Sicurezza dei servizi fiduciari: che dicono eIDAS 2.0 e Nis2

eIDAS 2.0 e Nis2, cosa dice lo standard Etsi

La descrizione formale di questa interazione della normativa comunitaria è ben descritta nell’introduzione dello standard ETSI EN 319 401, aggiornato recentemente proprio per essere conforme alla NIS 2. Il documento ETSI EN 319 401, intitolato “Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers” specifica le politiche di sicurezza di base da applicare alle pratiche operative e di gestione dei prestatori di servizi fiduciari (TSP) indipendentemente dal servizio fiduciario fornito.

Il testo citato è il seguente:

“Costruire la fiducia nell’ambiente online è fondamentale per lo sviluppo economico e sociale. La mancanza di fiducia, soprattutto a causa di una percepita mancanza di sicurezza, induce i consumatori, le imprese e le amministrazioni a esitare ad effettuare transazioni elettroniche e ad adottare nuovi servizi. I fornitori di servizi fiduciari sono spesso un elemento essenziale per stabilire la fiducia tra le parti che effettuano transazioni elettroniche, in particolare nelle reti pubbliche aperte, e possono essere utilizzati, ad esempio, per fornire informazioni sull’identità attendibili e contribuire a stabilire comunicazioni sicure tra le parti che effettuano transazioni.

Esempi di tali fornitori di servizi fiduciari sono gli emittenti di certificati a chiave pubblica, i fornitori di servizi di marcatura temporale, i fornitori di servizi di generazione o convalida di firme elettroniche remote.

Affinché i partecipanti al commercio elettronico abbiano fiducia nella sicurezza di questi servizi fiduciari, devono avere fiducia che i fornitori di servizi fiduciari (TSP) abbiano stabilito una serie di procedure, processi e misure di sicurezza al fine di ridurre al minimo le minacce e i rischi operativi e finanziari associato.

Inoltre, la sicurezza informatica di tutti i servizi digitali essenziali è vitale per la trasformazione digitale dell’Europa con servizi digitali e transazioni elettroniche. La fornitura di servizi fiduciari eIDAS è identificata come un elemento essenziale dell’infrastruttura digitale europea. La Direttiva (UE) 2022/2555 [i.13] del Parlamento Europeo e del Consiglio del 14 dicembre 2022 recante misure per un livello comune elevato di cibersicurezza nell’Unione, che modifica il Regolamento (UE) 910/2014 e della Direttiva (UE) 2018/1972, e che abroga la Direttiva 2016/1148 (Direttiva NIS2 o NIS2) individua all’articolo 3 che i requisiti per le misure di gestione del rischio di sicurezza informatica sono applicabili, come entità essenziali, ai fornitori di servizi fiduciari qualificati di cui Regolamento eIDAS. Inoltre, poiché i servizi fiduciari eIDAS sono identificati come elemento fondamentale dell’infrastruttura digitale europea e NIS 2 è applicabile ai servizi fiduciari eIDAS, il presente documento mira anche a soddisfare i requisiti di NIS2″.

I trust service nella direttiva Nis2

La direttiva NIS 2 fa riferimento decine di volte al “trust” e ai “trust services”. Già nel preambolo, nel Considerando (11), il legislatore auspica che i prestatori di servizi fiduciari “dovrebbero rientrare nell’ambito di applicazione della presente direttiva al fine di garantire un livello di requisiti di sicurezza e supervisione analogo a quello precedentemente stabilito in tale regolamento nei confronti dei prestatori di servizi fiduciari”.

Il lettore ponga attenzione al fatto che il testo in italiano riporta la parola supervisione come traduzione di “supervision”, nel citato regolamento 910/2014 la traduzione più aderente alla normativa nazionale è vigilanza.

I prestatori di servizi fiduciari sono indicati anche nel Considerando (84), nel quale si evidenzia l’esigenza di coordinamento generale della sicurezza a livello comunitario.

Un ulteriore aspetto sul coordinamento comunitario è descritto nel Considerando (92).

Il Legislatore esprime la necessità di complementarietà tra eIDAS e NIS 2 nel Considerando (94) che si ritiene utile riportare integralmente:

“Gli obblighi in materia di cibersicurezza stabiliti nella presente direttiva dovrebbero essere considerati complementari ai requisiti imposti ai prestatori di servizi fiduciari ai sensi del regolamento (UE) n. 910/2014. È opportuno chiedere ai prestatori di servizi fiduciari di adottare tutte le misure adeguate e proporzionate per gestire i rischi posti ai loro servizi, anche in relazione ai clienti e ai terzi che vi fanno affidamento, nonché di segnalare gli incidenti a norma della presente direttiva. Tali obblighi in materia di cibersicurezza e segnalazione dovrebbero riguardare anche la protezione fisica dei servizi forniti. I requisiti per i prestatori di servizi fiduciari qualificati stabiliti all’articolo 24 del regolamento (UE) n. 910/2014 continuano ad applicarsi.”

