Telecomunicazioni: sicurezza e integrità delle reti e dei servizi
In materia di telecomunicazioni (TLC) il sistema normativo europeo si presenta abbastanza articolato.
La Direttiva 2002/21/CE costituisce la “direttiva quadro” (istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica) nell’ambito del noto “Pacchetto telecom” (Telecom package), introdotto per riordinare il sistema normativo delle telecomunicazioni. A questa direttiva quadro si aggiungono altre 4 direttive e precisamente:
Direttiva 2002/19/CE relativa all’accesso alle reti di comunicazione elettronica e alle risorse correlate, e all’interconnessione delle medesime; direttiva " accesso " –relativa all’accesso alle reti di comunicazione elettronica e alle risorse correlate, e all’interconnessione delle medesime;
Direttiva 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica; direttiva “ autorizzazioni ” -relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica;
Direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica; direttiva " servizio universale " –relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica;
Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. Direttiva e-privacy). direttiva " vita privata e comunicazioni elettroniche " –relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. Direttiva e-privacy).
Al citato quadro normativo va aggiunta la Decisione n. 676/2002/EC riguardo allo spettro radio.
La predetta “direttiva quadro” è stata modificata nel 2009, tant’è che sulla Gazzetta Ufficiale dell’Unione Europea del 18.12.2009 sono stati pubblicati i seguenti provvedimenti:
a) Direttiva 2009/140/CE (c.d. “Legiferare meglio”);
b) Direttiva 2009/136/CE (c.d. “Diritto dei cittadini”) che ha modificato la Direttiva 2002/58/CE su e-privacy;
c) Regolamento (CE) n. 1211/2009 istitutivo del BEREC.
Entrambe le citate Direttive del 2009 avrebbero dovuto essere recepite nel sistema normativo italiano entro il 25.5.2011, così come statuito dall’art. 5, comma 1, della Direttiva 2009/140/CE e dall’art. 4, comma 1, della Direttiva 2009/136/CE.
A tal proposito la Commissione Europea proprio il 24 novembre 2011 ha inviato una comunicazione a 16 Stati membri con «le proprie richieste in forma di "parere motivato"» (così si legge nel comunicato stampa). Il rischio per il mancato recepimento consiste nel deferimento alla Corte di giustizia dell’Unione europea con addebito delle sanzioni pecuniarie. Oltre all’Italia tra i 16 Stati inadempienti ci sono: Austria, Belgio, Bulgaria, Cipro, Francia, Germania, Grecia, Paesi Bassi, Polonia, Portogallo, Repubblica ceca, Romania, Slovenia, Spagna e Ungheria. Sul piano della gerarchia delle fonti sembra non potersi dubitare, in caso di mancato recepimento delle direttive, che spieghino comunque gli effetti nel nostro ordinamento.
Riguardo al contesto nazionale, allo stato le citate direttive – come si è detto – non sono state recepite ma sono contenute nello schema del disegno di legge “Disposizioni per l’adempimento di obblighi derivanti dall’appartenenza dell’Italia alle Comunità europee – Legge comunitaria 2010” attualmente all’esame del Parlamento.
Le tematiche oggetto delle citate due Direttive da recepire riguardano, molto genericamente, i diritti dei consumatori in materia di telefonia fissa, accesso ad internet e servizi mobili, ma anche maggiori garanzie in materia di tutela dei dati personali.
In particolare, la Direttiva 2009/140/CE introduce il Capitolo III bis che riguarda la “sicurezza e integrità delle reti e dei servizi”. In virtù di tale innovazione vengono introdotti, fra le altre modifiche, gli articoli 13-bis e 13-ter (nel testo in lingua inglese i citati articoli sono rubricati come 13a e 13b).
Le due norme recitano come segue:
Articolo 13 bis - Sicurezza e integrità
1. Gli Stati membri assicurano che le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico adottino adeguate misure di natura tecnica e organizzativa per gestire adeguatamente i rischi per la sicurezza delle reti e dei servizi. Tenuto conto delle attuali conoscenze in materia, dette misure assicurano un livello di sicurezza adeguato al rischio esistente. In particolare, si adottano misure per prevenire e limitare le conseguenze per gli utenti e le reti interconnesse degli incidenti che pregiudicano la sicurezza.
2. Gli Stati membri assicurano che le imprese che forniscono reti pubbliche di comunicazioni adottino tutte le misure opportune per garantire l’integrità delle loro reti e garantire in tal modo la continuità della fornitura dei servizi su tali reti.
3. Gli Stati membri assicurano che le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico comunichino all’autorità nazionale di regolamentazione competente ogni violazione della sicurezza o perdita dell’integrità che abbia avuto conseguenze significative sul funzionamento delle reti o dei servizi.
