1. NIS e GDPR due ambiti normativi complementari ma diversi
La recente attivazione dei due dispositivi normativi europei NIS e GDPR nel mese di maggio 2018, sono stati preceduti e ora accompagnati da corpose interpretazioni nazionali e internazionali, analisi e reportistica istituzionale europea e statunitense e framework, linee guida, metodologie necessarie per l’applicazione degli obblighi di compliance previsto dalle norme suddette. Queste prevedono, segnatamente in ambito ICT, il risk management e l’assessment digitale e la gestione dello stesso per il settore delle cosiddette ‘infrastrutture critiche’ e dei fornitori di soluzioni e servizi digitali da un lato; dall’altro l’adozione delle misure tecniche e tecnologiche per la protezione dei dati ovvero per il trattamento digitale degli stessi e l’elaborazione, ove prevista, del documento di assessment di impatto relativo alla protezione dei dati personali e al registro connesso.
Nella sovrapposizione anche temporale delle norme, varate nel 2016 ma lasciate maturare nel recepimento fino al 2018, si è assistito a semplificazioni e a misinterpretazioni non utili al governo generale delle tematiche di sicurezza e di accountability implicate.
Fare chiarezza e utili distinzioni sulle due norme riguarda tematiche solo in parte assimilabili nelle nozioni di cyber risk e impatto. Semplificazioni che complicano la strada interpretativa e applicativa delle norme da parte di imprese, istituzioni e privati.
1.1. L’oggetto della NIS e del GDPR
Per cominciare, la Direttiva UE 2016/1148 del 6 luglio 2016 (per brevità NIS, sicurezza delle reti e dei sistemi informativi) e il Regolamento generale sulla protezione dei dati personali (GDPR), si occupano di normare, come anticipato, ambiti diversi. Da una parte, la Nis si occupa dell’ambito dell’economia digitale esposto in maniera più grave alle conseguenze degli attacchi cyber. Si tratta, come già detto, delle cosiddette ‘infrastrutture critiche’, rappresentazione confluita nel riferimento normativo formale ad operatori di servizi definiti ‘essenziali’. La difesa dei servizi essenziali richiede gestione e valutazione del rischio cibernetico e degli impatti inerenti attacchi ai servizi medesimi. A questi operatori di sistema sono correlati i vendor ovvero i fornitori di servizi digitali con relativi obblighi e sanzioni in materia di incidenti e violazioni di sicurezza.
Un primo interrogativo riguarda proprio la distinzione. Ché, se la norma è tesa a proteggere gli interessi dei sistemi Paese che si reggono su servizi di utilità generale come i trasporti, l’energia, l’acqua, il sistema bancario e finanziario, la sanità, le infrastrutture digitali, la gestione della sicurezza da parte delle aziende e delle istituzioni che erogano tali servizi essenziali poggia in larga misura sui fornitori di servizi digitali il cui elenco, tuttavia, sorprende poiché l’elenco nella NIS individua solo tre tipologie: mercati on line, motori di ricerca e cloud.
E’ evidente, intanto, che le infrastrutture digitali sono sì servizi essenziali ma anche gestori delle stesse e per ciò fornitori di servizi digitali alle infrastrutture critiche.
E, d’altro canto, se il tema è la cybersecurity dei servizi essenziali, non si comprende dove si collochino i vendor di sistemi operativi, applicativi vari e dispositivi digitali in genere, fissi e mobili su cui si accaniscono il cybercrime e i relativi incidenti/attacchi informatici ad aziende e istituzioni.
Nel caso del regolamento generale sulla protezione dei dati personali (General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679, noto con l’acronimo GDPR, va immediatamente ricordato che la norma ha come oggetto “la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.
