Seguridad cibernética
ITALIANO ENGLISH
Teniendo en cuenta la mayor exposición a las amenazas cibernéticas, ha surgido en la agenda nacional e internacional la necesidad de desarrollar, en poco tiempo, mecanismos de protección adecuados y cada vez más estrictos.
La ciberseguridad es una de las intervenciones previstas por el Plan Nacional de Recuperación y Resilencia (PNRR) transmitido por el Gobierno a la Comisión Europea el 30 de abril de 2021.
A nivel de la Unión Europea, la Directiva (UE) 2016/1148 de 6 de julio de 2016 establece medidas para un alto nivel común de seguridad de las redes y sistemas de información en la Unión (la denominada NIS - Directiva de seguridad de las redes y la información ") con el fin de lograr un "alto nivel de seguridad de la red y los sistemas de información a nivel nacional, contribuyendo a incrementar el nivel común de seguridad en la Unión Europea".
La directiva fue transpuesta a la ley italiana con el decreto legislativo n. 65 de 18 de mayo de 2018, que por tanto dicta el marco legislativo de las medidas a adoptar para la seguridad de las redes y sistemas de información e identifica a los sujetos competentes para dar cumplimiento a las obligaciones que establece la directiva NIS.
Posteriormente, el decreto-ley n. 105 de 2019 fue adoptado con el fin de garantizar un alto nivel de seguridad de las redes, sistemas de información y servicios de TI de las administraciones públicas, así como de las entidades y operadores nacionales, públicos y privados, mediante el establecimiento de un perímetro de seguridad. Cibernética nacional y la provisión de medidas encaminadas a garantizar los estándares de seguridad necesarios para minimizar los riesgos. Se realizaron ciertos cambios a esta disposición mediante el decreto ley núm. 162 de 2019, relativo a la ampliación de plazos y otras disposiciones sobre la administración pública.
En implementación del decreto-ley n. 105 se definieron, en particular, el Decreto del Primer Ministro del 30 de julio de 2020, n. 131, que dictaba criterios y métodos para identificar los sujetos incluidos en el perímetro nacional de seguridad cibernética, y el Decreto del Primer Ministro del 14 de abril de 2021, n. 81 que define los procedimientos de notificación en caso de accidentes que involucren activos de las TIC.
Finalmente, con el decreto-ley del 14 de junio de 2021, n. 82, se definió la arquitectura nacional de ciberseguridad y se estableció la Agencia Nacional de Ciberseguridad.
Ciberseguridad en el PNRR y establecimiento de la Agencia Nacional de Ciberseguridad
La ciberseguridad se incluye entre los proyectos financiados por el Plan Nacional de Recuperación y Resiliencia (PNRR).
En concreto, la Ciberseguridad es una de las 7 inversiones de la digitalización de la administración pública, primer eje de intervención del componente 1 "Digitalización, innovación y seguridad en la AP" incluido en la Misión 1 "Digitalización, innovación, competitividad, cultura y turismo ".
Aproximadamente ca. 620 millones de euros de los cuales 241 para la creación de una infraestructura de ciberseguridad; 231 para fortalecer las principales estructuras operativas del perímetro nacional de ciberseguridad del PNSC; 15 para el fortalecimiento de las capacidades nacionales de ciberdefensa en el Ministerio del Interior, Defensa, Guardia di Finanza, Justicia y el Consejo de Estado.
La intervención se divide en 4 áreas principales:
fortalecimiento de los controles de primera línea para la gestión de alertas y eventos de riesgo para la AP y empresas de interés nacional;
consolidación de capacidades técnicas para la evaluación y auditoría de seguridad de hardware y software;
fortalecimiento del personal policial dedicado a la prevención e investigación del ciberdelito;
implementación de activos y unidades responsables de proteger la seguridad nacional y responder a las amenazas cibernéticas.