Se del caso, l’autorità nazionale interessata informa le autorità nazionali degli altri Stati membri e l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA). L’autorità nazionale di regolamentazione interessata può informare il pubblico o imporre all’impresa di farlo, ove accerti che la divulgazione della violazione sia nell’interesse pubblico.
L’autorità nazionale di regolamentazione interessata trasmette ogni anno alla Commissione e all’ENISA una relazione sintetica delle notifiche ricevute e delle azioni adottate conformemente al presente paragrafo.
4. La Commissione, tenendo nella massima considerazione il parere dell’ENISA, può adottare le opportune misure tecniche di attuazione per armonizzare le misure di cui ai paragrafi 1, 2 e 3, comprese le misure che definiscono le circostanze, il formato e le procedure che si applicano agli obblighi di notifica. Queste misure di attuazione tecnica si basano, per quanto possibile, sulle norme europee ed internazionali, e non ostano a che gli Stati membri adottino requisiti supplementari per conseguire gli obiettivi di cui ai paragrafi 1 e 2.
Tali misure di attuazione, intese a modificare elementi non essenziali della presente direttiva completandola, sono adottate secondo la procedura di regolamentazione con controllo di cui all’articolo 22, paragrafo 3.
Articolo 13-ter - Attuazione e controllo
1. Gli Stati membri assicurano che, ai fini dell’attuazione dell’articolo 13 bis, le competenti autorità nazionali di regolamentazione abbiano la facoltà di impartire istruzioni vincolanti, comprese quelle in materia di termini di attuazione, alle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazioni elettroniche accessibili al pubblico.
2. Gli Stati membri assicurano che le autorità nazionali di regolamentazione competenti abbiano la facoltà di imporre alle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico di:
a) fornire le informazioni necessarie per valutare la sicurezza e l’integrità dei loro servizi e delle loro reti, in particolare i documenti relativi alle politiche di sicurezza; nonché
b) sottostare a una verifica della sicurezza effettuata da un organismo qualificato indipendente o dall’autorità nazionale competente mettendo a disposizione dell’autorità nazionale di regolamentazione i risultati di tale verifica. L’impresa si assume l’onere finanziario della verifica.
3. Gli Stati membri provvedono affinché le autorità nazionali di regolamentazione dispongano di tutti i poteri necessari per indagare i casi di mancata conformità nonché i loro effetti sulla sicurezza e l’integrità delle reti.
4. Queste disposizioni lasciano impregiudicato l’articolo 3 della presente direttiva.
L’art. 13-bis (13a) impone agli Stati membri di assicurare che le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico:
adottino adeguate misure di natura tecnica e organizzativa per gestire adeguatamente i rischi per la sicurezza delle reti e dei servizi; comunichino all’autorità nazionale di regolamentazione competente ogni violazione della sicurezza o perdita dell’integrità che abbia avuto conseguenze significative sul funzionamento delle reti o dei servizi.
In ogni caso, le imprese che forniscono reti pubbliche di comunicazioni devono adottare tutte le misure opportune per garantire l’integrità delle loro reti e garantire in tal modo la continuità della fornitura dei servizi su tali reti.
Il successivo art. 13-ter (13b) dispone che le competenti autorità nazionali di regolamentazione abbiano la facoltà di impartire istruzioni vincolanti.
L’art. 13-bis, quindi, effettua una prima distinzione tra:
a) imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico
b) imprese che forniscono reti pubbliche di comunicazioni
Pertanto, un primo dato riguarda il profilo soggettivo, posto che gli obblighi che ne derivano dipendono dalla tipologia dell’impresa. Del resto, è vero che la categoria indicata alla lettera a) è quella più ampia e alla stessa compete anche quanto imposto alle sole imprese che forniscono reti pubbliche di comunicazione.
Come si è detto queste norme sono introdotte in un nuovo capo (il terzo) che è dedicato esclusivamente a “sicurezza e integrità delle reti e dei servizi”. La Direttiva impone l’adozione di misure opportune ma ovviamente non individua la tipologia di tali interventi che restano a totale discrezione di ciascuno dei soggetti (imprese).
Sul piano che si potrebbe definire oggettivo, invece, nel tema della sicurezza diventa importante qualificare e circoscrivere i rischi per la sicurezza delle reti e dei servizi. Si tratta di valutazioni puramente tecniche che esulano dall’approccio del presente contributo; tuttavia, si ritiene utile poter ipotizzare delle macro aree all’interno delle quali potrebbero essere elaborati i singoli rischi. In questo ambito della sicurezza delle reti, generalmente si circoscrivono le macro aree di rischio individuandole negli attacchi informatici, negli errori umani, nelle catastrofi naturali, nei malfunzionamenti hardware e software. Ciò che viene, inoltre, richiesto è la continuità della fornitura dei servizi per cui è necessario un piano di disaster recovery che consenta proprio di continuare a garantire i servizi.
