Il Cyber Security Act è solo una delle numerose normative volte a regolamentare gli aspetti di cybersecurity nel mondo finanziario; di fatto negli ultimi anni i vari enti che regolamentano il settore hanno aumentato la propria attenzione sulla cybersecurity, con una corposa produzione di normativa sia a livello nazionale, sia internazionale, rendendo difficile un puntuale presidio sui numerosi adempimenti richiesti.In Europa, ad esempio, accanto alla normativa emessa dal parlamento UE e dai singoli Stati, vari organismi, quali EBA, ECB, ESMA, EIOPA, hanno emesso normative che regolamentano l’argomento. A queste si aggiungono i documenti emessi dal Financial Stability Board (FSB) o dal Comitato di Basilea.
A tutto questo si aggiungono normative non specificatamente settoriali come quelle sulla privacy (il GDPR è solo una delle normative vigenti), che hanno impatti diretti sulla cybersecurity ovvero che possono, ad esempio, ampliare la cyber exposure delle banche (si pensi ad esempio alla normativa sullo smart working).
Accanto alle normative obbligatorie, inoltre, si affiancano quelle volontarie, quali gli schemi di certificazioni ISO o gli standard ed i framework del NIST che, pur non portando a certificazioni ufficiali, costituiscono un punto di riferimento autorevole.
Un primo tentativo di ordinamento della materia è stato effettuato, nell’ormai lontano 2017, dall’FSB, che, nel documento Summary Report on Financial Sector Cybersecurity Regulations, Guidance and Supervisory Practices, non solo individuava 56 diversi schemi normativi, ma mappava altresì i principali adempimenti trasversali comuni alle varie normative, il che ovviamente è fondamentale in un’ottica di ottimizzazione delle risorse.
Altro aspetto rilevante evidenziato nel documento è il rischio derivante della mancata condivisione a livello globale di un glossario di riferimento, per cui la definizione stessa di Cybersecurity varia da Stato a Stato.
Più recentemente è stata ENISA, il cui ruolo è stato recentemente rafforzato, ad aver prodotto una pubblicazione specificatamente dedicata al mando finanziario: EU CYBERSECURITY INITIATIVES IN THE FINANCE SECTOR che, come il titolo evidenzia, non si limita a prendere in considerazione gli ambiti normativi, ma struttura il documento richiamando le varie iniziative in corso in Europa raggruppandole in base ai requisiti espressi dal già citato Cyber Security Act.
La gestione degli incidenti è un esempio emblematico della complessa interazione esistente sia fra le varie normative (circa una dozzina sono quelle che regolamentano questo argomento), sia fra i vari processi primari o di supporto presenti in banca.
Lo stesso incidente cyber potrebbe comportare infatti sia una segnalazione a Banca d’Italia (in base a quanto prescritto dalla Circolare 285 e della PSD2), sia all’Autorità Garante per la protezione dei dati personali nel caso in cui l’incidente sia anche un data breach.
Tuttavia, i criteri con cui valutare un grave incidente di sicurezza informatica sono molto diversi da quelli che valutano la probabilità che l’incidente abbia impatti sui diritti e sulle libertà delle persone fisiche e quindi la banca si deve attrezzare per gestire due (o più di due nel caso in cui la banca debba anche rispettare altre normative particolari, come la NIS) diversi iter di valutazione e segnalazione per lo stesso evento.
A questo si aggiunge il fatto che un data breach potrebbe essere causato anche da un incidente di sicurezza non cyber (ad esempio la perdita di documenti), così come una segnalazione ai fine PSD2 potrebbe derivare da un incidente informatico non di sicurezza.
Il processo di gestione degli incidenti non può quindi prescindere da una visione d’insieme, che trascende la regolamentazione dei soli incidenti cyber.
L’escalation di un incidente (cyber o di qualunque altra natura) potrebbe portare a una situazione di crisi, innescando i processi che regolano la continuità operativa, anch’essa pesantemente normata (sono oltre una dozzina le normative che regolano questo argomento) a cui si deve reagire con quanto previsto dal piano di continuità operativa e dagli specifici piani settoriali.
Al riguardo le più recenti normative enfatizzano la necessità delle banche di far fronte a incidenti cyber che possano minarne la continuità operativa approntando specifici piani settoriali (è chiaro che un piano di disaster recovery solitamente non è in grado di far fronte, ad esempio, ad un attacco ransomware).