Entre otras cosas, los anexos técnicos del Plan prevén la identificación de un nuevo organismo nacional de ciberseguridad que oriente la arquitectura general de ciberseguridad nacional: "Dentro del alcance de las capacidades previstas, esta autoridad contribuiría a la creación de programas de aceleración para las PYMES y empresas emergentes de ciberseguridad, dirigiendo las actividades de investigación pertinentes e identificando el punto de contacto nacional con las contrapartes europeas pertinentes bajo el escudo cibernético de la UE (por ejemplo, la red y los centros de experiencia en ciberseguridad y los centros de intercambio y análisis de información) "(PNRR p. 428) .
También a la luz de estas disposiciones con el decreto-ley n. 82 de 2021, se ordenó el establecimiento de la Agencia Nacional de Ciberseguridad .
Por lo tanto, esta disposición definió la gobernanza del sistema nacional de ciberseguridad, cuyo máximo es el presidente del Consejo de Ministros, a quien se le atribuye la alta dirección y la responsabilidad general de las políticas de ciberseguridad y es responsable de adoptar la estrategia nacional relacionada y el nombramiento de los jefes. de la nueva Agencia de Ciberseguridadnacional. El Presidente del Consejo de Ministros puede delegar en la Autoridad Delegada para el Sistema de Información para la Seguridad de la República las funciones que no le sean atribuidas exclusivamente. En la Presidencia del Consejo de Ministros se constituye el Comité Interministerial de Ciberseguridad (CIC) , órgano con funciones de asesoramiento, propuesta y supervisión de las políticas de ciberseguridad.
Con el Decreto del Primer Ministro de 16 de septiembre de 2021 (en implementación del aertr.17, párrafo 5, del Decreto Legislativo 82/2021), los términos y procedimientos para la transferencia de funciones, bienes de capital y documentación del Departamento de Información para la Seguridad a la Agencia Nacional de Ciberseguridad.
ÚLTIMA ACTUALIZACIÓN: 3 DE NOVIEMBRE DE 2021
Riesgos asociados con una mayor exposición a las amenazas cibernéticas
Los informes más recientes sobre política de información enviados al Parlamento (como el Informe anual al Parlamento y el Documento de seguridad nacional ) destacan el impacto significativo que han tenido, en la vida de las personas, así como en el equilibrio político-económico y en el misma manera de "jugar el juego democrático" - la rápida y masiva difusión de nuevas tecnologías y la consecuente accesibilidad instantánea a nivel global de noticias y datos, y por lo tanto de conocimiento, pero también de representaciones y narrativas distorsionadas mistificadas o tout court infundadas o falsificado.
Se recuerda que en los últimos años el ciberdominio ha seguido constituyendo un espacio privilegiado para actividades hostiles, de diferentes matrices, realizadas en detrimento de las metas nacionales - tanto públicas como privadas, con diferentes niveles de estructuración, partiendo del individuo único hacia arriba. a la organización institucional o corporativa más compleja, cuya exposición a la amenaza es atribuible a la creciente omnipresencia de las herramientas de comunicación electrónica y la digitalización de la información y los procesos. La continua evolución del dominio cibernético, por tanto, en la expansión de la superficie de ataque, ha supuesto al mismo tiempo una diversificación pronunciada y un refinamiento de los vectores de amenaza .
Las tácticas, técnicas y procedimientos se caracterizan, de hecho, por diferentes niveles de capacidad ofensiva: desde la denegación de servicio hasta la violación de los sistemas TIC, pasando por operaciones, muchas veces silenciosas, destinadas a comprometer los recursos a controlar, para adquirir datos en los contenidos. .
Al mismo tiempo, el ciber terrorismo ha cobrado una importancia creciente , con la implementación de estrategias web para mantener una cierta visibilidad, funcional para continuar, a nivel virtual, la labor de proselitismo, radicalización y captación de nuevas incorporaciones.
La herramienta cibernética -se destaca en los Informes enviados anualmente a las Cámaras- está destinada a convertirse cada vez más en un facilitador de actividades de influencia, realizadas a través de la manipulación y difusión dirigida de información previamente adquirida mediante maniobras intrusivas en el ciberespacio, de manera de orientar las opiniones públicas, fomentar tensiones socioeconómicas, incrementar la inestabilidad política de los países del área occidental, al momento de la adopción de decisiones estratégicas, consideradas por el actor hostil desfavorables a sus propios intereses.
