Perimetro nazionale di sicurezza cibernetica

Perimetro di sicurezza nazionale cibernetica: approvato il disegno di legge

Nuovi obblighi di notifica e misure di gestione del rischio per le funzioni e i servizi essenziali: ecco il piano che rafforza le difese cyber dell’Italia.

 

Il disegno di legge sul «perimetro di sicurezza nazionale cibernetica» approvato il 19 luglio dal Consiglio dei Ministri dà il via a un piano di massima protezione dagli attacchi cyber contro amministrazioni pubbliche, enti e operatori nazionali, pubblici e privati. Questo «perimetro» definirà le entità che svolgono «funzioni e servizi essenziali» e quelle fondamentali per la sicurezza nazionale che rientreranno nella barriera di protezione e avranno obblighi stringenti. Il ddl passerà presto all'esame delle camere e, una volta convertito in legge, metterà in moto un processo di rinnovo delle procedure di sicurezza informatica per i grandi soggetti pubblici e privati.

I rischi informatici sono ormai tra le minacce che si presentano più frequentemente e gli effetti di un attacco hacker, di un incidente o della distrazione di un utente può avere effetti devastanti. Un servizio essenziale a livello nazionale non può essere messo così facilmente a repentaglio da controlli insufficienti, omissioni, superficialità e scarse difese. E’ importante che tutta la supply chain di simili attività sia verificato e protetto e che tutte le reti informative e informatiche siano note a chi deve vigilare.

Un nuovo Perimetro per rafforzare le cyber difese dell’Italia

Il nuovo assetto di cyber security si basa su riferimenti normativi nazionali (tra cui la L. 124/2007, il DPCM 17 febbraio 2017, il Piano Nazionale per la Protezione Cibernetica e la Sicurezza Cibernetica, D. Lgs. 65/2018) ed europei (in particolare la Direttiva NIS e il Cyber Security Act).

Tutto il progetto è finalizzato a una maggiore sicurezza cyber in Italia e a valorizzare l’industria nazionale. Nella legge sul perimetro di sicurezza nazionale potrebbe convergere anche il recente Decreto sul Golden Power, che aggiorna la normativa in materia di poteri speciali conseguentemente all’evoluzione tecnologica, con particolare riferimento alla tecnologia 5G e ai rischi di un uso improprio dei dati per la sicurezza nazionale.

Sicurezza cibernetica: cosa cambia?

Le strutture critiche

Prima di tutto, la legge individuerà gli operatori pubblici e privati da cui dipende l’esercizio di una funzione essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e il cui malfunzionamento, interruzione anche parziali o utilizzo improprio può mettere in pericolo la sicurezza nazionale. Definisce poi che la prestazione di tale servizio dipenda da sistemi informativi e servizi informatici, perimetrando le analisi e i controlli alle infrastrutture informatizzate.

Tempi e procedure

I soggetti pubblici e privati che faranno parte del perimetro cyber verranno identificati entro sei mesi dalla data di entrata in vigore della legge.

Negli stessi sei mesi, l’organismo tecnico di supporto al Cisr (il Comitato Interministeriale per la Sicurezza della Repubblica, composto dal presidente del Consiglio e dai ministri di Affari esteri, Interno, Difesa, Giustizia, Economia e finanze e Sviluppo economico, con il direttore generale del Dis - Dipartimento delle informazioni per la sicurezza - al quale sono assegnate le funzioni di segretario del Comitato) e Agid - Agenzia per l'Italia digitale - definiranno i criteri in base ai quali i soggetti predisporranno e aggiorneranno con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici sensibili di rispettiva pertinenza, comprensivo della relativa architettura e componentistica.

Entro dodici mesi, invece, saranno definite le procedure secondo cui i soggetti individuati dovranno notificare gli incidenti informatici (in modo semplificato se già sottoposti alla Direttiva europea Nis) allo Csirt italiano.

Ancora entro un anno, il Mise - Ministero dello Sviluppo Economico - e Agid, d’intesa con i ministeri della Difesa e dell’Interno e il Dis, secondo gli ambiti di competenza delineati dalla legge e sentito il ministero dell’Economia e delle Finanze, dovranno definire le misure relative a: politiche di sicurezza; gestione del rischio; prevenzione, mitigazione e gestione di incidenti; struttura organizzativa in materia di sicurezza; protezione fisica e logica; protezione dei dati; integrità delle reti e dei sistemi informativi; continuità operativa; gestione operativa; monitoraggio, test e controllo; formazione e consapevolezza; affidamento di forniture di beni, sistemi e servizi Ict, anche mediante definizione di caratteristiche e requisiti di carattere generale. Tutti i passaggi si concretizzeranno poi con decreti applicativi proposti dal Cisr.