Per chiarezza del lettore ricordiamo che l’articolo 24 di eIDAS è relativo ai “Requisiti per i prestatori di servizi fiduciari qualificati”. I prestatori di servizi fiduciari sono presenti nel testo della direttiva già nell’articolo 2 dedicato all’ambito di applicazione. Nel paragrafo 2, lettera a, punto ii), per un palese errore di traduzione leggiamo “prestatore di servizi di fiducia”.

Ai sensi dell’articolo 3 della NIS 2 i prestatori di servizi fiduciari sono individuati come soggetti essenziali quindi ad essi si applicano le norme più “stringenti” vista le criticità e l’impatto sulla società delle loro attività. Le sanzioni per questi soggetti sono più elevate. Ulteriori informazioni sulle criticità e dettagli sui settori coinvolti si possono trovare negli allegati della direttiva.

La cybersecurity nei servizi fiduciari

Le due norme in esame hanno numerosi di punti di contatto e riferimenti dell’una all’altra e viceversa. L’azione della NIS 2 su eIDAS 2 è puntuale nell’articolo 42 con esplicito riferimento nella rubrica dello stesso, “Modifica del regolamento (UE) n. 910/2014”. L’articolo stabilisce che “Nel regolamento (UE) n.910/2014, l’articolo 19 è soppresso con effetto a decorrere del 18 ottobre 2024”. L’articolo 19 è relativo ai “Requisiti di sicurezza relativi ai prestatori di servizi fiduciari”.

La sua soppressione è indispensabile perché, vista la natura regolamentare di eIDAS si gestisce il diverso rango normativo. Quello del regolamento è superiore rispetto alla normativa del singolo Stato membro. La data del 18 ottobre 2024 è quella dell’obbligo di adozione da parte degli Stati membri della direttiva NIS 2 tramite la normativa nazionale di recepimento.

In Italia il recepimento è stabilito con il Decreto Legislativo 4 settembre 2024, n. 138.

I riferimenti a Nis2 nel regolamento eIDAS 2.0

Sul piano statistico o come curiosità abbiamo che il riferimento esplicito alla “2022/2555” è presente nel regolamento eIDAS ben 23 volte, comprese le citazioni nelle note a piè di pagina.

Il primo riferimento è nel Preambolo, considerando (47), che all’interno di un testo dettagliato evidenzia l’importanza della NIS 2, del regolamento sulla protezione dei dati personali (GDPR) e dell’uso degli elenchi di fiducia per “…fissare le condizioni alle quali i quadri fiduciari dei paesi terzi potrebbero essere considerati equivalenti ai quadri fiduciari per i servizi fiduciari qualificati…”. Discorso analogo per il considerando (50) che il lettore può consultare direttamente nel testo del regolamento. L’importanza del coordinamento tra gli organismi di vigilanza la troviamo descritta nel successivo Considerando (51).

Il primo riferimento nel testo del regolamento è nell’articolo 16 modificato e dedicato alle sanzioni.

Il paragrafo 1 di questo articolo stabilisce che

“Fatto salvo l’articolo 31 della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, gli Stati membri stabiliscono le norme relative alle sanzioni applicabili in caso di violazioni del presente regolamento. Tali sanzioni sono effettive, proporzionate e dissuasive”.

Il testo del paragrafo rende utile commentare l’articolo 31 della NIS 2 che stabilisce gli “Aspetti generali relativi alla vigilanza e all’esecuzione”. La necessità di soppressione dell’articolo 19 del regolamento eIDAS 2 inizia a chiarirsi.

L’articolo stabilisce le regole per le autorità competenti, a partire dal fatto che “gli Stati membri provvedono affinché le proprie autorità competenti monitorino efficacemente e adottino le misure necessarie a garantire il rispetto della presente direttiva”.

Nei paragrafi successivi si danno indicazioni sulle opzioni operative generali dello Stato membro nei confronti delle autorità competenti. In particolare, nel paragrafo 3 si stabilisce la stretta cooperazione con il Garante per la protezione dei dati personali quando questo è coinvolto, per competenza, in caso di incidente.

L’articolo si chiude con il paragrafo 4 che richiede di coordinare i quadri legislativi e nazionali, che sono fatti salvi, con regole di vigilanza e poteri adeguati alle istituzioni che su questo tema devono agire.

Requisiti per i prestatori di servizi fiduciari non qualificati

Un altro articolo che richiama la direttiva NIS 2 è il nuovo articolo 19 bis del regolamento. L’articolo stabilisce i “Requisiti per i prestatori di servizi fiduciari non qualificati” che non erano trattati nella prima versione del regolamento.

