Esordisce così il decreto legge 21 settembre 2019 n.105 (pubblicato in pari data nella G.U. n.222) con oggetto misure urgenti per la cybersecurity del Sistema Paese ed istituzione/definizione del “perimetro di sicurezza nazionale cibernetica“. 

“Considerata la straordinaria necessità ed urgenza, nell’attuale quadro normativo ed a fronte della realizzazione in corso di importanti e strategiche infrastrutture tecnologiche, anche in relazione a recenti attacchi alle reti di Paesi europei, di disporre, per le finalità di sicurezza nazionale, di un sistema di organi, procedure e misure, che consenta una efficace valutazione sotto il profilo tecnico della sicurezza degli apparati e dei prodotti, in linea con le più elevate ed aggiornate misure di sicurezza adottate a livello internazionale…”

E dato l’incipit, coerentemente all’articolo 1 viene prevista l’istituzione del perimetro di sicurezza nazionale ciberneticaAl fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale“.

Scenario in sintesi 

  • Soggetti pubblici e privati che faranno parte del perimetro cyber verranno identificati entro sei mesi dalla data di entrata in vigore della legge;
  • entro dodici mesi, invece, saranno definite le procedure secondo cui i soggetti individuati dovranno notificare gli incidenti informatici;
  • entro un anno, il Mise Agid (d’intesa con i ministeri della Difesa e dell’Interno), dovranno definire le misure relative a: politiche di sicurezza; gestione del rischio; prevenzione, mitigazione e gestione di incidenti; struttura organizzativa in materia di sicurezza; protezione fisica e logica; protezione dei dati; integrità delle reti e dei sistemi informativi; continuità operativa; gestione operativa; monitoraggio, test e controllo; formazione e consapevolezza; affidamento di forniture di beni, sistemi e servizi Ict, anche mediante definizione di caratteristiche e requisiti di carattere generale.

Il nuovo assetto di cybersecurity si basa su riferimenti normativi nazionali (tra cui la L. 124/2007, il DPCM 17 febbraio 2017, il Piano Nazionale per la Protezione Cibernetica e la Sicurezza Cibernetica, D. Lgs. 65/2018) ed europei (in particolare la Direttiva NIS e il Cyber Security Act).

Significative le differenze tra il “Perimetro di sicurezza nazionale” ed la “Direttiva  Nis”: il primo attiene tutti quei servizi e i relativi operatori essenziali ai fini della sicurezza  dello Stato; la seconda invece ha come scopo i servizi dei mercati, dei cittadini o della società in genere quelli cioè i cui malfunzionamenti potrebbero causare disagi o danni alla popolazione o al tessuto produttivo.

Ma ancora più importante è che all’istituzione del Perimetro il Governo dia immediato seguito mediante la pronta emanazione dei due Dpcm attuativi da esso previsti, i quali dovranno dare a tutti gli attori coinvolti indicazioni chiare ed eseguibili riguardo aspetti operativi cruciali.

Riguardo alle reti a banda larga in 5G, il decreto prevede all’art 3 per la messa in sicurezza delle reti, anche nel caso di contratti già approvati, modifiche o integrazioni di misure, previa valutazione degli elementi indicanti la presenza di fattori di vulnerabilità da parte dei centri di valutazione individuati dalla nuova normativa e, con riferimento alle autorizzazioni già rilasciate, la possibilità di integrare o modificare le misure prescrittive già previste alla luce dei nuovi standard.

Appare evidente l’attenzione e l’urgenza  del Governo su temi volti a garantire la sicurezza del Paese in relazione alle potenziali  minacce e vulnerabilità su scenari ancora aperti ed incerti.

© RIPRODUZIONE RISERVATA