Concludendo il lavoro iniziato dal precedente Governo, il nuovo esecutivo ha varato un provvedimento che fornisce all’Italia un nuovo strumento per la gestione della cyber security nazionale. Ora il lavoro passa al Senato.
Il Consiglio dei ministri riunitosi il 19 settembre, su proposta del Presidente Giuseppe Conte, ha approvato un decreto-legge che introduce “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”.
Il provvedimento mira ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato oppure la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, e dal cui malfunzionamento, interruzione o utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale.
Tale scopo viene perseguito attraverso l’istituzione di un “perimetro di sicurezza nazionale cibernetica” e la previsione di misure idonee a garantire i necessari standard di sicurezza volti a minimizzare i rischi, consentendo, allo stesso tempo, la più estesa fruizione dei più avanzati strumenti offerti dalle tecnologie dell’informazione e della comunicazione.
Inoltre, il testo integra e adegua il quadro normativo in materia di esercizio dei poteri speciali da parte del Governo, con particolare riferimento a quanto previsto dal decreto-legge 15 marzo 2012, n. 21, in modo da coordinare l’attuazione del Regolamento (UE) 2019/452 sul controllo degli investimenti esteri e apprestare idonee misure di tutela di infrastrutture o tecnologie critiche ad oggi non ricadenti nel campo di applicazione del decreto-legge 15 marzo 2012, n. 21.
Le nuove norme, tra l’altro:
- definiscono le finalità del perimetro e le modalità di individuazione dei soggetti pubblici e privati che ne fanno parte, nonché delle rispettive reti, sistemi informativi e servizi informatici rilevanti per le finalità di sicurezza nazionale cibernetica;
- prevedono il coinvolgimento del Comitato Interministeriale per la Sicurezza della Repubblica (CISR) nella fase attuativa;
- istituiscono un meccanismo volto ad assicurare un procurement più sicuro per i soggetti inclusi nel “perimetro” che intendano procedere all’affidamento di forniture di beni e servizi di Information and Communication Technology (ICT) destinati a essere impiegati sulle reti, sui sistemi e per i servizi rilevanti;
- prevedono che l’esercizio dei poteri speciali in relazione alle reti, ai sistemi informativi e ai servizi strategici di comunicazione a banda larga basati sulla tecnologia 5G sia effettuato previa valutazione degli elementi indicanti la presenza di fattori di vulnerabilità da parte dei centri di valutazione individuati dalla nuova normativa e, con riferimento alle autorizzazioni già rilasciate ai sensi del decreto-legge 15 marzo 2012, n. 21, la possibilità di integrare o modificare le misure prescrittive già previste alla luce dei nuovi standard.
L’originario disegno di legge sul “Perimetro di sicurezza nazionale cibernetica” era stato licenziato dal CdM il 19 luglio scorso, nell’ambito di un processo che ha visto l’Italia dotarsi di nuovi strumenti per la gestione della cyber security nazionale. Sempre nel mese di luglio, infatti, le “Linee guida sulla gestione dei rischi e la prevenzione, mitigazione e notifica degli incidenti cibernetici”, elaborate in attuazione della direttiva europea NIS (Network and Information Security) del giugno 2018 grazie a un ampio lavoro coordinato dal Dipartimento delle Informazioni per la Sicurezza (DIS), sono state condivise con i 465 OSE (Operatori di Servizi Essenziali) individuati nel dicembre 2018. Ad essi, così come agli FSD (Fornitori di Servizi Digitali), la direttiva europea assegna precisi obblighi in materia di sicurezza e di notifica degli incidenti cyber al CSIRT (Computer Security Incident Response Team) di ciascun paese – quello italiano è istituito presso la Presidenza del Consiglio – e alle Autorità NIS, ovvero i ministeri competenti.