L’altro aspetto è quello della segnalazione alla competente autorità. Si tratta di una “security breach notification” molto simile alla “data breach notification” che esiste in alcuni paesi europei per le violazioni in materia di privacy. In buona sostanza, l’impresa che subisce una violazione di sicurezza dovrà segnalarla all’autorità competente. È evidente come tale sistema sia a tutela dei dati personali e dei consumatori perché dovrebbe garantire i livelli massimi di sicurezza se applicate appropriate misure di protezione. Il tema della sicurezza è connesso, per molti versi, con quello della tutela dei dati personali e non può sottacersi che, in seguito all’adozione da parte della 32ma Conferenza mondiale dei Garanti privacy, della risoluzione sulla Privacy by Design (PbD) le imprese hanno l’obbligo di valutare tutti i processi secondo questo approccio innovativo.
Su questo argomento è davvero interessante l’approccio della Dott.ssa Ann Cavoukian – Privacy and Information Commissioner of Ontario (Canada) – che, insieme a Dr. Marilyn Prosch (professore alla Arizona State University), ha teorizzato e proposto un approccio innovativo alla Privacy by Design, definito Privacy by ReDesign, idoneo non a smantellare i sistemi già esistenti ma ad adattare gli stessi ai principi di PbD. Privacy by ReDesign si fonda su 3 step: 1) Rethink, 2) Redesign, 3) Revive. Attraverso questo straordinario approccio non si dovrà demolire i processi aziendali già predisposti ed utilizzati, ma sarà possibile integrarli in modo da renderli conformi (compliance) ai principi di Privacy by Design e quindi del tutto funzionali, posizionando sempre al centro l’utente (finalità user centric).
Riguardo alle prescrizioni dettate dagli articoli 13-bis e 13-ter sul piano operativo le imprese dovranno utilizzare una modulistica standard comune per gli adempimenti che sono previsti.
In materia di telecomunicazioni (TLC) il sistema normativo europeo si presenta abbastanza articolato.
La Direttiva 2002/21/CE costituisce la “direttiva quadro” (istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica) nell’ambito del noto “Pacchetto telecom” (Telecom package), introdotto per riordinare il sistema normativo delle telecomunicazioni. A questa direttiva quadro si aggiungono altre 4 direttive e precisamente:
Direttiva 2002/19/CE relativa all’accesso alle reti di comunicazione elettronica e alle risorse correlate, e all’interconnessione delle medesime; direttiva " accesso " –relativa all’accesso alle reti di comunicazione elettronica e alle risorse correlate, e all’interconnessione delle medesime;
Direttiva 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica; direttiva “ autorizzazioni ” -relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica;
Direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica; direttiva " servizio universale " –relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica;
Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. Direttiva e-privacy). direttiva " vita privata e comunicazioni elettroniche " –relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. Direttiva e-privacy).
Al citato quadro normativo va aggiunta la Decisione n. 676/2002/EC riguardo allo spettro radio.
La predetta “direttiva quadro” è stata modificata nel 2009, tant’è che sulla Gazzetta Ufficiale dell’Unione Europea del 18.12.2009 sono stati pubblicati i seguenti provvedimenti:
a) Direttiva 2009/140/CE (c.d. “Legiferare meglio”);
b) Direttiva 2009/136/CE (c.d. “Diritto dei cittadini”) che ha modificato la Direttiva 2002/58/CE su e-privacy;
c) Regolamento (CE) n. 1211/2009 istitutivo del BEREC.
Entrambe le citate Direttive del 2009 avrebbero dovuto essere recepite nel sistema normativo italiano entro il 25.5.2011, così come statuito dall’art. 5, comma 1, della Direttiva 2009/140/CE e dall’art. 4, comma 1, della Direttiva 2009/136/CE.
A tal proposito la Commissione Europea proprio il 24 novembre 2011 ha inviato una comunicazione a 16 Stati membri con «le proprie richieste in forma di "parere motivato"» (così si legge nel comunicato stampa). Il rischio per il mancato recepimento consiste nel deferimento alla Corte di giustizia dell’Unione europea con addebito delle sanzioni pecuniarie. Oltre all’Italia tra i 16 Stati inadempienti ci sono: Austria, Belgio, Bulgaria, Cipro, Francia, Germania, Grecia, Paesi Bassi, Polonia, Portogallo, Repubblica ceca, Romania, Slovenia, Spagna e Ungheria. Sul piano della gerarchia delle fonti sembra non potersi dubitare, in caso di mancato recepimento delle direttive, che spieghino comunque gli effetti nel nostro ordinamento.
Riguardo al contesto nazionale, allo stato le citate direttive – come si è detto – non sono state recepite ma sono contenute nello schema del disegno di legge “Disposizioni per l’adempimento di obblighi derivanti dall’appartenenza dell’Italia alle Comunità europee – Legge comunitaria 2010” attualmente all’esame del Parlamento.
