Cybersecurity Law, esigenze di business e protezione del patrimonio
Mi serve una copertura assicurativa per il rischio cyber? Cosa devo fare per non perdere il diritto al risarcimento da parte dell’assicurazione?
Come illustrato negli scorsi numeri il c.d. ‘Cybersecurity Act’, attualmente allo studio da parte delle istituzioni dell’Unione Europea, che non sarà l’unica norma a dover disciplinare la materia, si compone di due parti: da una parte si intende dare vita a un quadro europeo per la certificazione della sicurezza informatica dei prodotti ICT e dei servizi digitali; dall’altra vengono ridefiniti, potenziati e ampliati il ruolo e le funzioni di Enisa, l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione, che dovrebbe diventare un’agenzia permanente, autorizzata ad avere un ruolo operativo e strategico negli scenari, anche economici, del cyberspazio.
Tutti devono innalzare il livello
di guardia
Il tema della sicurezza cibernetica, in effetti, da qualche tempo è al centro dell’attenzione non più soltanto dei media (basti ricordare il più grande data leak fino ad oggi conosciuto, noto come collection#1), ma anche dei consigli di amministrazione delle organizzazioni che si trovano, oggi più che mai, a dover affrontare e risolvere, in tempi brevi, il problema della protezione del loro patrimonio digitale, costituito, è bene ricordarlo, dai dati, dalle applicazioni, dalle risorse tecnologiche, dalle risorse umane, dalle regole organizzative e dalle procedure funzionali alla acquisizione, memorizzazione, elaborazione, scambio, ritrovamento e trasmissione delle informazioni.
Per altro, il mercato europeo è uno dei più rilevanti per quanto riguarda il consumo di prodotti ICT e il sistema di certificazioni di sicurezza cibernetica europeo potrebbe diventare un modello globale per un settore, quello delle certificazioni, che secondo alcune stime vedrà un giro di affari intorno ai 250 miliardi di dollari nel 2023.
Gli standard di riferimento
Attualmente vi sono numerosi standard internazionali di certificazione della sicurezza cibernetica. Tra i principali occorre menzionare, ad esempio, con riferimento alle norme vigenti oltreoceano, il Cybersecurity Framework, dell’Istituto Nazionale di Standards e Tecnologie del dipartimento del commercio degli Stati Uniti (Nist), e, con riferimento al Vecchio Continente, in Inghilterra, il Cyber Essential, lo standard realizzato a partire dal 2014 dal governo inglese in collaborazione con l’Information Security Forum.
I beni da proteggere
Da un punto di vista strettamente legale, per quanto riguarda l’insieme delle norme applicabili alla sicurezza cibernetica di una organizzazione, vengono in considerazione numerosi aspetti da considerare. In alcuni casi, per esempio, sono oggetto di protezione legale i beni fisici, che consentono il funzionamento di un servizio o la fruizione di un bene, si pensi all’energia elettrica, ma in altri ciò che è oggetto di protezione legale è rappresentato da informazioni o, più in generale, da dati.
In questo ambito, sono sicuramente rilevanti sia le norme sul danneggiamento, anche dei sistemi informatici o dei dati in essi contenuti, sia quelle in materia di accesso abusivo a sistemi informatici o telematici, sia quelle, non meno importanti, ma che non trattiamo in questa sede, sul trattamento illecito di dati personali.
Vari livelli di rischio
Per essere concreti, il danno che potrebbe derivare ad una organizzazione da un incidente di sicurezza cibernetica, o, peggio ancora, dalla totale assenza di politiche, procedure, strumenti, tecnologie e competenze adeguate potrebbe essere esiziale, causare cioè la fine dell’organizzazione stessa per l’impossibilità di raggiungere i propri obiettivi istituzionali; anche qualora non si arrivasse a tanto potrebbero verificarsi gravi danni patrimoniali, reputazionali, di perdita di opportunità e di immagine, difficili da quantificare e, quindi, da risarcire.
I fattori da considerare
Dal punto di vista della risarcibilità del danno ‘cyber’ occorre prendere in considerazione almeno due fattori: da una parte la natura delle condotta che lo ha cagionato, se intenzionale, ad opera di un terzo, per esempio un attacco informatico deliberato, o se, invece, accidentale, per effetto di una distrazione di uno degli addetti alla manutenzione che, inavvertitamente, provochi l’indisponibilità, anche solo temporanea, di un dato o di un servizio; dall’altra occorre considerare se il danno possa formare oggetto di una specifica copertura assicurativa.
In quest’ultima ipotesi, vale a dire qualora una organizzazione si sia premurata di trasferire il rischio su un terzo soggetto (l’assicurazione), occorrerà comunque, in ogni caso, sia verificare, a termini di polizza, l’applicabilità della copertura al caso concreto, sia evitare di incorrere in comportamenti di gravità tale da evitare l’operatività della stessa polizza.
Fare scelte ponderate
Per poter dimostrare alla compagnia di assicurazione – ed eventualmente anche in sede giudiziale – la fondatezza delle proprie ragioni è fondamentale per l’organizzazione effettuare scelte quanto mai ponderate che, in considerazione del singolo episodio verificatosi, potrebbero dover coinvolgere, necessariamente, competenze e conoscenze trasversali non direttamente disponibili o facilmente raggiungibili.
Si pensi, per fare un esempio, a quali attività potrebbero doversi rendere necessarie per documentare all’assicuratore le conseguenze, in termini di indisponibilità di risorse di elaborazione, derivanti da un incidente di sicurezza informatica. Sarebbero necessarie almeno le seguenti figure:
– un perito informatico con competenze specifiche in materia di informatica forense, in grado di rinvenire all’interno dei sistemi colpiti dal sinistro, in modo consono, evidenze rappresentative dello svolgimento degli eventi;
– un legale in grado di verificare la necessità di procedere con le azioni necessarie a denunciare, se del caso, le circostanze all’autorità giudiziaria e a individuarne gli eventuali autori;
– potrebbe infine rendersi necessario, qualora si profilasse un rischio per l’immagine dell’organizzazione, fare ricorso a figure o servizi specifici in grado di mitigare gli effetti di una comunicazione inappropriata, se non addirittura ulteriormente dannosa.
Conclusioni
Alla luce delle considerazioni svolte, ciò che si ritiene di dover sottolineare è l’importanza di una strategia unitaria, documentata, di azioni di sicurezza cibernetica che in primo luogo assegni alle varie figure che concorrono tra loro, nei rispettivi ruoli, le responsabilità adeguate a garantire il più alto livello possibile di protezione. Una strategia che consenta, inoltre, di individuare e preservare, se necessario, nelle forme dovute, ogni circostanza rilevante a documentare, nelle sedi appropriate, le ragioni dell’organizzazione, oltre ai danni da quest’ultima subiti o subendi, e che infine sia in grado di garantire la continuità operativa dell’organizzazione qualora venga compromessa.
