L’aspetto della resilienza delle infrastrutture digitali e la garanzia di un elevato livello di sicurezza sono aspetti di un approccio dinamico e adattabile alle minacce emergenti, ne consegue che è necessario dotarsi di un quadro giuridico uniforme e, le recenti normative, ne sono un esempio di questo corpus articolato.

Questo approccio rigoroso della necessità di una implementazione delle misure di sicurezza nella gestione del rischio si evidenzia all’interno:

• Direttiva (UE) 2022/2555, la cosiddetta NIS2 – Network and Information Security –  recepita recentemente in Italia attraverso il D. Lgs. n. 138/2024.
• Regolamento (UE) 2024/2847, il Cyber Resilience Act (CRA), relativo ai requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali.

Il presente approfondimento ha l’obiettivo di effettuare una disamina di alcuni elementi “sponsali” e di rinvio normativo che la Direttiva del 2022 e il Regolamento del 2024 non possono non avere, in quanto inserite all’interno di una Strategia UE che mira alla definizione di standard minimi di sicurezza che le organizzazioni devono rispettare.

NIS 2 e CRA: security by design

Non abbiamo una definizione univoca della nozione di security by design, in ambito tecnologico-normativo,esso è un concetto che implica l’integrazione della sicurezza in ogni fase del ciclo di vita di un sistema o di una applicazione. Si basa sull’approccio metodologico che la sicurezza deve guidare la progettazione e lo sviluppo del sistema.

All’interno delle logiche dell’ISMS (ISO/IEC 27001:2022), una linea guida utile che permette di inquadrare l’integrazione della sicurezza nelle applicazioni e nei processi di sviluppo software può essere fornita dallo standard ISO/IEC 27034-1:2011, che parte dall’assunto che la progettazione di software sicuro passi attraverso l’uso di tecniche di “secure coding” e l’analisi continua delle vulnerabilità. Essa ha l’obiettivo di assicurare che la sicurezza delle informazioni sia incorporata nelle fasi di progettazione, sviluppo e gestione delle applicazioni. In particolare, l’integrazione di misure di sicurezza nelle applicazioni – per questa linea guida – si compone delle seguenti fasi:

• la progettazione dei requisiti di sicurezza, seguita da
• una analisi dei rischi;
• la definizione di misure di controllo; e
• l’adozione di tecniche di sviluppo sicuro.

Gli obiettivi del Cyber Resilience Act

Il Cyber Resilience Act, che tratta dei requisiti di cibersicurezza per i prodotti con elementi digitali, definisce quattro obiettivi specifici[3]:

1. Garantire che i fabbricanti migliorino la sicurezza dei prodotti con elementi digitali fin dalla fase della progettazione e sviluppo e durante l’intero ciclo di vita.
2. Garantire un quadro coerente in materia di cibersicurezza, facilitando la conformità per i produttori di hardware e software.
3. Migliorare la trasparenza delle proprietà di sicurezza dei prodotti con elementi digitali.
4. Consentire alle imprese e ai consumatori di utilizzarli in modo sicuro.  

Il regolamento stabilisce un quadro normativo orizzontale per garantire che i prodotti hardware e software immessi sul mercato UE siano sicuri e protetti contro le vulnerabilità, in quanto i due problemi principali che comportano costi per gli utilizzatori e per la società, secondo il CRA sono:

• un basso livello di cibersicurezza dei prodotti con elementi digitali (vulnerabilità diffuse e una fornitura incoerente di aggiornamenti di sicurezza);
• una insufficiente comprensione delle informazioni e un accesso limitato alle stesse da parte degli utilizzatori (che impedisce di scegliere prodotti con proprietà di cibersicurezza adeguate e di utilizzarli in modo sicuro).

Gli obblighi in capo ai fabbricanti

I fabbricanti dovrebbero, pertanto, garantire che tutti i prodotti con elementi digitali siano progettati e sviluppati conformemente ai requisiti essenziali di cibersicurezza e ispirati alla nozione di security by design.

Questo obbligo, si riferisce ai prodotti:

• connessi in modo fisico tramite interfacce hardware;
• connessi in modo logico, ad esempio tramite socket di rete, pipe, file, interfacce per programmi applicativi o qualsiasi altro tipo di interfaccia software.

Stante che le minacce informatiche si possono propagare attraverso vari prodotti con elementi digitali prima di raggiungere un determinato obiettivo, ad esempio concatenando più exploit di vulnerabilità, i fabbricanti devono garantire la cibersicurezza anche dei prodotti con elementi digitali che sono connessi solo indirettamente ad altri dispositivi o reti.