Il Centro di valutazione e certificazione nazionale

Il CVCN, Centro di valutazione e certificazione nazionale, istituito presso il Mise – Ministero dello Sviluppo Economico, avrà un ruolo di controllo centrale.

I soggetti che rientreranno nel perimetro di sicurezza cibernetica e intenderanno procedere all’affidamento di forniture di beni, sistemi e servizi Ict da impiegare nei servizi informatici essenziali dovranno comunicarlo al Centro. Quest’ultimo contribuirà all’elaborazione delle relative misure di sicurezza, “sulla base di una valutazione del rischio, anche in relazione all’ambito di impiego e in un’ottica di gradualità” e potrà, entro 30 giorni, imporre condizioni e test di hardware e software; in tale ipotesi, i relativi bandi di gara o contratti vengono integrati di clausole che subordinano l’affidamento della fornitura o del servizio al rispetto delle condizioni e all’esito favorevole dei test disposti dal CVCN.

Il CVCN inoltre elaborerà e adotterà schemi di certificazione cibernetica indipendenti e imparziali per la diffusione della fiducia negli strumenti ICT.

Misure di sicurezza

Come già il Regolamento Europeo per la Protezione dei Dati Personali (GDPR) stabilisce, nel disegno di legge si ribadisce l’obbligo di notifica degli incidenti informatici. Il Csirt italiano dovrà inoltrare tempestivamente le notifiche al Dis, che assicurerà la trasmissione delle notifiche all’Organo del ministero dell’Interno per la sicurezza e la regolarità dei servizi di telecomunicazione (ovvero la Polizia Postale) e all’Agid se provenienti da un soggetto pubblico, sia al Mise se effettuate da un privato.

Il Mise si occuperà dei soggetti privati anche per quanto riguarda le ispezioni e verifiche, mentre l’Agid degli enti pubblici, tutti comunque soggetti al monitoraggio del CVCN.

Per quanto riguarda il procurement digitale, il Ministero della Difesa agirà con un proprio centro di valutazione dei soggetti individuati come fornitori di beni, sistemi e servizi Ict da impiegare su reti, sistemi informativi e servizi informatici del ministero.

Sanzioni

Il testo finora elaborato prevede almeno otto fattispecie di inadempienze e relative sanzioni amministrative pecuniarie, dai 200 mila euro fino a 1 milione e 200 mila euro.

In caso di omesse o false comunicazioni nell’ambito di controlli e accertamenti, è persino stabilita la reclusione da uno fino a cinque anni.

Il piano nazionale di sicurezza prevede, oltre al Mise e all’Agid, il Cnaipic - Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche - del Ministero dell’Interno, presso la Polizia Postale.

Le conseguenze dell’approvazione del decreto per PA e aziende

L’approvazione del decreto potrebbe rappresentare il primo vero momento di pratica e diffusione dei principi di security by design e by default già imposti dal GDPR.

Questa legge avrà numerose conseguenze. Alla Pubblica Amministrazione, in particolare, si chiederà un significativo sforzo nello studio di soluzioni per promuovere lo sviluppo, la tecnologia e la sicurezza.

Le infrastrutture critiche italiane sono attive da anni sul tema della sicurezza: l’approvazione di questo provvedimento consentirà l’allineamento alle best practice anche delle aziende non critiche o medio-piccole.

Le nuove procedure avranno impatti nelle tempistiche e nei costi degli approvvigionamenti.

Un altro tema importante è quello della certificazione di prodotto. Fino ad oggi, la certificazione è stata vista come un vantaggio, tuttavia costoso e lungo da realizzare. Inoltre essa ha una valenza, soprattutto nel caso dei prodotti e sistemi, limitata alle minacce note e alle configurazioni di test.

Il piano di sicurezza cibernetico e il CVNC può portare ad un migliore controllo di prodotti, processi e sistemi, affidato a organismi di parte terza riconosciuti. La valutazione della sicurezza di un sistema o prodotto secondo le regole di uno schema nazionale di certificazione fornisce una stima del livello di sicurezza secondo standard condivisi da tutti i soggetti coinvolti e garantisce che tale stima venga eseguita da una terza parte indipendente e imparziale rispetto ai soggetti stessi.

Un elevato livello di sicurezza ICT delle infrastrutture pubbliche e private è considerato un fattore essenziale per lo sviluppo economico e sociale di un Paese economicamente e socialmente avanzato. Per questo, anche la fiducia negli strumenti utilizzati per la realizzazione dei servizi e l’effettiva valenza di una certificazione di sicurezza è fondamentale.

COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI