Quello di “infrastrutture informatiche strategiche”, o “di valore strategico”, è un concetto estremamente importante per la governance della cybersicurezza e per la concezione della materia; infatti, la sua comparsa è la chiave di tutte le strategie post-2000, a qualsiasi livello. In questo articolo forniremo una panoramica della nascita e dello sviluppo di questo concetto nell’Unione Europea, soffermandoci in particolare sulle due direttive NIS, gli interventi legislativi più importanti dell’Unione in ambito di cybersicurezza.
L’importanza delle infrastrutture informatiche in uno Stato
Da quando Internet ha iniziato a sviluppare il suo potenziale, si è insinuato in tutti i settori produttivi, sia per la raccolta dei dati che per la comunicazione all’interno delle aziende, e in alcuni casi il suo utilizzo si è esteso sino alla vera e propria gestione degli impianti. In cybersicurezza, il rischio è sempre presente: in alcuni casi per pura e semplice abilità degli hacker, che riescono a bypassare i sistemi di difesa più sviluppati, in altri per mancanza di cura nell’aggiornamento dei software di protezione, o per semplice impossibilità di mantenere il controllo di sistemi informatici che si fanno di giorno in giorno più complessi. Le persone che sanno come servirsi di questa percentuale di vulnerabilità possono causare danni immensi ad uno Stato. Le infrastrutture di cui stiamo parlando, infatti, spaziano dal controllo delle forniture di gas ed elettricità alle telecomunicazioni, per arrivare a dati sulla difesa interna dello Stato o ai servizi sanitari.
Gli hacker attaccano questo genere di strutture perché sanno di poter creare il caos tra la cittadinanza, se questo è il loro obiettivo, o, se il loro fine è puramente lucrativo, di poter ottenere cifre esorbitanti, per questo prendono più facilmente di mira i sistemi di controllo di impianti piuttosto che i dati. Per esempio, nel 2009 alcuni aerei militari francesi furono impossibilitati al decollo a causa del virus Conficker, da cui probabilmente i sistemi informatici dell’aeronautica erano stati attaccati a causa dell’inserimento di una chiavetta USB infetta: questo attacco costò all’aeronautica militare francese parecchio tempo per rimettere in funzione i sistemi. Un esempio ancora più eclatante è del 2021, un attacco informatico che ha colpito la rete di oleodotti di Colonial Pipeline, costringendo la società a chiudere la rete di tubature che garantisce quasi metà degli approvvigionamenti di carburanti della East Coast degli Stati Uniti. Tale l’importanza delle infrastrutture informatiche odierne, e tale quindi la portata che i cyberattacchi possono raggiungere quando si abbattono su di esse.
Gli Stati sono perfettamente consapevoli di questa situazione e di queste debolezze, ed infatti le prime legislazioni sulla cybersicurezza sono generalmente legate alla sicurezza nazionale. Ad esempio, una definizione tedesca di cybersicurezza collega esplicitamente le due materie, dicendo che la cybersicurezza “comprende sia la protezione degli interessi nazionali nel cyberspazio che la ricerca di una più ampia politica di sicurezza tramite l’utilizzo delle molte opportunità offerte dal cyberspazio”. Già dal 1994 la Francia, nel Livre Blanc sur la Défense (Libro bianco sulla difesa), si riferisce alla cybersicurezza dicendo che “gli sviluppi industriali e tecnologici offrono campi nuovi e preoccupanti. Delle minacce incombono anche sui nostri sistemi informatici (intrusione) tanto quanto sui nostri stabilimenti di produzione di energia e sull’insieme della rete di comunicazione.”
Tra gli Stati europei, quindi, inizialmente, l’approccio è quello di gestire la cybersicurezza come una questione interna, legata a doppio filo alla sicurezza nazionale, sia nell’ambito della protezione contro i cyberattacchi, sia in quello dei crimini che vengono facilitati tramite l’utilizzo delle reti (o commessi solo in rete). Si tratta comunque di un approccio destinato a non essere presto più sufficiente, a causa del rapidissimo sviluppo della rete, della sua diffusione, dell’allargamento delle possibilità offerte da essa e quindi, di conseguenza, anche dei pericoli e del potenziale dannoso dei cybercriminali, soprattutto nel caso di mercati estesi sovrannazionalmente, come quello dell’Unione Europea.
