Usiamo i cookie per migliorare la tua esperienza di fruizione

Cliccando su qualsiasi link in questa pagina fornisci il tuo consenso all'uso dei cookie

Italian Chinese (Simplified) English French German Japanese Spanish
Perimetro di sicurezza nazionale cibernetica - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

Perimetro di sicurezza nazionale cibernetica - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

AGOSTO 2019

Il 19 luglio u.s. il Consiglio dei Ministri ha approvato il disegno di legge sul “perimetro di sicurezza nazionale cibernetica”. L’obiettivo è la protezione delle amministrazioni pubbliche, degli enti e operatori nazionali, pubblici e privati dagli attacchi cyber. Il ddl, una volta convertito in legge, permetterà di rinnovare ed adeguare le procedure di sicurezza informatica per i soggetti pubblici e privati. Il nuovo assetto di sicurezza cibernetica fa riferimento a norme nazionali (tra cui la L. 124/2007, il DPCM 17 febbraio 2017, il Piano Nazionale per la Protezione Cibernetica e la Sicurezza Cibernetica, D. Lgs. 65/2018) ed europee (la Direttiva NIS e il Cyber Security Act). In particolare, la direttiva NIS, recepita in Italia dal DIS (Dipartimento delle informazioni per la sicurezza) ha come obiettivo la gestione di un livello di sicurezza più elevato delle informazioni, delle reti e dei sistemi collegati ai dispositivi elettronici. Il Cyber Security Act mira ad una sicurezza informatica più coesa e comunitaria per creare un quadro europeo ben definito sulla certificazione della sicurezza informatica di prodotti ICT e servizi digitali.
Il progetto di un“perimetro di sicurezza nazionale cibernetica” vuole favorire il conseguimento di una maggiore sicurezza cyber nazionale per favorire l’efficienza e lo sviluppo dell’industria nazionale1.
In questo perimetro potrebbe confluire anche il recente decreto sul Golden Power, che aggiorna la normativa in materia di poteri speciali in conseguenza dell’evoluzione tecnologica, con particolare riferimento alla tecnologia 5G e ai rischi per la sicurezza nazionale di un uso improprio dei dati. I soggetti pubblici e privati che faranno parte del perimetro cyber verranno identificati entro sei mesi dalla data di entrata in vigore della legge. Contemporaneamente, l’organismo tecnico di supporto al CISR (il Comitato Interministeriale per la Sicurezza della Repubblica, composto dal presidente del Consiglio e dai ministri di Affari esteri, Interno, Difesa, Giustizia, Economia e finanze e Sviluppo economico, con il direttore generale del DIS, al quale sono assegnate le funzioni di segretario del Comitato) e AGID - Agenzia per l'Italia digitale - definiranno i criteri in base ai quali i soggetti predisporranno e aggiorneranno con cadenza annuale l’elenco delle reti, dei sistemi informativi e dei servizi informatici sensibili di rispettiva pertinenza2. Entro dodici mesi, invece, saranno definite le procedure secondo cui i soggetti individuati dovranno notificare gli incidenti informatici allo CSIRT (Computer Security Incident Response Team) italiano. Ancora entro un anno, il MISE - Ministero dello Sviluppo Economico - e AGID, d’intesa con i ministeri della Difesa e dell’Interno e il DIS, sentito il ministero dell’Economia e delle Finanze, dovranno definire le relative misure operative e gestionali. Tra l’altro, alla Pubblica Amministrazione si chiederà lo studio di soluzioni per promuovere lo sviluppo, la tecnologia e la sicurezza. La valutazione della sicurezza di un sistema o prodotto fornisce una stima del livello di sicurezza secondo standard condivisi da tutti i soggetti coinvolti e garantisce che tale stima venga eseguita da una terza parte indipendente e imparziale rispetto ai soggetti stessi. Si tratta di un decisivo passo in avanti sul fronte della sicurezza cibernetica e della protezione dei dati, ma restano ancora – come sopra evidenziato – diverse azioni da completare prima che il perimetro di sicurezza possa considerarsi operativo, possibilmente senza eccessivi appesantimenti burocratici. In primo luogo, il disegno di legge dovrà essere concretamente emanato, superando le già adombrate modifiche in fase di approvazione. Ma anche i tempi di pubblicazione sono importanti, come sottolineato dal Prof. Giustozzi dell’AGID, date le scadenze relativamente serrate degli adempimenti previsti. In assenza di indicazioni chiare e tempestive, infatti, la messa in moto di una macchina così articolata e complessa potrebbe soffrire di indebiti inceppamenti e ritardi, vanificando lo sforzo complessivo.

Alberto Traballesi

(Newletter AIIC n. 08 (2019))