E’ in fase di approvazione un decreto legge recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica. La messa in sicurezza della rete 5G e la protezione delle parti informatiche più sensibili e cruciali del Paese, tramite specifici obblighi e organi di controllo, sono i temi centrali del nuovo provvedimento, che dovrebbe approdare a breve in Gazzetta Ufficiale.
Si tratta di un decreto legge che riassume sia un precedente disegno di legge, che non è mai stato approvato in Parlamento, sia alcuni aspetti del decreto legge sulla Golden Power di luglio che è decaduto lo scorso 9 settembre.
La principale novità riguarda il ‘passaggio di poteri’ sul perimetro cibernetico dall’Agid (l’Agenzia per l’Italia Digitale) alla Presidenza del Consiglio: sarà quindi quest’ultima a occuparsi delle attività di ispezione e verifica del rispetto dell’adozione delle norme a tutela della sicurezza da parte dei soggetti pubblici. Al Ministero dello Sviluppo Economico resta la responsabilità per i soggetti privati.
Il nuovo provvedimento, “considerata la straordinaria necessità ed urgenza”, sarà un decreto legge, quindi esecutivo da subito (e dovrà poi essere convertito in legge ordinaria entro sessanta giorni).
Indice degli argomenti
I punti centrali del nuovo decreto
L’art.1 del decreto stabilisce in quattro mesi la deadline per individuare le amministrazioni pubbliche, gli enti e gli operatori pubblici e privati che entreranno a far parte del cosiddetto perimetro cibernetico, a tutela della sicurezza di reti e servizi definiti “strategici”.
Sempre in quattro mesi (precedentemente erano sei), l’organismo tecnico di supporto al CISR (il Comitato Interministeriale per la Sicurezza della Repubblica, composto dal presidente del Consiglio e dai ministri di Affari esteri, Interno, Difesa, Giustizia, Economia e finanze e Sviluppo economico, con il direttore generale del Dis al quale sono assegnate le funzioni di segretario del Comitato), con un rappresentante della Presidenza del Consiglio dei ministri (nel disegno di legge era l’Agid) dovranno stabilire i criteri in base ai quali i soggetti predisporranno e aggiorneranno “con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici sensibili di rispettiva pertinenza, comprensivo della relativa architettura e componentistica”, che verrà poi diffuso agli organismi di competenza.
Entro dieci mesi (12 nel vecchio ddl) dovranno essere definite le procedure secondo cui i soggetti che fanno capo al perimetro notifichino gli incidenti che hanno impatto su reti, sistemi e servizi.
Sempre entro dieci mesi è prevista la definizione delle misure volte a garantire gli elevati livelli di sicurezza previsti per i soggetti identificati, relative:
– Alle politiche di sicurezza, alla struttura organizzativa e alla gestione del rischio;
– Alla mitigazione e gestione degli incidenti e alla loro prevenzione, anche attraverso la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza;
– Alla protezione fisica e logica e dei dati;
– All’integrità delle reti e dei sistemi informativi;
– Alla gestione operativa, ivi compresa la continuità del servizio;
– Al monitoraggio, test e controllo;
– Alla formazione e consapevolezza;
– All’affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale.
Il mancato rispetto delle norme comporta pesanti sanzioni (fino a 1.800.000 euro), in alcuni casi è prevista anche la reclusione.
La protezione delle reti 5G
Al centro del decreto c’è anche la volontà di mettere in sicurezza le reti a banda larga in 5G.
L’art.3 stabilisce che anche nel caso di contratti già approvati, possono essere modificate o integrate le misure, “prescrivendo, ove necessario, la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza”.
Il CVCN, Centro di valutazione e certificazione nazionale, istituito presso il Ministero dello Sviluppo Economico, ha la facoltà entro 30 giorni di imporre condizioni e test di hardware e software.
Le differenze col precedente ddl
Il vecchio ddl e il nuovo decreto legge sono quasi sovrapponibili, tuttavia qualche novità di rilievo si annovera: la principale, come accennato in apertura, riguarda il passaggio delle competenze di verifica e controllo dall’Agid, alla Presidenza del Consiglio dei Ministri.
Mancano riferimenti espliciti al neo-costituito Dipartimento per la Trasformazione digitale, tuttavia è scritto chiaramente nel provvedimento che la Presidenza del Consiglio “potrà avvalersi dell’Agenzia per l’Italia digitale”.
Per quanto riguarda infine, le assunzioni l’unica novità riguarda le 10 previste per l’Agid, che passano alla Presidenza del Consiglio. Le risorse destinate al Mise restano 57, assumibili a tempo indeterminato.
Mele: “Siamo sulla buona strada”
“Il nuovo decreto è praticamente identico al ddl precedente, tuttavia dà un segnale molto forte in tema di sicurezza cibernetica. È importante che il Governo italiano continui su questa strada. Del resto è ormai noto a tutti quanto le minacce informatiche rappresentino uno degli elementi a cui guardare con maggior attenzione”, dice Stefano Mele, avvocato e Presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano.
“Entrando nel dettaglio della normativa – prosegue – è interessante il fatto che il settore della pubblica amministrazione ricada sotto la competenza della Presidenza del Consiglio dei Ministri, mentre prima era dell’Agid. È un’impostazione che mi trova d’accordo, perché risolve una criticità esistente nel provvedimento precedente. Altrettanto interessante è l’estensione, più volte annunciata, del potere del Golden Power, anche alle reti 5G”.
Sull’articolo 5 Mele ritiene che sia “degno di nota” poiché “in presenza di un rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e servizi, il presidente del Consiglio dei Ministri ha il potere di eliminare, ove indispensabile e per il tempo strettamente necessario, lo specifico fattore di rischio o di mitigarlo, secondo un criterio di proporzionalità, disattivando totalmente o parzialmente, uno o più apparati o prodotti impiegati nelle reti e nei sistemi”.
Il giudizio complessivo è quindi positivo: “Così come è stata predisposta la nuova normativa ha grande valore. Certo le aziende saranno chiamate a uno sforzo non indifferente per andare incontro alle richieste del legislatore, tuttavia sono richieste coerenti con quanto già disposto dalla direttiva europea e che gli operatori di servizi essenziali e fornitori di servizi digitali stanno già attuando. Uno sforzo importante per le aziende e le pubbliche amministrazioni, che però è coerente con il nostro presente e di fatto indispensabile. In definitiva non possiamo mollare la presa, queste sono misure che da sole non sono in grado di risolvere completamente il problema della sicurezza cibernetica. Tuttavia siamo sulla buona strada, un plauso va al nostro Governo per il lavoro che sta svolgendo da alcuni anni, per creare questo perimetro di sicurezza cibernetica. Rimane comunque una partenza, non certo un punto di arrivo”, conclude Mele.