Der nationale Sicherheitsbereich für Cyber: Eine neue Herausforderung für General Counsel und Compliance-Beauftragte

(Di Fabrizio DeFeo)
03/03/21

In der schwierigen Zeit des Wiederaufbaus, die auf die durch die Pandemie verursachte große Wirtschaftskrise folgen wird, sind Informationen eines der wertvollsten Güter eines Landes, die ebenso verteidigt werden müssen wie nationale Grenzen im Falle eines Krieges. Darum geht es, wenn es darum geht Internet-Sicherheit, und seit einigen Monaten unternimmt unser Land große Fortschritte beim Schutz unseres „internen Sicherheitsprogramms“, das im Internet läuft.

Dies wurde am Freitag, dem 26. Februar, bei einem Webinar besprochen, das von Lexout organisiert wurde, einem Unternehmen, das juristische und professionelle Dienstleistungen in anbietet Outsourcingund The Skill, ein auf Rechtskommunikation spezialisiertes Kommunikationsunternehmen. Protagonisten Aigi, Italienischer Verband der Wirtschaftsanwälte, und Aitra, Italienischer Verband für Transparenz und Korruptionsbekämpfung.

Das Parterre der Gäste war groß und kompetent, der Rechtsanwalt Giuseppe Catalano – Präsident von Aigi (Firmensekräterin e Leiter Unternehmensangelegenheiten Assicurazioni Generali Spa), der Rechtsanwalt Giorgio Martellino (Präsident von Aitra – Leiter der Aigi-Zentrumssektion sowie General Counsel von Avio Spa) und Professor Francesco Bruno (Gründungspartner von B - Partnerschaft zwischen Rechtsanwälten und Mitglied derBeirat von Lexout).

Am runden Tisch, moderiert von Pietro Galizzi (Leiter Rechts- und Regulierungsangelegenheiten von Eni Gas und Luce Spa und Aktionär Aigi), in Anwesenheit des Anwalts Gianluca Cattani (Beirat Lexout), Professor Roberto Baldoni (stellvertretender Generaldirektor von Dis, verantwortlich für Cybersicherheit), Dr. Fabio Mulazzani (Geschäfts- und Kontinuitätsbeauftragter der Europäischen Behörde für Lebensmittelsicherheit), der Ingenieur Massimiliano Vegni (CEO von It systems Srl), der Rechtsanwalt Antonio Enrico Agovino (Mitglied der Geschäftsleitung von Aitra und Leiter Compliance von Inwit Spa). 

Professor Baldoni lieferte einen regulatorischen Rahmen, auch wenn die Regierung kürzlich zum Thema Sicherheit Stellung genommen hat, und erläuterte, dass seit Dezember eine landesweite Kampagne zur Aktualisierung der „IKT-Ressourcen“ im Gange sei: Im Wesentlichen gehe es um die Sicherheit Alle Netzwerke, die Informationen exklusiver Art unterstützen, die für das Land von entscheidender Bedeutung sind. Während einerseits das Gesetzesdekret 231/2001 über die Haftung von Unternehmen für Straftaten, die innerhalb des Unternehmens aufgrund mangelnder Aufsicht begangen werden, öffentliche und private Unternehmen dazu zwingt, sich auch im Hinblick auf mögliche IT-Angriffe an die Gesetze zu halten, ist es andererseits noch wichtiger Es war notwendig, mit vier Dpcm und einem Dpr auf die Besonderheiten der Cybersicherheit einzugehen, die zur Identifizierung derjenigen Netzwerke beitragen, die besonders gefährdet sind und geschützt werden müssen, weil sie sensible Informationen enthalten.

Im vergangenen Dezember erhielten viele Unternehmen, die mit verschiedenen Teilen des Staates interagieren, einen Brief, in dem sie aufgefordert wurden, innerhalb von sechs Monaten und dann bis Juni eine vollständige Karte der Netzwerke einzureichen, die potenziell sensible Informationen unterstützen. Die Sicherheitsabteilung wird dann sofort ein Sicherheitssystem einführen, das die Sperrung dieser Informationen garantiert: Die Welt vor uns ist komplex. Wenn wir uns darin zurechtfinden wollen, müssen wir komplexe Dinge tun. Der nationale Cyber-Sicherheitsperimeter wurde geschaffen, um die wesentlichen Funktionen des Landes zu sichern, die, wenn sie blockiert würden, zu Problemen der nationalen Sicherheit führen würden - erklärt - Zur Regulierung dieser Risikostudie gibt es 4 Dpcm und einen DPR, es ist die Arbeit von etwa 200 Personen, darunter Techniker und Regulierungsexperten. Zu allen Dekreten gibt es eine zwischenstaatliche Vereinbarung, dann kommen wir zu den Stellungnahmen der Kammern, des Rechnungshofs und des Staatsrates, und einige davon sind in Vorbereitung - Lass es laufen - Für die IT-Sicherheit sind Inspektionen von Sicherheitsmaßnahmen, Messung und Management hinsichtlich der Reaktion auf Vorfälle von entscheidender Bedeutung, und schließlich kommt das im Bau befindliche Nationale Zertifizierungsbewertungszentrum im Mise ins Spiel – Professor Baldoni erklärte – Dies ist eine Gelegenheit für uns, eine Kompetenzbasis aufzubauen, auf der geopolitische Gleichgewichte eine Rolle spielen.

