A seguito dei diversi interventi legislativi in ambito europeo, quali la Direttiva EU 2016/1148 c.d. Direttiva NIS e il Cybersecurity Act, Reg. EU 2019/881, cresce sempre di più l’attenzione per la #Cybersecurity nel contesto nazionale: è stato infatti approvato il decreto legge in materia di perimetro di sicurezza cibernetica dall’Aula della Camera, con i voti della sola maggioranza e l’astensione delle opposizioni.
L’obiettivo del decreto è assicurare la sicurezza di reti, sistemi informativi e servizi informatici necessari allo svolgimento di funzioni o alla prestazione di servizi, dalla cui discontinuità possa derivare un pregiudizio alla sicurezza nazionale. Spetterà a un decreto del presidente del Consiglio, da adottare previo parere delle competenti Commissioni parlamentari, l’individuazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica.
Entro 10 mesi dall’entrata in vigore della legge di conversione, un DPCM dovrà determinare le procedure di notifica degli incidenti prodottisi su reti, sistemi informativi e sistemi informatici inclusi nel perimetro di sicurezza nazionale cibernetica e le misure di sicurezza.
Entro 10 mesi dall’entrata in vigore della legge di conversione dovrà anche essere emanato un regolamento – con decreto del Presidente del Consiglio dei ministri – per definire le procedure, le modalità e i termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT, destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici individuati nell’elenco trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico.
Il decreto individua alcuni compiti per il Centro di valutazione e certificazione nazionale (CVCN), con riferimento all’approvvigionamento di prodotti, processi, servizi di tecnologie dell’informazione e della comunicazione (ICT) e infrastrutture associate.
Vengono anche fissati alcuni obblighi per gli operatori dei servizi essenziali, i fornitori di servizi Digitali, le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, tutti soggetti inclusi nel perimetro di sicurezza nazionale cibernetica.
Il decreto interviene anche sulle procedure di segnalazione degli incidenti su reti, sistemi informativi e sistemi informatici rientranti nel perimetro di sicurezza nazionale cibernetica: i soggetti individuati (amministrazioni pubbliche, nonchè enti oppure operatori nazionali, pubblici e privati) devono notificare l’incidente al Gruppo di intervento per la sicurezza informatica in caso di incidente (Csirt) italiano. Il Csirt procede poi a inoltrare tempestivamente tali notifiche al Dipartimento delle informazioni della sicurezza (Dis).
Alcune disposizioni sono dettate per assicurare il raccordo tra il decreto-legge e la normativa in materia di esercizio dei poteri speciali governativi sui servizi di comunicazione a banda larga basati sulla tecnologia 5G.
È inoltre esteso l’ambito operativo delle norme in tema di poteri speciali esercitabili dal Governo nei settori ad alta intensità tecnologica (cd. golden power). In particolare: viene ampliato il perimetro dei beni che possono essere inclusi nell’ambito di applicazione di tale disciplina, in caso di pericolo per la sicurezza e l’ordine pubblico, attraverso il rinvio alle norme europee; per verificare la presenza del pericolo, viene ricompreso il possibile pregiudizio alla sicurezza e al funzionamento delle reti e degli impianti e alla continuità degli approvvigionamenti; infine sono entrate in vigore norme secondarie che individuano puntualmente i settori rilevanti e sono notificati al Governo gli acquisti, da parte di soggetti esterni all’Ue, di partecipazioni in società che detengono specifici beni e rapporti, fra cui le infrastrutture e le tecnologie critiche legate alla gestione dei dati e alla Cybersicurezza, nonchè le infrastrutture finanziarie.
Il decreto introduce inoltre la necessità di una funzione specifica destinata alla gestione della sicurezza, compiendo così un grande passo avanti per il riconoscimento della figura del Security Manager all’interno del contesto nazionale.
In tale ottica dunque il Security Manager dovrà sempre di più operare oltre i classici confini della sicurezza aziendale per rispondere alle nuove esigenze di security poste dal perimetro di sicurezza cibernetico in cui operano le infrastrutture critiche.
La formazione e la competenza su questi aspetti diventeranno quindi un fattore preponderante e vincente per figure professionali sempre più competenti in un contesto cyber.
Dott.ssa Federica Calì
Dott. Stefano Gorla