Le tematiche oggetto delle citate due Direttive da recepire riguardano, molto genericamente, i diritti dei consumatori in materia di telefonia fissa, accesso ad internet e servizi mobili, ma anche maggiori garanzie in materia di tutela dei dati personali.
In particolare, la Direttiva 2009/140/CE introduce il Capitolo III bis che riguarda la “sicurezza e integrità delle reti e dei servizi”. In virtù di tale innovazione vengono introdotti, fra le altre modifiche, gli articoli 13-bis e 13-ter (nel testo in lingua inglese i citati articoli sono rubricati come 13a e 13b).
Le due norme recitano come segue:
Articolo 13 bis - Sicurezza e integrità
1. Gli Stati membri assicurano che le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico adottino adeguate misure di natura tecnica e organizzativa per gestire adeguatamente i rischi per la sicurezza delle reti e dei servizi. Tenuto conto delle attuali conoscenze in materia, dette misure assicurano un livello di sicurezza adeguato al rischio esistente. In particolare, si adottano misure per prevenire e limitare le conseguenze per gli utenti e le reti interconnesse degli incidenti che pregiudicano la sicurezza.
2. Gli Stati membri assicurano che le imprese che forniscono reti pubbliche di comunicazioni adottino tutte le misure opportune per garantire l’integrità delle loro reti e garantire in tal modo la continuità della fornitura dei servizi su tali reti.
3. Gli Stati membri assicurano che le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico comunichino all’autorità nazionale di regolamentazione competente ogni violazione della sicurezza o perdita dell’integrità che abbia avuto conseguenze significative sul funzionamento delle reti o dei servizi.
Se del caso, l’autorità nazionale interessata informa le autorità nazionali degli altri Stati membri e l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA). L’autorità nazionale di regolamentazione interessata può informare il pubblico o imporre all’impresa di farlo, ove accerti che la divulgazione della violazione sia nell’interesse pubblico.
L’autorità nazionale di regolamentazione interessata trasmette ogni anno alla Commissione e all’ENISA una relazione sintetica delle notifiche ricevute e delle azioni adottate conformemente al presente paragrafo.
4. La Commissione, tenendo nella massima considerazione il parere dell’ENISA, può adottare le opportune misure tecniche di attuazione per armonizzare le misure di cui ai paragrafi 1, 2 e 3, comprese le misure che definiscono le circostanze, il formato e le procedure che si applicano agli obblighi di notifica. Queste misure di attuazione tecnica si basano, per quanto possibile, sulle norme europee ed internazionali, e non ostano a che gli Stati membri adottino requisiti supplementari per conseguire gli obiettivi di cui ai paragrafi 1 e 2.
Tali misure di attuazione, intese a modificare elementi non essenziali della presente direttiva completandola, sono adottate secondo la procedura di regolamentazione con controllo di cui all’articolo 22, paragrafo 3.
Articolo 13-ter - Attuazione e controllo
1. Gli Stati membri assicurano che, ai fini dell’attuazione dell’articolo 13 bis, le competenti autorità nazionali di regolamentazione abbiano la facoltà di impartire istruzioni vincolanti, comprese quelle in materia di termini di attuazione, alle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazioni elettroniche accessibili al pubblico.
2. Gli Stati membri assicurano che le autorità nazionali di regolamentazione competenti abbiano la facoltà di imporre alle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico di:
a) fornire le informazioni necessarie per valutare la sicurezza e l’integrità dei loro servizi e delle loro reti, in particolare i documenti relativi alle politiche di sicurezza; nonché
b) sottostare a una verifica della sicurezza effettuata da un organismo qualificato indipendente o dall’autorità nazionale competente mettendo a disposizione dell’autorità nazionale di regolamentazione i risultati di tale verifica. L’impresa si assume l’onere finanziario della verifica.
3. Gli Stati membri provvedono affinché le autorità nazionali di regolamentazione dispongano di tutti i poteri necessari per indagare i casi di mancata conformità nonché i loro effetti sulla sicurezza e l’integrità delle reti.
4. Queste disposizioni lasciano impregiudicato l’articolo 3 della presente direttiva.
L’art. 13-bis (13a) impone agli Stati membri di assicurare che le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico:
adottino adeguate misure di natura tecnica e organizzativa per gestire adeguatamente i rischi per la sicurezza delle reti e dei servizi; comunichino all’autorità nazionale di regolamentazione competente ogni violazione della sicurezza o perdita dell’integrità che abbia avuto conseguenze significative sul funzionamento delle reti o dei servizi.
In ogni caso, le imprese che forniscono reti pubbliche di comunicazioni devono adottare tutte le misure opportune per garantire l’integrità delle loro reti e garantire in tal modo la continuità della fornitura dei servizi su tali reti.