Como ha destacado el Parlamento Europeo, el tema de la ciberseguridad será una prioridad en los próximos años: los ciberataques y la ciberdelincuencia están aumentando en toda Europa tanto en cantidad como en sofisticación, una tendencia destinada a crecer en el futuro, teniendo en cuenta que en 2025 se esperan más de 25 mil millones de dispositivos conectados. En 2019, el número de ataques reportados se triplicó con alrededor de 700 millones de ciberataques. El coste anual de la ciberdelincuencia en 2020 se estimó en 5.500 mil millones, el doble que en 2015. Para llevar a cabo la transición digital, fortalecer el gobierno electrónico y la digitalización de la justicia, el PE recuerda que es fundamental apuntar a altos niveles de ciberseguridad. Por tanto, la UE, sobre la base deLa Ley de Ciberseguridad de la UE , tiene como objetivo lograr un alto nivel de seguridad en todos los países europeos a través de la innovación, la cooperación y el apoyo a los actores públicos y privados.
En diciembre de 2020, la Comisión de la UE también presentó la nueva estrategia de ciberseguridad como un componente esencial de la transición digital, el plan para la recuperación europea y la estrategia para la unión de la seguridad.
Al mismo tiempo, la Comisión presentó propuestas de directivas sobre la resiliencia física y cibernética de entidades y redes críticas. Las nuevas iniciativas estratégicas incluyen: una ciberseguridad europea que consta de centros de operaciones de seguridad; una unidad conjunta para el ciberespacio que agrupa a todas las comunidades que operan en el sector; Soluciones europeas para fortalecer la seguridad de Internet en todo el mundo; un reglamento para garantizar un Internet de las cosas seguro; un paquete de herramientas para la diplomacia cibernética; cooperación reforzada en el ámbito de la ciberdefensa; un programa de acción de la ONU sobre seguridad internacional en el ciberespacio; Diálogos de TI con terceros países y con la OTAN; una agenda de la UE para el desarrollo de capacidades de TI externas.
El Parlamento Europeo ha aprobado programas específicos, como Digital Europe, que destina 1.700 millones de euros a este sector, anticipando la construcción de un centro de competencias en Bucarest.
ÚLTIMA ACTUALIZACIÓN: 25 DE JULIO DE 2020
La implementación de la directiva NIS sobre seguridad de redes y sistemas de información.
En los últimos años, para hacer frente al creciente fenómeno, se han adoptado medidas de protección de las redes, a nivel nacional e internacional, de forma generalizada y cada vez más penetrante.
A nivel de la Unión Europea, la Directiva (UE) 2016/1148 de 6 de julio de 2016 establece medidas para un alto nivel común de seguridad de las redes y sistemas de información en la Unión (la denominada NIS - Directiva de seguridad de las redes y la información ") con el fin de lograr un "alto nivel de seguridad de la red y los sistemas de información a nivel nacional, contribuyendo a incrementar el nivel común de seguridad en la Unión Europea".
La directiva fue transpuesta a la ley italiana con el decreto legislativo n. 65 de 18 de mayo de 2018.
El decreto legislativo n. 65/2018 dicta el marco legislativo de las medidas a adoptar para la seguridad de las redes y sistemas de información e identifica los sujetos competentes para implementar las obligaciones establecidas por la directiva 2016/1148.
En particular, el Presidente del Consejo de Ministros es responsable de la adopción, previa consulta al Comité Interministerial de Seguridad de la República ( CISR ), de la estrategia nacional de ciberseguridad para la protección de la seguridad de las redes y sistemas de interés nacional. . Con el mismo procedimiento, se adoptan los lineamientos para la implementación de la estrategia nacional de ciberseguridad.
