A seguito dei diversi interventi legislativi in ambito europeo, quali la Direttiva EU 2016/1148 c.d. Direttiva NIS e il Cybersecurity Act, Reg. EU 2019/881, cresce sempre di piรน lโattenzione per la #Cybersecurity nel contesto nazionale: รจ stato infatti approvato il decreto legge in materia di perimetro di sicurezza cibernetica dall’Aula della Camera, con i voti della sola maggioranza e l’astensione delle opposizioni.
L’obiettivo del decreto รจ assicurare la sicurezza di reti, sistemi informativi e servizi informatici necessari allo svolgimento di funzioni o alla prestazione di servizi, dalla cui discontinuitร possa derivare un pregiudizio alla sicurezza nazionale. Spetterร a un decreto del presidente del Consiglio, da adottare previo parere delle competenti Commissioni parlamentari, l’individuazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica.
Entro 10 mesi dall’entrata in vigore della legge di conversione, un DPCM dovrร determinare le procedure di notifica degli incidenti prodottisi su reti, sistemi informativi e sistemi informatici inclusi nel perimetro di sicurezza nazionale cibernetica e le misure di sicurezza.
Entro 10 mesi dallโentrata in vigore della legge di conversione dovrร anche essere emanato un regolamento – con decreto del Presidente del Consiglio dei ministri – per definire le procedure, le modalitร e i termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT, destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici individuati nell’elenco trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico.
Il decreto individua alcuni compiti per il Centro di valutazione e certificazione nazionale (CVCN), con riferimento all’approvvigionamento di prodotti, processi, servizi di tecnologie dell’informazione e della comunicazione (ICT) e infrastrutture associate.
Vengono anche fissati alcuni obblighi per gli operatori dei servizi essenziali, i fornitori di servizi Digitali, le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, tutti soggetti inclusi nel perimetro di sicurezza nazionale cibernetica.
Il decreto interviene anche sulle procedure di segnalazione degli incidenti su reti, sistemi informativi e sistemi informatici rientranti nel perimetro di sicurezza nazionale cibernetica: i soggetti individuati (amministrazioni pubbliche, nonchรจ enti oppure operatori nazionali, pubblici e privati) devono notificare l’incidente al Gruppo di intervento per la sicurezza informatica in caso di incidente (Csirt) italiano. Il Csirt procede poi a inoltrare tempestivamente tali notifiche al Dipartimento delle informazioni della sicurezza (Dis).
Alcune disposizioni sono dettate per assicurare il raccordo tra il decreto-legge e la normativa in materia di esercizio dei poteri speciali governativi sui servizi di comunicazione a banda larga basati sulla tecnologia 5G.
ร inoltre esteso l’ambito operativo delle norme in tema di poteri speciali esercitabili dal Governo nei settori ad alta intensitร tecnologica (cd. golden power). In particolare: viene ampliato il perimetro dei beni che possono essere inclusi nell’ambito di applicazione di tale disciplina, in caso di pericolo per la sicurezza e l’ordine pubblico, attraverso il rinvio alle norme europee; per verificare la presenza del pericolo, viene ricompreso il possibile pregiudizio alla sicurezza e al funzionamento delle reti e degli impianti e alla continuitร degli approvvigionamenti; infine sono entrate in vigore norme secondarie che individuano puntualmente i settori rilevanti e sono notificati al Governo gli acquisti, da parte di soggetti esterni all’Ue, di partecipazioni in societร che detengono specifici beni e rapporti, fra cui le infrastrutture e le tecnologie critiche legate alla gestione dei dati e alla Cybersicurezza, nonchรจ le infrastrutture finanziarie.
Il decreto introduce inoltre la necessitร di una funzione specifica destinata alla gestione della sicurezza, compiendo cosรฌ un grande passo avanti per il riconoscimento della figura del Security Manager allโinterno del contesto nazionale.
In tale ottica dunque il Security Manager dovrร sempre di piรน operare oltre i classici confini della sicurezza aziendale per rispondere alle nuove esigenze di security poste dal perimetro di sicurezza cibernetico in cui operano le infrastrutture critiche.
La formazione e la competenza su questi aspetti diventeranno quindi un fattore preponderante e vincente per figure professionali sempre piรน competenti in un contesto cyber.
Dott.ssa Federica Calรฌ
Dott. Stefano Gorla