Il successivo art. 13-ter (13b) dispone che le competenti autorità nazionali di regolamentazione abbiano la facoltà di impartire istruzioni vincolanti.
L’art. 13-bis, quindi, effettua una prima distinzione tra:
a) imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico
b) imprese che forniscono reti pubbliche di comunicazioni
Pertanto, un primo dato riguarda il profilo soggettivo, posto che gli obblighi che ne derivano dipendono dalla tipologia dell’impresa. Del resto, è vero che la categoria indicata alla lettera a) è quella più ampia e alla stessa compete anche quanto imposto alle sole imprese che forniscono reti pubbliche di comunicazione.
Come si è detto queste norme sono introdotte in un nuovo capo (il terzo) che è dedicato esclusivamente a “sicurezza e integrità delle reti e dei servizi”. La Direttiva impone l’adozione di misure opportune ma ovviamente non individua la tipologia di tali interventi che restano a totale discrezione di ciascuno dei soggetti (imprese).
Sul piano che si potrebbe definire oggettivo, invece, nel tema della sicurezza diventa importante qualificare e circoscrivere i rischi per la sicurezza delle reti e dei servizi. Si tratta di valutazioni puramente tecniche che esulano dall’approccio del presente contributo; tuttavia, si ritiene utile poter ipotizzare delle macro aree all’interno delle quali potrebbero essere elaborati i singoli rischi. In questo ambito della sicurezza delle reti, generalmente si circoscrivono le macro aree di rischio individuandole negli attacchi informatici, negli errori umani, nelle catastrofi naturali, nei malfunzionamenti hardware e software. Ciò che viene, inoltre, richiesto è la continuità della fornitura dei servizi per cui è necessario un piano di disaster recovery che consenta proprio di continuare a garantire i servizi.
L’altro aspetto è quello della segnalazione alla competente autorità. Si tratta di una “security breach notification” molto simile alla “data breach notification” che esiste in alcuni paesi europei per le violazioni in materia di privacy. In buona sostanza, l’impresa che subisce una violazione di sicurezza dovrà segnalarla all’autorità competente. È evidente come tale sistema sia a tutela dei dati personali e dei consumatori perché dovrebbe garantire i livelli massimi di sicurezza se applicate appropriate misure di protezione. Il tema della sicurezza è connesso, per molti versi, con quello della tutela dei dati personali e non può sottacersi che, in seguito all’adozione da parte della 32ma Conferenza mondiale dei Garanti privacy, della risoluzione sulla Privacy by Design (PbD) le imprese hanno l’obbligo di valutare tutti i processi secondo questo approccio innovativo.
Su questo argomento è davvero interessante l’approccio della Dott.ssa Ann Cavoukian – Privacy and Information Commissioner of Ontario (Canada) – che, insieme a Dr. Marilyn Prosch (professore alla Arizona State University), ha teorizzato e proposto un approccio innovativo alla Privacy by Design, definito Privacy by ReDesign, idoneo non a smantellare i sistemi già esistenti ma ad adattare gli stessi ai principi di PbD. Privacy by ReDesign si fonda su 3 step: 1) Rethink, 2) Redesign, 3) Revive. Attraverso questo straordinario approccio non si dovrà demolire i processi aziendali già predisposti ed utilizzati, ma sarà possibile integrarli in modo da renderli conformi (compliance) ai principi di Privacy by Design e quindi del tutto funzionali, posizionando sempre al centro l’utente (finalità user centric).
Riguardo alle prescrizioni dettate dagli articoli 13-bis e 13-ter sul piano operativo le imprese dovranno utilizzare una modulistica standard comune per gli adempimenti che sono previsti.
5G, così evolvono le norme su sicurezza e tlc nella Ue
Il 5G si è guadagnato subito un primato, oltre a quello della velocità: di essere la prima tecnologia di rete a impatto geopolitico, sollevando questioni di sicurezza nazionale. E’ utile quindi percorrere le iniziative legislative che sono state intraprese a livello europeo per assicurare la messa in sicurezza delle nostre reti alla luce dell’imminente sviluppo dell’infrastruttura necessaria per le reti 5G.