Garantire la sicurezza della supply chain

Al fine di garantire la sicurezza della supply chain da parte dei fornitori di infrastrutture digitali a norma della direttiva (UE) 2022/2555 (c.d. NIS2), il CRA, che si applica a tutti i prodotti hardware e software collegabili, garantisce che i prodotti con elementi digitali che essi utilizzano per la fornitura dei loro servizi siano sviluppati in modo sicuro e che abbiano accesso ad aggiornamenti di sicurezza tempestivi per tali prodotti.

Infatti, la direttiva (UE) 2022/2555 mira a garantire un livello elevato di cibersicurezza dei servizi forniti dai soggetti essenziali e importanti (ex art. 3), compresi i fornitori di infrastrutture digitali che garantiscono i servizi e forniscono l’accesso a Internet. È quindi importante che i prodotti con elementi digitali necessari ai fornitori di infrastrutture digitali per garantire il funzionamento di Internet siano sviluppati in modo sicuro e siano conformi a norme di sicurezza Internet consolidate[4].

L’art. 24 del D. Lgs. n.138/2024 prevede l’adozione di “misure tecniche, operative e organizzative” adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

La sicurezza nella catena di approvvigionamento viene evidenziata anche all’interno della Strategia Nazionale di cybersicurezza 2022-2026[5] di ACN, in cui si ribadisce la necessità di integrare strumenti e metodologie per contrastare efficacemente questa tipologia di vulnerabilità, rafforzando i requisiti di sicurezza già a livello di progettazione (approccio by design).

In particolare, il comma 3 dell’art. 24 D. Lgs. n. 138/2024 prevede, per la valutazione delle misure di sicurezza della supply chain, di tenere conto:

• delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi;
• della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi (comprese le loro procedure di sviluppo sicuro);
• dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS.

In conclusione i fornitori e le terze parti rappresentano un vettore di rischio cruciale, sul punto è rilevante il rapporto di ENISA “Good Practices for Supply Chain Cybersecurity” del giugno 2023 che offre una panoramica delle pratiche di sicurezza informatica nella catena di approvvigionamento che rileva, da parte delle organizzazioni, l’adozione di un approccio basato sul rischio, che permette di concentrarsi sui fornitori più critici garantendo che vengano implementati controlli di sicurezza adeguati.

Questo medesimo approccio si ritrova sia all’interno dello standard della serie ISO/IEC 27036[6] che all’interno del framework NIST SP 800-161[7].

In entrambe le metodologie si prende in esame il ciclo di vita delle relazioni nella supply chain partendo dalla selezione dei fornitori, la gestione dei contratti, il monitoraggio e la conclusione delle relazioni; ogni fase del ciclo di vita deve essere gestita con controlli di sicurezza appropriati.

Non a caso nel considerando 13 del CRA si legge che la direttiva (UE) 2022/2555 prevede misure di gestione dei rischi di cibersicurezza per i soggetti essenziali e importanti, queste misure possono includere requisiti di sicurezza nella catena di approvvigionamento, che impongono l’uso di prodotti con componenti digitali che soddisfano standard di cibersicurezza più stringenti rispetto a quelli previsti dal regolamento. In linea con il principio di armonizzazione minima della direttiva, gli Stati membri possono, quindi, introdurre requisiti aggiuntivi per l’uso di prodotti TIC da parte di soggetti essenziali o importanti, al fine di garantire un livello più elevato di cibersicurezza, purché tali requisiti siano compatibili con gli obblighi previsti dal diritto dell’Unione Europea.

Note

[1] Considerando 1 Reg. (UE) 2024/2847.

[2] Direttiva (UE) 2022/2555.

[3] Nota 30, Sicurezza Informatica, Obblighi e responsabilità dopo il recepimento della NIS2 e la L. n. 90/2024, di F. Micozzi, 2024, Wolters Kluwer

[4] Considerando 24, Reg. (UE) 2024/2847.

[5] ACN, Strategia Nazionale di Cybersicurezza, https://www.acn.gov.it/portale/strategia-nazionale-di-cybersicurezza

[6] ISO/IEC 27036:2021 (Part 1: Overview and concepts; Part 2: Requirements; Part 3: Guidelines for hardware, software and services supply chain security; Part 4: Guidelines for security of cloud services).

[7] Cybersecurity supply chain risk management (C-SCRM) Practices for systems and organizations.