Il GDPR, come è dato di leggere, a differenza della Nis si occupa dunque di ambiti in parte diversi: da un lato del trattamento dei dati ‘personali’ detenuti da enti, aziende, studi professionali, ecc., tema oggi rivisitato alla luce dei rischi di sicurezza insiti nel mercato e nell’economia dei dati stessi, connesso ovviamente all’obbligo della difesa cyber; dall’altro della garanzia della libera circolazione dei dati personali, ovvero di come questi sono acquisiti, trattati, scambiati mediante tecnologie digitali avanzate: dunque la norma intende tutelare la libera circolazione dai dati personali anche extra UE e garantisce i fornitori di servizi digitali.
2. Nis e mercato
Nel contesto del mercato digitale internazionale, la NIS sollecita riflessioni sulle potenziali criticità e ripercussioni della stessa sugli equilibri del mercato digitale in generale e della cyber security in particolare.
2.1. I soggetti implicati e le specificità normative
In questo profilo, un tema chiave, nell’ambito della Nis, è quello degli “operatori di servizi essenziali” e della loro identificazione potenzialmente selettiva sulla base di criteri di identificazione che possono risultare non omogenei nei diversi stati membri. Ad evitare ciò sono preposti ENISA e il gruppo di cooperazione previsto dalla NIS.
Partendo dal presupposto che alle scadenze si tenga fede, gli stati membri dovranno redigere le liste degli operatori di servizi essenziali entro il 9 novembre prossimo (art. 23).
Poi il perimetro della normativa. A livello di obblighi e sanzioni previsti per gli operatori di servizi essenziali la Nis prevede una complessa integrazione normativa settoriale e intersettoriale.
Vediamo.
Gli operatori di servizi essenziali sono aziende private o enti pubblici con un ruolo importante per la società e l’economia nei seguenti settori:
- Energia: elettricità, petrolio e gas
- Trasporto: aereo, ferroviario, marittimo e stradale
- Bancario: gli istituti di credito
- Infrastrutture dei mercati finanziari: le sedi di negoziazione e le controparti centrali
- Salute: ambienti sanitari
- Acqua: fornitura di acqua potabile e distribuzione
- Infrastruttura digitale: specificamente gli Internet Exchange point, i fornitori di servizi DNS (Domain Name System) e i registri TLD (Top Level Domain)
Ora, i ‘considerando’ della Direttiva ci informano che ambiti quali il bancario finanziario e il trasporto marittimo dispongono di norme di settore che andranno valutate e integrate ai fini dell’applicazione della nuova norma al di là della definizione parametrata di servizi essenziali, espressi tautologicamente come ‘servizi essenziali’.
Dunque, poiché le norme nazionali sono il riferimento d’obbligo, saranno da verificare discrepanze normative e interpretative nei settori indicati.
Inoltre, in virtù di questa formulazione il testo della Nis sembra lasciare intendere che gli operatori di servizi essenziali vanno identificati con un “nome e cognome” preciso.
Siamo di fronte a un primo vulnus potenziale per il quale l’identificazione eventualmente selettiva degli operatori di servizi essenziali, incluse le multinazionali europee e internazionali, potrebbe dar luogo a trattamenti esoneranti a seconda delle liste dei diversi stati membri, della stabile organizzazione e/o della localizzazione territoriale del ‘rappresentante’ delle medesime, come previsto dalla NIS.
2.2. Autorità, territorialità e il rischio della scelta ‘geografica’
C’è poi un terzo tema, di tipo giuridico ed economico gestionale , in materia di Nis che riguarda le Autorità competenti, le sanzioni da comminare e la territorialità. Le grandi aziende di servizi si avvalgono di reti di aziende di intermediazione dei servizi stessi, a cascata, ad esempio nell’energia, nell’acqua, nelle telecomunicazioni, ecc. Come si comporteranno in materia le Autorità nel caso di incidenti a questi soggetti e non alle case madri? E come dovrà intendersi l’obbligo di compliance a standard di sicurezza? E, ancora, fino a che livello dovranno attuarsi analisi per il risk assessment e la risk evaluation?
Si tratta di un tema cardine dato che la Nis prevede casi di violazione e sanzioni su scala economica. Sanzioni che sarà l’Autorità di competenza a comminare.
