Nuova CEI 79-3, NIS e CER: cosa cambia?

Giovanni Villarosa - Laureato in Scienze dell’Intelligence e della Sicurezza, esperto di Sicurezza Fisica per Infrastrutture, CSO e DPO, membro del comitato tecnico-scientifico del CESPIS, Centro Studi Prevenzione, Investigazione e Sicurezza

Chiudiamo con questo articolo la parentesi dedicata alla pubblicazione della nuova CEI 79-3:2024 ricordando ai professionisti del settore che la Norma regola gli ambiti di progettazione, installazione e manutenzione degli impianti di sicurezza intrusione e rapina con nuove specifiche tecniche e strumenti come l’analisi del rischio, i criteri di classificazione degli impianti (livelli di prestazione, grado di sicurezza, etc.), le verifiche periodiche sugli impianti, i requisiti vincolanti dalle Leggi, con Normative e Regolamenti da rispettare. Ci focalizziamo qui sul rapporto tra la nuova CEI e Direttive come NIS2 o CER.

Nel perimetro della cybersecurity, superficie fino ad oggi operata e circoscritta ai soli professionisti ICT, con l’entrata in vigore dalla nuova Direttiva NIS 2, e da quella CER, nel mondo della “sicurezza” delle infrastrutture assistiamo a un deciso cambio di paradigma, un mutamento questo che coinvolgerà a pieno titolo, a partire dall’aprile 2025, tutti i professionisti della sicurezza fisica, professionisti che dovranno ormai conformarsi, in maniera lungimirante, ai contenuti previsti nell’allegato K della nuova 79-3. Dimostrare nell’era “NIS” una spiccata manualità, una padronanza certa nella gestione dei sistemi e delle tecnologie nel campo della sicurezza, non basta più, se poi questa professionalità non è “certificata” da una compliance.

Sistemi integrati = rischi più elevati

La complessità dei sistemi di sicurezza integrata impone competenze sempre più stringenti, ma verificabili, includendo un numero sempre maggiore di dispositivi disomogenei, ma interconnessi tra loro, per funzionalità e composizione, come telecamere intelligenti, serrature elettroniche, sensoristica di sicurezza multifunzione, controllo accessi, sensori IoT. Ebbene, tutti questi device saranno sempre più attaccati da cyber criminali, rappresentando così una vulnerabilità indiretta dell’infrastruttura protetta. 

Effetti della NIS2

Come accennavo nella parte iniziale dell’articolo, nel dicembre 2022 il Parlamento Europeo, insieme al Consiglio della UE, abrogavano la vecchia Direttiva UE 2016/1148 (NIS 1) (network and information security), sostituendola con la nuova Direttiva UE 2022/2555 (NIS 2), relativa a misure per un livello comune elevato di cybersicurezza nell’Unione; l’Italia, a sua volta, inseriva nell’ordinamento nazionale il nuovo documento NIS 2 attraverso l’introduzione del D. Lgs. n. 138/2024. Quindi, da oggi, la sicurezza logica e quella fisica sono definitivamente interdipendenti tra loro, con un comune obiettivo: quello di garantire la resilienza globale. Alla nuova Normativa sulla protezione delle infrastrutture si dovranno uniformare tutte le aziende, come pure gli enti pubblici, adeguando ai nuovi obblighi previsti i propri livelli di sicurezza, allineandoli al comune standard europeo, in fatto di misure di cybersecurity specializzate alla protezione delle infrastrutture digitali.

Data Center

Il Data Center, cuore nevralgico dell’era digitale, è l’infrastruttura critica (IC) per “antonomasia”, quella che sostiene operativamente la galassia interconnessa dei sistemi informatici, economici e sociali a livello globale. La protezione di queste “entità critiche” richiede un attento approccio multi rischio (art.21 com. 2 NIS 2) integrato da una strategia multilivello, che contempli non solo la difesa dalle minacce cyber (sicurezza logica), ma anche la prevenzione e il contrasto delle intrusioni fisiche (sicurezza fisica) basata su anelli (layers) concentrici di protezione. Soluzioni avanzate di sicurezza fisica, necessarie a tutte quelle componenti professionali (DPO, SM, CISO, etc) attive nella gestione delle infrastrutture critiche (i data center sono tali), e per rispettare i requisiti di dissuasione, rilevamento e risposta definiti, peraltro, dalla recente Direttiva UE sulla Resilienza delle Entità Critiche (CER) 2022/2557. 

Effetti della CER

La Direttiva CER, già in vigore dal gennaio 2023, rappresenta un passo fondamentale verso il rafforzamento della resilienza delle IC operative negli Stati della UE; inoltre, la normativa identifica undici settori chiave, tra i quali sono contemplate le infrastrutture digitali, stabilendo nuovi standard per la protezione fisica e la sicurezza operativa. Tra i requisiti specifici della CER figura l’obbligo di condurre valutazioni periodiche dei rischi, sviluppando piani di resilienza dettagliati, implementandoli con sistemi di sicurezza fisica all’avanguardia, efficaci nel creare una protezione completa e ridondante. In questo contesto, i sistemi di rivelazione perimetrale assumono un ruolo cruciale, fungendo da prima linea di difesa contro le intrusioni fisiche, garantendo, nel contempo, la tempestiva identificazione di tutte le possibili potenziali minacce. 

Gli adempimenti

La CER è stata recepita all’interno del nostro ordinamento tramite il D. Lgs. n. 134/2024; ma quali sono i principali adempimenti introdotti dalla nostra Normativa conformi al recepimento della CER? Il legislatore, nel Decreto, stabilisce che tutte le infrastrutture critiche devono: valutare i rischi e implementare strategie efficaci per mitigarli; adottare misure avanzate di sicurezza fisica, tra cui adeguati sistemi di rivelazione antintrusione perimetrale; pianificare la continuità operativa; collaborare attivamente con le autorità competenti. Quindi, siamo di fronte ad una sicurezza perimetrale multi-livello: le giuste fondamenta dove poggeranno i pilastri della Resilienza. E allora, nel contesto del nuovo quadro normativo, la protezione perimetrale stratificata delle infrastrutture critiche diventa un elemento imprescindibile, giacché garantisce dissuasione, rilevamento e risposta in ogni fase del tentativo di intrusione. E tra tutti i pilastri necessari, i due maggiori sono la rivelazione preventiva quale identificazione precisa e tempestiva dei tentativi di intrusione prima che l’effrazione avvenga, e la protezione tecnologica multi-layer secondo il concetto degli anelli concentrici di protezione, contemplati, tra l’altro, nella recente normativa internazionale CLC/TS 50661-1, dove ogni anello contribuisce a creare una efficace barriera stratificata, che rafforza il perimetro della sicurezza fisica attiva sul sito protetto.