Perché la sicurezza e nello specifico, la cybersecurity
La crescente attenzione a livello europeo per ciò che riguarda la cyber security nell’ambito delle telecomunicazioni è duplice: economica e di difesa (sicurezza nazionale). Il numero di servizi e attività che dipendono dalle nostre reti, a prescindere da chi le gestisca, è negli ultimi anni aumentato a livello esponenziale. La digitalizzazione di servizi e prodotti ha reso necessario uno sforzo a livello industriale per mettere in sicurezza i network nazionali. Nonostante ciò, le differenti strategie nazionali in tale ambito hanno reso necessario un intervento del legislatore europeo allo scopo di armonizzare le misure fino a quel momento messe in atto a livello nazionale. Considerando la sicurezza un ambito dove la competenza europea non è esclusiva, il legislatore ha spesso utilizzato come base legislativa gli articoli che nel Trattato sul Funzionamento dell’Unione Europeo sono relativi al Mercato Unico e alle misure necessarie per renderlo effettivo. Negli ultimi anni il Mercato Unico, anch’esso soggetto al processo di digitalizzazione che ha contraddistinto la nostra società si sta trasformando sempre più in Mercato Unico Digitale (Europeo). Nel mercato unico, la messa in sicurezza delle reti è sempre stata considerata una conditio sine qua non per lo sviluppo economico di aziende che basano il proprio business sul comparto digitale. Affinché tali enti riescano ad affermarsi è necessario che le reti, i prodotti ed i servizi ad essi connessi siano messi in sicurezza.
WHITEPAPER Report Gartner: guida all’innovazione dell’analisi con la composizione in cloud Cloud Cloud storage
Evoluzione normativa a livello europeo
Già dal 2002 la Commissione europea, insieme al Consiglio e al Parlamento, si è adoperata per approvare misure che assicurassero la messa in sicurezza delle reti: alcune di queste misure hanno avuto ad oggetto proprio il comparto delle telecomunicazioni mentre altre hanno avuto degli effetti dal punto di vista organizzativo anche nell’ambito telecomunicazioni. Del secondo gruppo, ad esempio, fa parte il GDPR, che all’articolo 32 si occupa di stabilire misure sulla sicurezza nel contesto del trattamento di dati personali.
Per quel che riguarda le misure ad hoc del comparto telecomunicazioni, non esiste ad oggi alcun’iniziativa legislativa che si occupi esclusivamente dell’ambito security o cyber security. Le misure che riguardano tale ambito sono state finora incluse all’interno di leggi di più ampio respiro, nelle quali l’elemento security è stato solo uno degli aspetti trattati, come nel caso del Codice europeo delle comunicazioni elettroniche.
Ad oggi, la normativa vigente per il comparto telecomunicazioni, in attesa che il Codice europeo delle comunicazioni elettroniche venga introdotto a livello nazionale nei vari paesi UE è la Direttiva quadro per le reti e i servizi di comunicazione elettronica (Direttiva 2002/21/EC) del 2002. La Direttiva quadro, per quel che riguarda l’ambito security, impone agli stati membri, tramite le agenzie competenti, di assicurare l’integrità e la sicurezza (due caratteristiche tra loro complementari ed interdipendenti) delle reti e dei servizi di comunicazione elettronica. Ad integrare tale norma, la Direttiva sulle Autorizzazioni per le reti ed i servizi di comunicazione elettronica (Direttiva 2002/20/EC), prevede, nel momento di assegnare della licenza ad operare, la possibilità per l’ente pubblico statale incaricato di rilasciare tale licenza di richiedere e verificare che l’operatore richiedente sia in grado di assicurare la sicurezza delle reti, al fine di evitare accessi non autorizzati sulla rete pubblica. Nello stesso anno, la Direttiva e-Privacy (Direttiva 2002/58/EC), lex specialis del comparto comunicazione, richiede agli operatori di settore di assicurare la confidenzialità delle comunicazioni intercorrenti tra gli utenti della sua rete.
La Direttiva NIS e gli operatori di servizi di comunicazione elettronica
Una menzione speciale in questa panoramica merita la Direttiva NIS (Direttiva 2016/1148) recante misure atte ad assicurare in maniera uniforme all’interno della UE un appropriato livello di sicurezza delle reti e dei sistemi informativi. Al fine di assicurare tali standard, la normativa richiede azioni specifiche a stati membri e a due categorie di attori: gli operatori di servizi essenziali e i providers di specifici servizi digitali. Nello specifico, gli operatori di servizi essenziali, da doversi individuare a livello nazionale tra coloro i quali operano in settori considerati fondamentali per il corretto funzionamento dello stato (es. settore bancario, sanitario, energetico) e determinati providers di servizi digitali, che visto il crescente ruolo e peso, sia a livello economico che sociale, devono poter assicurare un adeguato livello di sicurezza.
La NIS si applica orizzontalmente a tutti gli attori che sono identificati a livello nazionale nelle due categorie sopra menzionate. Ciononostante, come stablito al Rec. 9 ed Articolo 1(3) ed 1(7) della Direttiva, nel caso in cui altre iniziative legislative di settore e nel caso specifico, la Direttiva quadro per il comparto telecomunicazioni, impongano requisiti di sicurezza che assicurino un livello di sicurezza maggiore od uguale a quello previsto dalle norme della Direttiva NIS, queste normative, in quanto lex specialis, prevarranno su quelle previste della NIS.