Veniamo, allora, alle sanzioni economiche e al loro valore di deterrenza nel caso di mancata compliance da parte delle aziende/istituzioni . Nel recepimento italiano, francese e tedesco l’entità economica delle sanzioni appare irrilevante a fini dissuasivi.
Forse ciò dipende dalla qualità multinazionale dei fornitori. Infatti, il fornitore che non è stabilito nell’Unione deve designare un ‘rappresentante’ in uno degli stati in cui il fornitore eroga servizi. E’ l’annosa questione posta, ad esempio, anche ai fini contrattuali, per la localizzazione dei dati cloud su server situati o meno in Europa, questione ‘risolta’ temporaneamente con l’accordo Privacy shield che rientra almeno temporaneamente nelle previsioni del GDPR.
Ora, dovendo una multinazionale di servizi digitali senza stabile organizzazione sul territorio europeo designare un ‘rappresentante’ in uno degli stati membri della UE, essa sceglierà lo stato che commini sanzioni meno onerose nel caso di violazioni della norma e di incidenti. Sarà pertanto vitale una reale armonizzazione europea che eviti fughe delle multinazionali sui territori nazionali che offrono condizioni sanzionatorie più vantaggiose.
Non pare dignitoso andare in direzione di una scelta basata sul ribasso più alto.
Per quanto riguarda la designazione delle autorità competenti all’attuazione della normativa NIS e alla vigilanza sul rispetto della stessa, il modello istituzionale scelto dal governo italiano, a differenza da quelli francese e tedesco, è di tipo decentrato. Per il nostro Paese, sono state designate quali ‘autorità competenti NIS’ cinque ministeri (sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente), ciascuno responsabile per uno o più settori che rientrano nelle proprie aree di competenza. Si tratta di un modello a metà tra quello fortemente centralista francese, con un’unica autorità competente, e quello decentrato dei paesi nordici come la Svezia dove i compiti normativi e di vigilanza in materia di cybersecurity sono attribuiti ad una serie di agenzie pubbliche competenti per settori specifici.
2.3. Gli standard e la, potenziale, quarta rivoluzione industriale
Un’ ulteriore riflessione, sempre in materia di Nis, potrebbe aprire la strada alla vera e propria quarta rivoluzione industriale. E’ il sistema delle certificazioni e degli standard su cui si muovono anche le trattative transatlantiche del tipo TTIP, TiSA e CETA. Il punto interrogativo è il seguente: quando acquisto una soluzione tecnologica con uno standard europeo o statunitense sto facendo o meno un’operazione di politica industriale?
La Nis prevede che ci siano certificazioni di prodotti e servizi digitali nel mercato degli Stati membri che rispecchino standard europei e/o internazionali. Potrebbe succedere che l’Italia, rispetto alla Francia o alla Germania, decidesse di riconoscere standard diversi per la certificazione dei prodotti e dei servizi digitali. Teoricamente, ma solo teoricamente, dunque, il perimetro di adeguatezza potrebbe essere oggetto di complesse negoziazioni politiche industriali. E’ la prospettiva di una rivoluzione potenziale del mercato, tema su cui è incentrato il cyberact europeo, poiché se mancasse omogeneità nel riconoscimento degli standard si potrebbero creare situazioni di mercato e concorrenza altamente conflittuali.
La compliance a norme UE e internazionali comprende infatti linee guida e standard quali il framework NIST, COBIT, ISO, ISA, ecc. Ma a quali e a quante delle decine di standard sarà data la preferenza obbligatoria, già assegnata nei singoli stati membri, a livello europeo?
Questo, come ho avuto modo di segnalare, è un bug applicativo per il quale potrebbe scatenarsi una ‘guerra’ degli standard tra i vendor di prodotti e servizi digitali essendo le norme europee e statunitensi diverse e di diverso impatto nei prodotti e servizi stessi, come lascia già intendere la ‘guerra sui dazi’ in corso. E’ poi ovviamente immaginabile la pressione lobbistica delle aziende che vendono ed erogano servizi digitali nei singoli stati membri e in Europa.
