Scambio di informazioni su scala nazionale nel sistema di sicurezza informatica a livello nazionale

Per potenziare la capacità digitale dei soggetti pubblici e privati nei Paesi Bassi, negli ultimi anni è stato lavorato per creare un sistema nazionale di collaborazione in materia di cybersecurity, all'interno del quale le informazioni sulla cybersecurity vengono condivise in modo più ampio, efficiente ed efficace. Con il Nationaal Cyber Security Centrum (NCSC), dipendente dal Ministero della Giustizia e della Sicurezza, il Digital Trust Center (DTC), dipendente dal Ministero degli Affari Economici e del Clima, e il crescente numero di collaborazioni, questo sistema nazionale di copertura sta diventando sempre più realtà. Tuttavia, ci sono ancora gruppi target nel settore non vitale (come le PMI) che non possono ricevere determinate informazioni desiderate o non sanno come trovarle, e ciò rappresenta un rischio per la cybersecurity di tali soggetti. Dialogic ha esaminato questa situazione su incarico del WODC. Nella ricerca è stata fatta distinzione tra due tipi di informazioni relative alla cybersecurity: informazioni informative (informazioni e consigli sulla cyber-resilienza) e informazioni sulle minacce (informazioni sulle minacce o vulnerabilità relative a determinate aziende o software). I gruppi target, le esigenze e le limitazioni giuridiche per questi due tipi di informazioni non sono uguali, il che comporta differenze nelle conclusioni e nelle possibili misure. Esigenza di informazioni informative Dalla ricerca emerge che le PMI e i lavoratori autonomi hanno bisogno di informazioni e consigli sulla cybersecurity, come ad esempio una scansione di base della loro sicurezza informatica. Risulta anche che attualmente il DTC può già soddisfare una parte significativa di questa esigenza, ma le parti interessate non ne sono a conoscenza. Uno dei suggerimenti della ricerca è quindi sviluppare una strategia di comunicazione per aumentare la conoscenza e la reperibilità del DTC come punto centrale per la cybersecurity. Esigenza di informazioni sulle minacce La condivisione delle informazioni sulle minacce è spesso problematica a causa delle limitazioni giuridiche sulla condivisione dei dati personali e delle informazioni riservate identificabili. Pertanto, le informazioni sulle minacce rilevanti per il settore non vitale rimangono bloccate presso il NCSC. In definitiva, il gruppo di imprese non vitali con una bassa maturità cibernetica attualmente non riceve adeguatamente le informazioni desiderate. Questo gruppo ha un accesso limitato alle informazioni ritenute necessarie per essere resilienti alle minacce cibernetiche. Sviluppi giuridici Il DTC potrebbe diventare in futuro l'attore principale per le informazioni sulle minacce per soggetti non vitali, garantendo che il DTC riceva le informazioni dal NCSC e le trasmetta alle aziende e alle collaborazioni rilevanti. Tuttavia, non è chiaro quando la base giuridica necessaria per il DTC sarà pronta e lo scambio di informazioni potrà iniziare effettivamente: potrebbe essere realizzabile all'inizio del 2021, ma anche un anno dopo non è da escludere. Le informazioni sulle minacce potrebbero essere trasmesse direttamente dal NCSC ad altre collaborazioni, senza l'intermediazione del DTC, ma anche qui ci sono ostacoli e incertezze legali. È probabile che nel breve e medio termine ci sarà maggiore chiarezza e la condivisione delle informazioni sarà più agevole. Il rapporto di ricerca è stato inviato alla Tweede Kamer il 17 novembre 2020. Leggi qui la relativa lettera alla Camera.