Lo sviluppo del concetto di “infrastrutture critiche” in UE
I primi documenti ufficiali a livello di Unione Europea a menzionare il concetto di “infrastrutture critiche” appaiono nel 2008. Il primo è la Relazione sull’attuazione della Strategia europea in materia di sicurezza: qui le reti ed il mondo telematico non vengono mai citate, si parla di altri problemi internazionali che UE avrebbe dovuto fronteggiare negli anni successivi, ma nella relazione viene aggiunta, in coda al paragrafo dedicato a “terrorismo e criminalità organizzata”, una piccola sezione sulla “sicurezza informatica”, identificata per la prima volta nella versione inglese con il termine cybersecurity. Nel 2008 infatti, è necessario far notare che “le economie moderne dipendono fortemente da infrastrutture critiche quali i trasporti, le comunicazioni e l’approvvigionamento energetico, ma anche Internet.”
In realtà il paragrafo si presenta in una forma abbastanza scarna, non introduce particolari temi o proposte e la sua importanza viene individuata solo in relazione all’introduzione del concetto di cybersicurezza tra i temi di cui l’UE deve occuparsi nell’ambito dei suoi rapporti con la Comunità Internazionale. In tal modo si permette la conseguente consacrazione della materia all’interno delle competenze dell’Unione.
L’altro atto di rilievo del 2008, invece, è la Direttiva 2008/114/CE dell’8 dicembre 2008 relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione. Anche in tale caso, l’importanza per la nostra trattazione non risiede in quello che è presente, ma in quello che di fatto manca circa il tema della cybersicurezza. Infatti, la direttiva suddetta mira, come il titolo stesso rivela, a dare una definizione di “infrastrutture critiche” per poterle meglio individuare e dunque offrire una maggior protezione.
Quello che salta all’occhio, prima ancora di addentrarsi nel vivo della direttiva, è la seguente considerazione: “Poiché gli obiettivi della presente direttiva, vale a dire l’introduzione di una procedura di individuazione e designazione delle ECI e di un approccio comune per la valutazione della necessità di migliorarne la protezione, non possono essere realizzati in misura sufficiente dagli Stati membri e possono dunque, a causa delle dimensioni dell’azione, essere realizzati meglio a livello comunitario, la Comunità può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato. La presente direttiva si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.” .
Ora, nella direttiva viene fornita sia la definizione generica di “infrastruttura critica”, come di un elemento che, danneggiato, arrecherebbe gravi danni alla struttura dello Stato su cui è ubicato, ma viene anche specificata quella di “infrastruttura europea” (ECI), ovvero “un’infrastruttura critica ubicata negli Stati membri il cui danneggiamento o la cui distruzione avrebbe un significativo impatto su almeno due Stati membri”. La rilevanza dell’impatto è valutata in termini intersettoriali. Sono compresi gli effetti derivanti da dipendenze intersettoriali in relazione ad altri tipi di infrastrutture”: definizioni che certamente si possono applicare alle infrastrutture di internet e delle telecomunicazioni, considerando quanto, anche nel 2008, anche le altre infrastrutture poggiassero su di esse; tuttavia, e questa è la questione più interessante, nella tabella allegata alla direttiva in cui si espone una lista di settori in cui individuare le ECI, le telecomunicazioni e le reti di dati non compaiono.
Certo, la tabella non è esaustiva (viene infatti esplicitamente scritto che “Se ritenuto opportuno […], possono essere individuati ulteriori settori da prendere in considerazione ai fini dell’attuazione della presente direttiva. In tale contesto occorre dare priorità al settore delle ICT”). Tuttavia, nessun passo è stato fatto successivamente in quella direzione, al punto che, ancora nel 2013, un documento di lavoro della Commissione (Commission staff working document on a new approach to the European Programme for Critical Infrastructure Protection – Making European Critical Infrastructures more secure, 28/08/2013) ragiona sulla possibilità di includere il settore, rilevando comunque la sua fortissima interconnessione con altri, come quello energetico.