2.4. E compliance non è sicurezza
C’è un’ulteriore dimensione, di attenzione più generale ma altrettanto critica, che emerge dalla normativa Nis, in relazione all’adeguamento delle imprese e delle istituzioni italiane alla norma. Non sono certa che il sistema abbia colto il concetto che la compliance normativa non coincide con la sicurezza se intesa come obbligo al livello di minor impegno possibile e finga, dunque, di aderire alla norma in termini di sola compliance. Le aziende e le istituzioni, insomma, si uniformeranno alla norma per essere compliant o perché valutano a fondo il rischio cibernetico cui sono esposte?
Temi quali la costituzione di un management istituzionale e aziendale interdisciplinare della sicurezza e della protezione dei dati, della creazione di awareness, consapevolezza effettiva comportamentale nel personale tutto, di scelta oculata delle tecnologie difensive, di formazione adeguata, ecc. implicano una policy by design della cybersecurity e del cyber risk, per usare una terminologia onnicomprensiva, che chiamano in causa direttamente le imprese ad assumere comportamenti, regole, strategie pertinenti.
E, in ogni caso, la sicurezza non è responsabilità delle sole imprese e istituzioni: essa chiama direttamente in causa un tessuto industriale, accademico e istituzionale che, a livello di security, soprattutto in Italia, ma in tutta l’Europa, dovrà essere in grado di esprimere abilità, competenze e capacità di accompagnare il sistema nella corretta declinazione di questi processi normativi. Prospettiva ambiziosa ma anche estremamente critica a livello di interpretazione, applicazione e connesse scelte di economia digitale.
2.5. Le Autorità
Nel contesto nazionale, come detto, l’applicazione della Nis dovrà essere sottoposta a controllo e monitoraggio di nuove Autorità. Tradotto economicamente il quesito: quali competenze gestionali, specifiche e diffuse, con che capacità gestionale amministrativa, con quali competenze professionali e con quali modalità tecnologiche opereranno le Autorità? Il tema preoccupa per le note ristrettezze economiche del sistema.
Infine, con quale coerenza tra le cinque autorità a livello nazionale e nel coordinamento internazionale. I decreti in gestazione dovranno millesimare contenuti e parole.
3. Il GDPR e le nozioni di protezione e trattamento del dato
Sul GDPR in questi ultimi mesi si è detto inevitabilmente molto, con semplificazioni spesso centrate sulla figura del DPO che, com’è noto, non è responsabile né tantomeno titolare del trattamento di protezione dei dati personali e con soluzioni tecnologiche di sicurezza offerte alle aziende come prontuari di primo soccorso.
Anzitutto va detto che la norma è bifronte: tutela le persone fisiche nei loro diritti ‘civili’ correlati ai dati; tutela altresì le aziende, gli enti, i detentori di dati insieme a quelli dei fornitori di servizi digitali. Per intenderci, una banca che detenga dati personali di clienti in cloud dovrà sapere che la localizzazione e il trattamento dei dati su server non localizzati in territorio europeo è legittima se i ‘territori’ statuali garantiscono ‘adeguata’ protezione.
Qui dobbiamo dunque distinguere alcuni concetti.
3.1. La nozione di ‘dato personale’
Anzitutto, la nozione di ‘dati personali’ in quanto identificativi di specifiche soggettive che possono nuocere al singolo individuo se indebitamente usati (come a suo tempo indicato per la privacy). Ma quali e quanti sono i dati personali di cui parliamo? Questi dati possono essere oggetto di profilazione a certe condizioni e possono essere anonimizzati o pseudonimizzati. Ma ciò è sufficiente?
E, soprattutto, cosa significa trattamento dei dati personali se non analizzare i diversi processi aziendali/istituzionali che utilizzano dati e le diverse tipologie di dati implicati.
