In questo articolo proviamo a rivivere in pillole l’anno appena passato oltre a dare il nostro punto di vista su alcuni dei cambiamenti più rilevanti che potranno avvenire nel corso del 2019. Prima di tutto partiamo da quanto successo l’anno scorso: il 2018 si può dire, senza dubbio, che sia stato l’anno del GDPR. In termini normativi il 2018, per la sicurezza informatica, è stato un grande anno e nel 2019 l’obiettivo primario sarà consolidare quanto fatto l’anno scorso.

La cybersecurity del 2018

Prima di arrivare a parlare del GDPR, ci soffermiamo sugli altri elementi importanti che hanno contraddistinto il 2018.

Il Cybersecurity act

Non solo GDPR, il 2018 è stato anche l’anno in cui il Cybersecurity act introduce un nuovo modello su livello europeo in grado di certificare la sicurezza dei prodotti ICT e dei servizi.  Attraverso questo Cybersecurity act l’Europa ha deciso di fare un passo in avanti istituendo un’agenzia per la sicurezza informatica. La precedente agenzia, ad ogni modo, ENISA, viene valorizzata dal Cybersecurity act e il suo compito ora sarà quello di operare a 360 gradi integrandosi con le altre agenzie presenti in modo da innalzare ulteriormente il livello di cybersecuriuty.

La pubblica amministrazione

L’Italia, l’anno passato, si è vista protagonista di altri provvedimenti significativi in ambito sicurezza informatica. Uno di questi fa riferimento alla cybersecurity delle pubbliche amministrazioni. L’AgID (Agenzia per l’Italia Digitale) si è adoperata in questo senso stilando una lista che comprende le misure di sicurezza che devono necessariamente essere implementate da parte delle pubbliche amministrazioni. Queste misure sono state accolte molto positivamente dallo scenario italiano: non sono state recepite come un puro adempimento burocratico ma il numero delle amministrazioni che si sono mobilitate ai fini di un incremento della propria sicurezza è realmente aumentato. Il come sono state proposte queste best practice è l’elemento chiave che ne ha permesso la diffusione: molte piccole e medie imprese le hanno usate come linee guida per aumentare i propri livelli di sicurezza.

La protezione delle infrastrutture critiche per il paese

Come abbiamo detto in principio, il 2018 è stato un anno ricco di sorprese e di sviluppi in ambito cybersecurity.
La Comunità Europea, quindi, si è dovuta trovare ad affrontare una direttiva (che in quanto tale presuppone il recepimento da parte degli stati membri attraverso delle leggi interne) molto importante relativa allo sviluppo della sicurezza attorno ai fornitori di servizi digitali e agli operatori di servizi essenziali quelle che una volta venivano più comunemente dette infrastrutture critiche: la direttiva NIS. L’Italia si è dimostrata molto recettiva verso la direttiva nonostante abbia deciso di tenere segreta la lista dei propri operatori di servizi essenziali.
Questa misura, del tutto comprensibile e peraltro condivisa da molti stati dell’Unione, ha carattere prudenziale. Il crescente numero di attacchi informatici renderebbe queste infrastrutture un bersaglio molto ambito. Pensate solo a cosa potrebbe succedere se un’infrastruttura critica per il paese Italia smettesse di funzionare a causa di un attacco criminale.
Per poter chiudere questo cerchio, tuttavia, manca un elemento fondamentale: la nuova istituzione centrale in capo delle attività di prevenzione, gestione e risposta agli incidenti informatici nei settori pubblico e privato. Questa struttura, il CSIRT, al momento non esiste se non astrattamente. I compiti che dovrebbero essere in capo a questa struttura vengono svolti in sedi separate e l’obiettivo è quello di rendere operativo il CSIRT entro la fine del 2019. Potremmo dunque inserire questa voce nella lista dei buoni propositi per l’anno che ci aspetta.

GDPR

Questo è il vero protagonista dello scorso anno. La data dell’entrata in vigore è ancora ben stampata nelle nostre menti (25 Maggio 2018). Il countdown ci ha accompagnato addirittura per mesi. Il GDPR (General Data Protection Regulation) rappresenta la svolta normativa per quanto riguarda la gestione e la protezione dei dati. Durante lo scorso anno, l’Italia è riuscita ad adattare la normativa vigente precedente al GDPR alla nuova normativa costruendo un panorama legislativo completo in materia di data protection.

La svolta ed i cambiamenti introdotti dalla nuova normativa sono moltissimi: i soggetti che hanno a che fare con trattamenti dei dati devono ora sottostare ad un paradigma di sicurezza che non era contemplato in precedenza. Devono essere garantite misure di sicurezza idonee e i relativi diritti degli utenti nelle fasi di trattamento di dati. Il vero punto di rottura col modello precedente è il principio di accountability. E’ compito del responsabile del trattamento analizzare i livelli di rischio presenti nei propri trattamenti (sia a livello organizzativo che tecnologico) e garantire che i trattamenti stessi vengano effettuati in sicurezza. I soggetti titolare che vengono responsabilizzati dalla normativa hanno anche il compito di notifica di eventuali data breach nell’arco di 72 ore all’autorità competente in materia. Molta confusione, quando si parla di GDPR, viene alzata intorno alla figura del DPO (di cui, ribadiamo, non è necessaria la nomina per tutte le aziende). La figura del Data Protection Officer deve supportare il titolare del trattamento per quanto riguarda le tematiche relative ai trattamenti dati.

Cosa ci aspetta nel 2019

Il 2018, come abbiamo visto, è stato un anno ricchissimo di cambiamenti e nuove introduzioni. Il 2019, di conseguenza, dovrà senz’altro essere un anno di consolidamento durante il quale le misure appena introdotte verranno rese pienamente efficaci (basta analizzare quanto abbiamo detto circa il CSIRT). Il GDPR è ormai pienamente recepito dal paese e dalle singole aziende che sono a buon punto verso la strada della compliance. Nonostante questo è necessario non vanificare quanto fatto nel 2018: il CSIRT dovrà essere reso operativo entro la fine dell’anno. Il sistema della sicurezza informatica italiana ha fatto concreti passi in avanti comprendendo a pieno quanto fosse necessario un rinnovamento dell’intera struttura. A questo proposito, l’Europa – sotto la guida dell’ENISA – ha sviluppato un apparato di sicurezza equilibrato ed uniforme che si propone di affrontare le minacce di sicurezza informatica in maniera efficace ed efficiente.

© RIPRODUZIONE RISERVATA