La calificación de " autoridad competente de NIS " se atribuye a los ministerios individuales en función de las áreas de competencia (Ministerio de Desarrollo Económico, Ministerio de Economía y Finanzas, Ministerio de Salud y Ministerio de Medio Ambiente y Protección de la Tierra) y, para determinadas áreas, a las regiones y provincias autónomas de Trento y Bolzano. Estas autoridades son los sujetos competentes por sector (sectores de energía y transporte, sector bancario, infraestructuras del mercado financiero, sector sanitario, suministro y distribución de agua potable, infraestructuras digitales) en materia de seguridad de redes y sistemas de información; en particular, verifican la aplicación de la directiva a nivel nacional e identifican a los operadores de servicios esenciales en el
El CSIRT italiano - Equipo de Respuesta a Emergencias Informáticas se establece en la Presidencia del Consejo de Ministros , con un contingente de 30 personas y la asignación de recursos financieros específicos, a los que se asignan, a partir de la entrada en vigor del decreto de organización relativo. y funcionamiento - las funciones del CERT nacional (actualmente en el Ministerio de Desarrollo Económico) y del CERT-PA (actualmente en la Agencia para Italia Digital-AGID). El CSIRT está definido por la Directiva 2016/1148 como el "grupo de intervención de seguridad informática en caso de incidente", que cada Estado miembro debe designar con la tarea de tratar los incidentes y riesgos de acuerdo con un procedimiento definido.
Se designa al Departamento de Seguridad de la Información (DIS) como punto único de contacto , organismo encargado a nivel nacional de coordinar los asuntos relacionados con la seguridad de las redes y los sistemas de información y la cooperación transfronteriza a nivel de la Unión Europea.
La autoridad encargada de hacer cumplir la ley está identificada en el organismo central del Ministerio del Interior para la seguridad y regularidad de los servicios de telecomunicaciones al que actualmente se le asigna la competencia para asegurar los servicios de protección de TI de las infraestructuras críticas de TI de interés nacional, operando a través de enlaces telemáticos definidos con acuerdos específicos con los gestores de las estructuras implicadas.
Los operadores de servicios esenciales , a efectos de la prestación, son entidades públicas o privadas, del tipo previsto en el listado del Anexo II (sectores energía y transporte, sector bancario, infraestructuras del mercado financiero, sector sanitario, suministro y distribución de agua potable, infraestructuras digitales), identificadas por las autoridades NIS competentes. A más tardar el 9 de noviembre de 2018, las autoridades competentes están obligadas a identificar estos sujetos, con el fin de cumplir con las obligaciones de la directiva.
El decreto también define las obligaciones de los operadores de servicios esenciales y proveedores de servicios digitales con referencia a la seguridad de la red y los sistemas de información que utilizan en el contexto de los servicios identificados en el Anexo III. Están obligados a identificar las medidas técnicas y organizativas relativas a la gestión de riesgos, las medidas para prevenir y minimizar los impactos de los accidentes y, desde el punto de vista procedimental, se definen los métodos de notificación de los accidentes que inciden. servicios prestados, identificando también las condiciones y métodos según los cuales los organismos de otros países pueden estar involucrados.
A continuación, se identifican las competencias de control de las autoridades de los NIS tanto con respecto a los operadores de servicios esenciales como a los proveedores de servicios digitales, previendo también las facultades de verificación e inspección así como la imposición de sanciones administrativas en caso de incumplimiento de las obligaciones previstas. .
ÚLTIMA ACTUALIZACIÓN: 4 DE JULIO DE 2018
La definición del perímetro de seguridad cibernética
El decreto-ley n. 105 de 2019 fue adoptado con el fin de garantizar, en particular, un alto nivel de seguridad de las redes, sistemas de información y servicios de TI de las administraciones públicas, así como de las entidades y operadores nacionales, públicos y privados, mediante el establecimiento de un perímetro de ciberseguridad y la provisión de medidas encaminadas a garantizar los estándares de seguridad necesarios dirigidos a minimizar los riesgos.