Einige der Unternehmen, die von der Sicherheitsabteilung aufgefordert wurden, eine Reihe von Maßnahmen zum Schutz ihrer sensiblen Informationen zu ergreifen, sind Unternehmen, die in das Beschaffungssystem des Landes eintreten. Der erhaltene Brief könnte in vielerlei Hinsicht unklar sein, wird eine Klarstellung erwartet? Es gibt noch keine öffentliche Version des Dpr – Baldoni antwortet – Wir haben versucht, alle Probleme im Zusammenhang mit Ausschreibungen sowohl für private als auch für öffentliche Einrichtungen wie Consip zu berücksichtigen. Sollten wir jedoch in der Lage sein, einige Probleme zu bewältigen, versuchen wir, ein System aufzubauen, das funktioniert und dem Passsystem einen Mehrwert verleiht . Wir werden versuchen, die Probleme zu lösen, es wird unmittelbare Auswirkungen auch auf wirtschaftlicher Ebene geben.

Wie baut man von Worten zu Taten ein korrektes und effektives Cyber-Sicherheitssystem auf? Der erste Schritt zur Umsetzung eines Sicherheitsplans ist ein „ganzheitlicher“ Ansatz für konvergente Sicherheit – erklärt Fabio Mulazzani – Unternehmen müssen ihre Fähigkeiten und Kenntnisse im Bereich Cybersicherheit erweitern, die Methode muss als multidisziplinär verstanden werden und darf sich nicht nur auf technische Bereiche konzentrieren - der Experte fährt fort - Beim Thema konvergente Sicherheit müssen viele Sektoren berücksichtigt werden: In diesem nationalen Cybersicherheits-Perimeterrahmen, der sich auf einen europäischen Plan bezieht, muss jedes Unternehmen seinen Beitrag leisten, indem es seine Fähigkeiten erweitert. Eine unserer größten Schwierigkeiten besteht darin, die Kommunikation einfacher und effizienter zu gestalten: Wir müssen klar und präzise kommunizieren und die Fachsprache so weit wie möglich abschaffen. Unsere Organisation ist wie eine Burg, die verteidigt werden muss, und um die eigene Burg zu verteidigen, muss man über die Grundlagen nachdenken und Systeme umgestalten. Dabei sollte man sich nicht nur die Netzwerke anschauen, sondern den gesamten Businessplan – fügt Fabio Mulazzani noch einmal hinzu.

Es gibt viele Aspekte der Sicherheit, über die wir wenig wissen und die wir auf Unternehmen anwenden sollten – Gianluca Cattani unterstrich auch – Italien steht an der Spitze der Cybersicherheit, und vergessen wir nicht, dass auf dieser Ebene auch Ausschreibungen einen wichtigen Stellenwert haben, deren Sicherheitsgesetzgebung von der EU abgeleitet ist. Außerdem – fügt Cattani noch einmal hinzu – Unternehmen müssen sich bereits auf den Wandel vorbereiten: In sechs Monaten müssen IKT-Assets abgebildet werden, also Netzwerke oder IT-Dienste, die mit den wesentlichen Funktionen des Staates interagieren.

Doch welche Unternehmen müssen ihre Cybersicherheit von Grund auf organisieren? Cattani antwortet immer: Wir sprechen von Unternehmen, die dem Inneren, der Verteidigung, der Energie, der Telekommunikation und dem Finanzwesen dienen: Im Falle eines kybernetischen Angriffs trägt das ganze Land die Kosten und selbst ein einzelner Angriff kann sehr gefährlich sein. Denken wir an den Gesundheitssektor, die Versorgung und Verteilung von Trinkwasser oder Energie: Das sind lebenswichtige Dienste und heute läuft alles elektronisch... vielleicht wurde der Damm einst per Kurbel bewegt, jetzt funktioniert alles mit Computerzugriff.

Schließlich verlagerte sich der Fokus auf die Kosten, wie Ingenieur Massimo Vegni erklärte: Der nationale Cyber-Sicherheitsperimeter wird mit einiger Besorgnis wahrgenommen, weil er uns zu neuen Regeln führt. Der Grund dafür ist die Tatsache, dass es „Bösewichte“ gibt, die es auf unsere strategischen Infrastrukturen und unsere strategischen Unternehmen abgesehen haben, sowohl um Daten zu stehlen als auch um sie zu manipulieren. Die Zuordnung sensibler Netzwerke ist keine einfache Aufgabe und wir haben es oft mit Geräten zu tun, deren Sicherheitsbedingungen wir nicht kennen. Doch die Gefahr kybernetischer Umwälzungen birgt noch andere Aspekte: Die Angriffe gehen nicht nur von Privatpersonen aus, sondern auch von ausländischen Staaten, die die Möglichkeit haben, uns auszuspionieren, die aus dem Besitz sensibler Informationen einen Vorteil ziehen. Das Top-Management muss in diese Herausforderungen eingebunden werden, denn um sie zu bewältigen, müssen erhebliche Ressourcen eingesetzt werden, die verstehen müssen, dass diese Investition eine Chance zur Sicherung unserer Geschäfte darstellt, unterstrich Vegni noch einmal.

Vergessen wir nicht die strafrechtlichen und zivilprozessrechtlichen Aspekte, sowohl was die 231-Modelle als auch den Cybersicherheitsbereich betrifft, wie auch vom Anwalt Antonio Enrico Agovino erläutert: Mit der Schaffung dieses neuen Cyber-Sicherheitsbereichs gewinnen Computerkriminalität an Bedeutung, die – wie Insider gut bemerkt haben – seit jeher als die unterste Stufe der im Gesetzesdekret 231/2001 aufgeführten Straftaten angesehen wird, unter anderem vorbehaltlich schlechte Rechtsprechung.