Per quel che riguarda il settore delle comunicazioni è importante soffermarsi su entrambe le categorie di operatori che sono soggetti alla normativa prevista dalla NIS. Da un lato, tra i provider di servizi essenziali, di cui all’annesso tre della NIS, vengono inclusi, gli operatori che offrono servizi di cloud computing, attività svolta dalla quasi totalità degli operatori telefonici. Dall’altra, sebbene non rientranti nelle categorie previste dall’Allegato II della NIS, alcuni stati membri hanno incluso gli operatori telefonici tra coloro i quali offrono, all’interno dello stato, servizi considerati essenziali per il paese. A tal riguardo, il report sullo stato d’implementazione della Direttiva NIS tra i vari stati membri sottolinea come, nonostante quanto previsto dall’Articolo 1(3), diversi paesi abbiano incluso nella lista di operatori di servizi essenziali gli operatori di comunicazione elettronica.
La mancata applicazione del dettato normativo previsto dall’Articolo 1 della Direttiva NIS ha quindi comportato, de facto l’assoggettamento per gli operatori di telefonia (sia essa mobile o fissa) a due diversi regimi normativitra loro in parte sovrapponibili. In concreto, a seguito di una politica d’implementazione in contraddizione con il dettato normativo europeo ci saranno casi in cui un operatore attivo in più stati membri sarà soggetto a norme diverse a seconda del paese in cui opera nonostante la normativa Ue abbia fissato delle chiare regole per evitare sovrapposizioni normative.
Il codice europeo delle comunicazioni elettroniche
Il codice europeo delle comunicazioni elettroniche, approvato in via definitiva nel dicembre del 2018 e in via d’implementazione a livello nazionale (il processo d’implmentazione deve avvenire entro il dicembre 2020) ha come obiettivo quello di riformare, dal punto di vista normativo, l’intero ambito delle telecomunicazioni. Alla luce di questo ambizioso piano, i soggetti coperti da questa normativa non sono piu soltanto gli operatori telefonici cosiddetti tradizionali, ma anche quegli operatori che offrono servizi di comunicazione tramite app, come Messenger, o Whatsapp.
Per quel che riguarda le misure riguardanti la security, l’articolo 40 del codice impone l’obbligo ad ogni stato membro di assicurare che i fornitori di comunicazione elettronica sulle reti pubbliche o di servizi di comunicazioni elettroniche accessibili al pubblico adottino misure tecniche e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza delle reti e dei servizi da loro offerti. In aggiunta, gli stati membri dovranno assicurare che gli operatori di comunicazioni elettroniche tramite reti pubbliche o di servizi di comunicazione elettronica accessibili al pubblico comunichino prontamente all’autorità competente gli incidenti che abbiano avuto un impatto sul funzionamento di reti o servizi. Di conseguenza, in base a quanto stabilito dal dettato normativo, gli operatori di servizi di comunicazione, siano essi operatori tradizionali o “nuovi”, dovranno assicurare un livello di sicurezza equivalente, senza alcun tipo di distinzione tra i diversi operatori.
I più recenti sviluppi in ambito security per il comparto delle telecomunicazioni
Le norme contenute all’interno del codice non si occupano della messa in sicurezza del 5G. In questa direzione si è mossa negli ultimi mesi la Commissione europea con una Raccomandazione su 5G e Cybersecurity. Una Raccomandazione per sua natura non ha valore vincolante ma è da considerarsi a tutti gli effetti una misura legislativa prodromica a future misure legislative vincolanti come siano esse Direttive od un Regolamenti. In tale testo la Commissione richiede una serie di azioni, da attuarsi sia a livello europeo che nazionale, al fine di ottimizzare i sistemi di sicurezza legati alla tecnologia 5G. Per le caratteristiche tecniche e i servizi che sarà possibile offrire rispetto al passato, le vulnerabilità legate a questa nuova tecnologia saranno di gran lunga maggiori rispetto al passato dal momento che è previsto un aumento esponenziale sia dell’infrastruttura (numero di antenne) che del volume dati. Per quel che riguarda le azioni richieste ai vari stati membri, la raccomandazione richiede:
un approfondito risk assessment a livello nazionale dell’infrastruttura fino ad oggi sviluppata per quel che riguarda il 5G entro il giugno 2019
per quel che riguarda il 5G entro il giugno 2019 un update degli attuali protocolli di sicurezza richiesti agli operatori di servizi di comunicazione elettronica.