Il lettore legga l’articolo nel testo originale che non si riporta per brevità. Il commento a questo articolo inizia dall’analisi dell’articolo 21 della direttiva NIS 2 esplicitamente riferito dal regolamento. Questo articolo è piuttosto lungo (circa una pagina nella pubblicazione nella Gazzetta comunitaria) e stabilisce le “Misure di gestione dei rischi di cibersicurezza”. Il paragrafo 2 dell’articolo elenca gli elementi che devono essere tenuti in conto, in un approccio multirischio, nel definire e applicare le misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete adottati.

I singoli punti sono i seguenti:

“a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici;

b) gestione degli incidenti;

c) continuità operativa, come la gestione dei backup e il ripristino in caso di disastro e gestione delle crisi;

d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;

e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;

f) strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza;

g) pratiche di igiene informatica di base e formazione in materia di cibersicurezza;

h) politiche e procedure relative all’uso della crittografia e, del caso, della cifratura;

i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;

j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso“.

Regole per la valutazione della supply chain

Il paragrafo 3 introduce e dettaglia regole per la valutazione della catena di approvvigionamento. Questo aspetto è sempre più critico nell’evoluzione degli scenari di rischio internazionali.

Sicurezza pec e firma elettronica avanzata

Una valutazione di sintesi dell’articolo 19 bis del regolamento eIDAS è che si specializzano le regole della NIS 2 al contesto dei servizi fiduciari non qualificati.

Questo passo è indispensabile per gestire l’intero insieme dei servizi fiduciari. Prima di questo approccio la qualifica e la conseguente vigilanza sui prestatori di servizi fiduciari lasciava spazio al rischio derivante dalla mancanza di regole comunitarie sui servizi non qualificati. Questo aspetto è già gestito da tempo in Italia nelle regole della PEC e della firma elettronica avanzata (FEA).

Questi due servizi fiduciari non qualificati già sono trattati nella normativa nazionale di riferimento con un adeguato livello di sicurezza e vigilanza, ad oggi, in capo all’Agenzia per l’Italia Digitale – AgID. Quello che mancava a livello di mercato interno dell’Unione era un quadro comune transnazionale e transettoriale che rendesse omogenee le regole nel mercato.

Le verifiche periodiche di sicurezza

I riferimenti nel regolamento eIDAS alla NIS 2 proseguono con la modifica al paragrafo 1 dell’articolo 20 in materia di verifiche periodiche di sicurezza.

Dopo i servizi fiduciari non qualificati anche quelli qualificati devono mantenere i loro requisiti, periodicamente, con un ulteriore riferimento all’articolo 21 della NIS 2.

Nel testo del regolamento eIDAS il riferimento alla NIS 2 è presente altre 10 volte. In questi casi oltre alle indispensabili norme di coordinamento tra i due provvedimenti, si sottolinea lo specifico riferimento alle autorità competenti nello Stato membro (in Italia l’AgID – Agenzia per l’Italia Digitale e l’ACN – Agenzia per la Cybersicurezza Nazionale e, ovviamente, il Garante per la Protezione dei Dati Personali). Questi soggetti hanno poi degli obblighi specifici di interazione comunitaria sulla base di obblighi specifici.

Cybersecurity e trust service, cosa ci aspetta

L’attuazione di queste attività non è esente da rischi. Come già detto in precedenza, l’impresa non dovrebbe di essere “intasata” da una serie di controlli istituzionali, interni ed esterni, relativi alla certificazione e all’audit. Il coordinamento tra soggetti e il buon senso dovranno essere protagonisti in questo nuovo scenario di regole, dove la cibersicurezza è cruciale e onnipresente, ma non sempre trattata in pratica a livelli attuativi ed operativi adeguati.

Le modifiche apportate al regolamento europeo eIDAS e in vigore dal 20 maggio 2024 non potevano omettere i riferimenti all’indispensabile coordinamento con la NIS 2. La gestione della cybersecurity doveva specializzarsi e coordinarsi nell’ambito dei servizi fiduciari. Le autorità nazionali competenti si devono coordinare per operare al meglio, anche limitando le duplicazioni di vigilanza sui prestatori di servizi fiduciari.

In tal senso è opportuno ricordare che le aziende sono soggette anche alle attività di certificazione e vigilanza per la qualità, il sistema di gestione di sicurezza informatica. Necessaria attenzione alla sostenibilità ambientale, le aziende sono soggette a certificazioni sulle tematiche del cloud computing e della protezione dei dati personali. Altri regolamenti e norme comunitarie incombono sugli stakeholder e le PMI avranno oneri significativi per ottenere e mantenere la conformità a tutte queste norme, regole tecniche ed organizzative.