Il concetto di “infrastrutture critiche” (“servizi essenziali”) nella NIS 1 e criticità
La direttiva NIS, (direttiva 2016/1148) è l’intervento più completo in materia di protezione delle reti che l’Unione Europea abbia mai adottato, e solo di recente (2023) è stato superato da un’altra direttiva, la NIS 2, che ne riprende nome ed obiettivi correggendone alcune parti critiche o obsolete.
La direttiva ha l’obiettivo di intervenire sul principale impedimento ad un’efficace difesa delle infrastrutture informatiche europee, che la proposta individua nella disparità di conoscenze e di capacità tecnica tra il settore pubblico e quello privato, di condivisione dei dati tra i due settori e di prevenzione dei rischi da parte dei privati, sempre con l’assunto, riportato nella Strategia dell’Unione europea per la cybersicurezza: un cyberspazio aperto e sicuro del 2013, che la capacità tecnica è in mano ai privati, e che Internet, per quanto sia uno strumento utile a garantire diritti fondamentali, è di fatto privato, e quindi debba essere strettamente controllato. Nel pensare alla regolamentazione del mercato, la Direttiva individua innanzitutto due categorie di enti che devono essere tenute sotto controllo, ovvero i “fornitori di servizi digitali” e gli “operatori dei servizi essenziali”: quest’ultimo è il termine con cui vengono individuate le infrastrutture critiche, e che, da questo momento, continuerà ad essere usato per indicarle nella legislazione europea.
Nella direttiva NIS, per quanto riguarda gli operatori dei servizi essenziali, non viene fornita una lista, ma vengono forniti i criteri per la loro individuazione, ovvero essere un soggetto pubblico o privato facente parte delle categorie di settori elencate nell’allegato 2 della direttiva (energia, trasporti, settore bancario, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali, infrastrutture dei mercati finanziari), che forniscono un servizio essenziale per il mantenimento di attività sociali e/o economiche fondamentali. Servizio la cui fornitura deve dipendere dalla rete e dai sistemi informativi, e sulla cui fornitura il verificarsi di un incidente deve, nel caso, avere effetti negativi rilevanti.
Gli obblighi in materia di cybersicurezza per le due categorie sono ovviamente diversi: entrambe sono tenute a prendere le misure necessarie per limitare preventivamente il rischio di incidenti sulla cybersicurezza, ed entrambe sono sottoposte all’obbligo di segnalare al CSIRT o all’autorità di competenza gli incidenti che capitano, ma, mentre gli operatori di servizi essenziali sono tenuti a comunicare gli incidenti che hanno “un impatto rilevante sulla continuità dei servizi essenziali prestati”, i fornitori li dovranno comunicare in caso di “impatto sostanziale sulla fornitura di un servizio digitale”.
Appena adottata, la NIS suscita molto entusiasmo: tuttavia, quello che risulta dalle operazioni di implementazione è un’enorme diversità e disarmonia tra gli Stati membri. Innanzitutto, c’è una forte discrepanza nell’ambito di applicazione: la definizione di “operatori essenziali” all’interno della direttiva non era chiara, e non erano neanche state chiarite a sufficienza le competenze nazionali per quanto riguarda i “fornitori di servizi digitali”. In secondo luogo, le competenze degli Stati variano, il che ha ricadute sia sostanziali, per la forma di trasposizione della direttiva, sia sulla forma che verrà data da ogni singolo Stato alla governance delle reti e dei referenti nazionali, che, ricordiamo, sono lasciati interamente alla discrezione di ogni Stato Membro.
Questi due aspetti comportano una frammentarietà della legislazione che, lungi dall’obiettivo di armonizzazione che si era data l’Unione, creerà problemi al mercato, e porterà all’adozione di una seconda direttiva NIS per risolvere le criticità della prima.