In aggiunta a tali misure, viene prevista la possibilità per gli stati membri di escludere, a seguito di specifiche valutazioni, operatori che siano coinvolti nello sviluppo dell’infrastruttura legata al 5G (es. antenne) qualora questi vengano valutati inadatti ad assicurare i richiesti standard di sicurezza (Golden Power). Tale potere è da ricollegarsi alla recente discussione intorno a Huawei, uno degli operatori che insieme a Nokia ed Ericsson è stato scelto da molti paesi, tra cui l’Italia, per sviluppare l’infrastruttura per lo sviluppo del 5G. A tal proposito è necessario menzionare che per quel che riguarda il nostro paese la Raccomandazione della Commissione europea è stata recepita con il decreto sul perimetro di sicurezza cibernetica della scorsa estate. L’ultima iniziativa che è necessario menzionare in questa breve panoramica è relativa alle decisioni, per ora non vincolanti, prese dal Consiglio europeo all’inizio dicembre 2019 sempre in ambito 5G e cybersecurity. Nella riunione del 5 dicembre i rappresentanti dei governi nazionali responsabili per il comparto telecomunicazione hanno ribadito l’importanza di portare avanti, soprattutto per quel che riguarda l’ambito security, un approccio coordinato e condiviso a livello UE al fine di mettere in sicurezza reti e servizi.
Conclusioni
Per quel che riguarda il comparto delle telecomunicazioni possiamo facilmente affermare che il legislatore europeo ha, nel corso degli anni, sviluppato un copioso sistema normativo al fine di assicurare la messa in sicurezza delle reti e dei servizi offerti dagli operatori di questo settore, siano essi nuovi o tradizionali. Tale istanza è stata infatti considerata come una necessità fondamentale per un effettivo sviluppo del Mercato Unico Digitale. Allo stesso tempo, negli ultimi sviluppi che hanno riguardato il settore delle comunicazioni elettroniche, e nello specifico la messa in sicurezza dell’infrastruttura necessaria per lo sviluppo del 5G, è possibile notare delle criticità.
@RIPRODUZIONE RISERVATA
Sicurezza informatica e delle telecomunicazioni nelle Pubbliche Amministrazioni
Panoramica privacy
Che Cosa Sono i Cookie?
I cookie sono file di testo che contengono informazioni che vengono memorizzati sul tuo computer o sul tuo dispositivo mobile tutte le volte che visiti un sito online attraverso un browser. Ad ogni successiva visita il browser invia questi cookies al sito web che li ha originati o ad un altro sito. I cookies permettono ai siti di ricordare alcune informazioni per permetterti di navigare online in modo semplice e veloce come la lingua o riconoscimento di accesso al sito successivo il primo. Ci sono due principali tipi di cookie: i cookie di sessione e cookies permanenti. I cookie di sessione sono temporanei, servono a migliorare l’esperienza di utilizzo del sito e vengono eliminati dal computer automaticamente quando chiudi il browser; i cookie permanenti restano memorizzati sul tuo computer a meno che non siano eliminati o raggiungano la loro data di scadenza.
I Cookie Sul Nostro Sito
Questo sito può essere navigato anche senza l’utilizzo dei cookie da parte degli utenti ma la navigazione potrebbe non essere la migliore possibile. Utilizziamo cookie tecnici, finalizzati a migliore il funzionamento e la tua esperienza di navigazione di questo sito. Questo sito utilizza Google Analytics per raccogliere informazioni circa l’utilizzo degli utenti del proprio sito web. Google Analytics genera informazioni statistiche e di altro genere attraverso i cookie, memorizzati sui computer degli utenti. Le informazioni generate relative al nostro sito web sono utilizzate dalla nostra azienda per fare dei report sull’utilizzo del sito stesso per migliorarne l’usabilità, le funzionalità, l’interfaccia, la comunicazione. La politica sulla privacy di Google è disponibile al seguente indirizzo: In particolare le informazioni generate dal cookie sull’utilizzo del sito web vengono gestite presso i server di Google negli Stati Uniti. Google può anche trasferire queste informazioni a terzi ove ciò sia imposto dalla legge o laddove tali terzi trattino le suddette informazioni per conto di Google. Google non assocerà il vostro indirizzo IP a nessun altro dato posseduto da Google.
Tutti i tipi di cookie sopra descritti possono rimanere nel vostro computer o dispositivo mobile per tempi diversi, a seconda della loro funzione. I cookie memorizzati sul vostro computer o dispositivo mobile non possono essere utilizzati per richiamare uno qualsiasi dei dati memorizzati nel disco fisso, trasmettere virus, individuare e utilizzare il proprio indirizzo di posta elettronica, o per scopi diversi da quelli sopra descritti.
Gestione Cookie
Se preferisci che il nostro sito, Google Analytics o che altre parti non utilizzino i cookie e/o i dati raccolti puoi:
utilizzare la navigazione anonima (Do Not Track) del tuo browser. Per sapere come attivare l’opzione sui browser: Internet Explorer, Google Chrome, Mozilla Firefox, Apple Safari;
Rifiuta tutti i cookie, premendo il bottone qui di lato dedicato;
Seguire le procedure che ogni browser propone per non usare/cancellare/gestire i cookie.
Per saperne di più su come gestire i cookie attraverso il proprio browser, visita il sito