Il punto più interessante, poi, è l’uso di queste masse di dati che, se vendute o esternalizzate, ad esempio con un attacco cyber, possono creare guai di varia natura, economica, sociale, politica o consentire violazioni di diritti civili come il recente caso Facebook/Analytica ha dimostrato. E, dunque, si intende che la protezione dei dati personali interessa più le aziende e le istituzioni che i singoli che, tutto sommato, non sono a conoscenza ad oggi, dell’uso digitalmente complesso degli stessi e che stenterebbero a dimostrare l’impatto negativo dell’abuso in relazione ai propri diritti civili o a propri interessi.
Tuttavia, non è casuale che il considerando 71 del GDPR alluda al rischio di profilazioni digitali con esiti decisionali negativi per la persona, ad esempio per ottenere un prestito bancario: tema su cui già si è aperto il dibattito, qualora si operi con modelli di intelligenza artificiale. E, dunque, in casi simili, è previsto il diritto alla spiegazione della decisione negativa automatizzata, formulata da un soggetto fisico, umano, non dalla macchina. Insomma il concetto di violazione dei dati non è di così immediata comprensione e applicazione anche ai fini di una necessaria o eventuale notifica alle autorità competenti.
3.2. La difesa by design e by default
Un aspetto rilevante è la richiesta nella norma di un‘adeguata’ protezione dei dati in chiave tecnologico-digitale, con criteri evocati di difesa by design e by default. Questi criteri, tecnologicamente e gestionalmente parlando, non sono ancora maturi e, al più, corrispondono a necessarie policy di sistema, con buona pace del legislatore. Va infatti rilevato che il vero nodo è la nozione, ben definita nella norma, di ‘trattamento’ dei dati, nozione digitalmente assai complessa per la quale non esistono tool preconfezionati e policy assestate.
Va a questo punto rilevato che il cyber-risk assessment previsto dalla NIS coincide solo parzialmente con la protezione tecnologica richiesta dal GDPR come pure l’assessment dell’impatto GDPR che implica parametri difficilmente oggettivabili e ovviamente diversi dalla nozione di impatto nella Nis.
Ciò significa che enti, aziende, istituzioni non potranno genericamente cavarsela con un ICT risk assessment ma dovranno prefigurare percorsi di gestione digitale del rischio e della protezione dei dati del tutto innovativi e multipli, nel caso di doppia compliance Nis e GDPR.
Sarà il caso, ad esempio, delle banche, della sanità, della previdenza, delle telecomunicazioni, ecc. che hanno a che fare sia con la Nis sia con il GDPR, dovendo trattare sia i dati personali dei propri clienti/utenti sia, contemporaneamente, fungere da erogatori di servizi essenziali.
Le aziende e le istituzioni non sembrano cogliere appieno le richieste della norma né realizzano come muoversi, con che tempi e in quali modi. Stanno intuendo che soddisfare, davvero, tutte le richieste del GDPR (notificare le violazioni, come proteggere i dati, per quanto tempo, quali i rischi, con quale impatto, e con quali obblighi verso i soggetti…) è altamente impegnativo, quasi proibitivo e richiede investimenti economici specifici. Il sistema dell’offerta si sta ovviamente attivando: al momento mi sento di affermare che nessun Paese europeo ha le soluzioni in grado di rispondere a tutte le implicazioni sollevate e ci vorrà del tempo perché il sistema vada a regime.
Ne è prova la formulazione linguistica della norma che insiste su un linguaggio necessariamente ambiguo, che si traduce ripetutamente, per decine di volte, nel concetto di ‘adeguatezza’: cioè? Come, cosa e a quale cosa l’oggetto o il comportamento è adeguato?
Teniamo, comunque, valido l’enorme sforzo elaborativo dei due testi normativi, Nis e GDPR, che almeno si accomunano nell’approccio alla sicurezza e alla protezione dei dati in termini di accountability richiesta. Accountability significa responsabilizzazione, adeguamento/aggiornamento tecnologico digitale ottimizzato e permanente, capacità di risposta, consapevolezza dei rischi, nuove competenze interdisciplinari, non solo tecnologiche ma gestionali e giuridiche: percorsi inediti dell’universo digitale. Una prospettiva davvero imponente e stimolante.