Con esta disposición, se dictaron, por tanto, métodos y procedimientos para el establecimiento del perímetro nacional de ciberseguridad, orientado a garantizar la seguridad de las redes, sistemas de información y servicios de TI necesarios para el desempeño de funciones o la prestación de servicios, de los cuales se puede derivar la discontinuidad. un perjuicio para la seguridad nacional. También interviene en los procedimientos, métodos y plazos a lo que las administraciones públicas, organismos públicos y privados nacionales y operadores, incluidos en el perímetro nacional de ciberseguridad, que pretendan proceder a la cesión de suministros de bienes, sistemas y servicios TIC, destinados a ser utilizados en las redes, deberán cumplir, en sistemas de información y para el desempeño de los servicios de TI identificados en la lista enviada a la Presidencia del Consejo de Ministros y al Ministerio de Desarrollo Económico.
Luego se identifican algunas tareas del Centro Nacional de Evaluación y Certificación ( CVCN ), con referencia a la adquisición de productos, procesos, servicios de tecnología de la información y la comunicación (TIC) e infraestructuras asociadas, si están destinadas a redes, sistemas de información, sistemas de TI incluidos en el perímetro nacional de seguridad cibernética.
Al mismo tiempo, se establecen determinadas obligaciones para: operadores de servicios esenciales; proveedores de servicios digitales; empresas que prestan redes públicas de comunicaciones o servicios de comunicaciones electrónicas de acceso público, incluidas en el perímetro nacional de ciberseguridad.
También se prevé que el Primer Ministro, previa resolución del CISR, podrá ordenar la desactivación total o parcial de uno o más dispositivos o productos utilizados en las redes, sistemas o para la prestación de los servicios en cuestión. En un plazo de 30 días, el Primer Ministro debe informar a la Comisión Parlamentaria para la Seguridad de la República (Copasir) de las medidas adoptadas.
Asimismo, al Presidente del Consejo de Ministros se le encomienda la coordinación de la implementación coherente de las disposiciones del decreto-ley que regula el perímetro nacional de ciberseguridad, haciendo uso también del DIS que asegura los vínculos adecuados con las autoridades que ostentan las competencias y con las partes involucradas.
El presidente del Consejo de Ministros transmite a las Cámaras un informe sobre las actividades desarrolladas tras la adopción de los actos legislativos secundarios previstos para la ejecución de las medidas en él establecidas.
Finalmente, se gestionó el establecimiento de un Centro de Evaluación (CEVA) en el Ministerio del Interior que, al igual que el Ministerio de Defensa, está acreditado en el Centro Nacional de Evaluación y Certificación (CVCN) y está obligado a emplear métodos de verificación y ensayo. según lo definido por el mismo CVCN. El DPCM también definirá las obligaciones de divulgación de estos Centros con el CVCN.
La disposición, por tanto, contiene un sistema articulado de sanciones para los casos de incumplimiento de las obligaciones previstas en el mismo e identifica a las autoridades competentes para conocer las violaciones y para imponer sanciones.
Posteriormente, el decreto-ley n. 162 de 2019 , que contiene la extensión de los términos y otras disposiciones sobre la administración pública, ha realizado (artículo 27) algunos cambios al artículo 1 del Decreto-ley núm. 105 de 2019 sobre ciberseguridad nacional, con especial atención a los procedimientos y métodos para la definición de los temas incluidos en el perímetro nacional de ciberseguridad.
En particular, la determinación precisa de los sujetos incluidos en el perímetro fue encomendada a un acto administrativo por parte del Presidente del Consejo de Ministros y no a un Decreto del Primer Ministro, como se preveía originalmente en el decreto ley núm. 105, que en cambio se encarga de determinar los procedimientos y criterios procesales para su identificación. Esto se debe a que “la lista de temas incluidos en el perímetro nacional de ciberseguridad, considerada en su totalidad, presenta perfiles particulares de sensibilidad desde el punto de vista de la seguridad”.