Le novità della direttiva NIS 2
Nel 2020 si sente l’esigenza di superare la direttiva NIS, divenuta ormai obsoleta. A febbraio del 2020, infatti, viene pubblicata la comunicazione Shaping Europe’s digital future, in cui la Commissione prevede di implementare una “European cybersecurity strategy, including the establishment of a joint Cybersecurity Unit, a Review of the Security of Network and Information Systems (NIS) Directive and giving a push to the single market for cybersecurity”. Per la prima volta, si parla dunque di rivedere la Direttiva NIS. È da notare che questa affermazione viene posta sotto il paragrafo Technology that works for people, collocandosi così in una posizione ulteriore a quella della regolamentazione del mercato o del ruolo europeo sul piano internazionale e sovranazionale, questioni che comunque hanno il loro spazio all’interno del documento: si colloca infatti in una posizione che coinvolge, oltre all’Unione e ai suoi Stati membri, “regions and municipalities, academia, civil society, financial institutions, businesses and social enterprises”. Queste circostanze hanno certamente anche a che fare con i momenti di crisi che l’Europa e il mondo si sono trovati a dover fronteggiare dal 2020 in avanti, con l’aggravarsi della pandemia di Covid-19, ma ciò non dovrebbe togliere importanza ai fattori fondamentali del lavoro pregresso dell’Unione. Il progetto della revisione acquista concretezza con la proposta del 16 dicembre 2020 On measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148.
Pare di capire dai documenti che la situazione pandemica, richiamata sia dal già citato memorandum, sia dall’assessment report legato alla proposta, abbia agito da catalizzatore per la procedura di revisione, che è stata portata dal 2021 al 2020, venendo inclusa nei piani di lavoro per quell’anno. Ovviamente, come spiegato nello stesso documento qualche pagina più avanti, il Covid ha causato un aumento di richieste di servizi online e ha reso gli ospedali delle infrastrutture fondamentali per gli Stati membri, che tuttavia, non ricadendo sempre sotto la definizione di infrastrutture critiche per la NIS, non sottostavano ai relativi obblighi di sicurezza informatica. Queste due circostanze hanno favorito i cyberattacchi, che ovviamente sono aumentati esponenzialmente, colpendo servizi ed infrastrutture e gravando su una struttura già sotto pressione.
Infatti, la NIS 2 arriva ad una rielaborazione della definizione del concetto di “servizi essenziali” della NIS 1. Le nuove disposizioni normative, oltre ad essere applicabili ai settori originariamente previsti dalla NIS (e.g. il settore dell’energia, delle telecomunicazioni, dei trasporti, bancario e dei mercati finanziari, sanitario, ecc.), sono applicabili anche ad un novero di società prima non incluse, quali quelle che forniscono, tra gli altri, servizi digitali, ad esempio piattaforme di cloud computing, data centre, content delivery network provider, servizi di comunicazione elettronica e di reti di comunicazione elettronica; servizi sanitari, quali – tra gli altri – società farmaceutiche, produttori di dispositivi medici ed healthcare provider, e perfino servizi di produzione, trasformazione e distribuzione di cibo, ivi comprese le imprese della grande distribuzione.
Il nuovo testo normativo introduce inoltre indicazioni circa le dimensioni delle società. Rientrano quindi nel campo di applicazione della NIS 2 le società dei settori sopra richiamati che siano di medie e grandi dimensioni, ma potrebbero rientrarci anche piccole e microimprese se operano in settori chiave per la società e, indipendentemente dalle dimensioni, fornitori, tra gli altri, di servizi di comunicazione elettronica e di reti di comunicazione elettronica.
Tuttavia, sono stati limitati gli elementi di discrezionalità che nella NIS erano lasciati ai singoli Stati nella determinazione dell’appartenenza alla categoria. Le società devono sottoporre delle informazioni agli Stati che valuteranno l’appartenenza all’ambito dei destinatari degli obblighi di cui alla direttiva NIS 2 e si distinguono tra società “essenziali” se forniscono servizi considerati essenziali ed “importanti” se sono fatte rientrare nell’ambito della direttiva, anche se non forniscono un servizio essenziale.
Insieme a nuovi provvedimenti dettati dai cambiamenti del mondo e dai progressi tecnologici, e alle specificazioni, rese necessarie dai problemi nell’implementazione della NIS e dalle questioni non affrontate all’interno dell’intervento precedente, nella NIS 2 si ritrova tuttavia molto della NIS 1. Si vedrà nei prossimi anni, con l’implementazione a livello statale e le prime applicazioni, fino a che punto nella pratica il concetto di “infrastrutture strategiche” della NIS 2 si discosterà dalla NIS, ma per ora la posizione della direttiva NIS all’interno degli interventi europei in ambito cyber sembra rimanere di imprescindibile rilevanza, e così anche il suo ruolo nella gestione delle infrastrutture strategiche.
