Poche ore fa il Presidente degli Stati Uniti ha firmato il tanto atteso Executive Order sulla cybersecurity delle infrastrutture critiche.
Oltre alla definizione di infrastruttura critica (“Critical infrastructure means systems and assets, whether physical or virtual, so vital to the United States that the incapacity or destruction of such systems and assets would have a debilitating impact on security, national economic security, national public health or safety, or any combination of those matters“) da una veloce lettura si evince che:

– Si dà l’avvio alla definizione di un “Cybersecurity Framework” per ridurre i rischi cyber. Tale framework, infatti, includerà un set di “standards, methodologies, procedures, and processes that align policy, business, and technological approaches to address cyber risks” e coinvolgerà settore privato e governo. Il ruolo guida, in tale processo, sarà svolto dal National Institute of Standards and Technology;

– Entro 150 giorni il governo identificherà le infrastrutture critiche a più alto rischio (“risk-based approach“) e cioè quelle infrastrutture in relazione alle quali “cybersecurity incident could reasonably result in catastrophic regional or national effects on public health or safety, economic security, or national security“;

– Anche a tal fine verrà attivato un processo consultivo che vedrà il coinvolgimento sia dei soggetti privati (industria, ricerca, ecc.) che dei vari livelli di governo (federale, statale e locale);

– Infine, il governo americano lavorerà per incrementare l’information sharing sui rischi informatici (“It is the policy of the United States Government to increase the volume, timeliness, and quality of cyber threat information shared with U.S. private sector entities so that these entities may better protect and defend themselves against cyber threats“) coinvolgendo tutte le principali agenzie, anche quelle di Intelligence, ed il settore privato.

 

Executive Order on Improving Critical Infrastructure Cybersecurity