En cumplimiento de esta disposición, el Gobierno adoptó el Decreto del Primer Ministro del 30 de julio de 2020, núm. 131 (Gaceta Oficial 21 de octubre de 2020, n. 261) que prevé:
definir los procedimientos y criterios procesales para la identificación de los sujetos (administraciones públicas, entidades públicas y privadas y operadores) incluidos en el perímetro nacional de ciberseguridad y que, por tanto, están obligados a cumplir con las medidas y obligaciones previstas en el decreto-ley 105 / 2019;
definir los criterios con los que los sujetos incluidos en el perímetro elaboran y actualizan el listado de redes, sistemas de información y servicios de TI de su respectiva relevancia, incluyendo la arquitectura y componentes relacionados.
Además, el mismo decreto-ley 162 (art.26) establece que el equipo de respuesta a incidentes de seguridad informática - CSIRT italiano, establecido en la Oficina del Primer Ministro, depende del Departamento de Información de Seguridad - DIS, en cumplimiento del decreto de el presidente del Consejo de 8 de agosto de 2019 que preveía la creación del CSIRT en el DIS.
Además, la creación de la Dirección General para el desarrollo de la prevención y protección de las tecnologías de la información en el Departamento de Seguridad Pública del Ministerio del Interior fue creada mediante el Decreto-ley 34/2020 (denominado Decreto de Relanzamiento, art.240) .
Se atribuyen a esta gestión general:
el desarrollo de las tecnologías de la información y la ciberprevención y protección (como estructura para la seguridad y regularidad de los servicios de telecomunicaciones, responsable de garantizar los servicios de protección de las tecnologías de la información y los servicios de protección de las tecnologías de la información para las infraestructuras informáticas críticas de interés nacional identificadas por decreto del Ministerio de manera interna, operando a través de telemática). vínculos definidos con acuerdos específicos con los administradores de las estructuras involucradas;
el desarrollo de las actividades atribuidas al Ministerio del Interior en el perímetro de la ciberseguridad nacional ;
la unidad de dirección y coordinación de las actividades que realiza la Policía de Correos y Comunicaciones , especialidad de la Policía del Estado - y de las demás tareas que constituyen la culminación del apoyo a las actividades investigativas.
En cumplimiento de esta disposición, el Gobierno remitió a las Cámaras el proyecto de decreto del Presidente de la República relativo al reglamento que contiene modificaciones al reglamento de organización de las oficinas centrales del nivel de dirección general del Ministerio del Interior, que, entre Otras cosas, rige la nueva Dirección Central de Policía Científica y Ciberseguridad ( AG 301 ).
En implementación del decreto-ley n. 105, también se definieron las siguientes medidas:
Decreto presidencial de 5 de febrero de 2021, n. 54, que definió los procedimientos y métodos para evaluar las adquisiciones por los sujetos incluidos en el perímetro de ciberseguridad, de suministros, los procedimientos para las actividades de verificación e inspección (artículo 1, párrafo 6, Decreto Legislativo 105/2019);
Decreto presidencial 14 de abril de 2021, n. 81 que define los procedimientos de notificación en caso de accidentes que involucren activos de las TIC (artículo 1, párrafo 2, letra b), Decreto Legislativo 105/2019);
Decreto Primer Ministro de 15 de junio de 2021 que identifica las categorías de bienes, sistemas y servicios TIC destinados a ser utilizados dentro del perímetro nacional de ciberseguridad (artículo 1, apartado 6, letra a) DL 105/2019.
La legislación actual prevé la adopción de las siguientes medidas de ejecución adicionales:
un DPCM para definir los procedimientos de notificación de incidentes con impacto en redes, sistemas de información y servicios de TI (artículo 1, párrafo 3, Decreto Legislativo 105/2019);
un DPCM que define los criterios para la acreditación de laboratorios y el aval de laboratorios con el fin de verificar las condiciones de seguridad y ausencia de vulnerabilidad. La misma DPCM establece los vínculos entre la CVCN y los laboratorios mencionados, así como entre la misma CVCN y los Centros de Evaluación del Ministerio del Interior y del Ministerio de Defensa (artículo 1, párrafo 7, Decreto Legislativo 105/2019).