cyber security

Perimetro di sicurezza nazionale cibernetica, ecco la strategia dell’Italia: i punti chiave

La legge sul perimetro di sicurezza cibernetica, che ha avuto l’ok definitivo alla Camera il 13 novembre, è frutto di nuove riflessioni sull’evoluzione della minaccia cyber, del contesto tecnologico e del panorama normativo nazionale e internazionale. Tra i temi centrali vi è quello del 5G; ma non solo

21 Nov 2019
Alessandro Bruttini

Associazione Italiana esperti in Infrastrutture Critiche

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Andrea Lucariello

Security Analyst and Privacy Consultant

cyber security

La legge che introduce il perimetro di sicurezza nazionale cibernetica – approvata in via definitiva alla Camera il 13 novembre 2019 – dimostra l’attenzione rivolta al tema, gli sforzi che il nuovo Governo – in linea con quello precedente – intende perseguire e la volontà di ridurre i tempi di emanazione della normativa secondaria.

Lo schema, composto da sei articoli, conferma alcuni elementi già previsti dal disegno di legge introducendo ulteriori aspetti di interesse. Tra gli aspetti fondamentali del nuovo documento si possono elencare i seguenti:

  • Attori del perimetro: ruoli e responsabilità
  • Attività di certificazione del CVCN
  • 5G e Golden Power

Attori del perimetro: ruoli e responsabilità

Il perimetro di sicurezza cibernetica nazionale sarà composto da diversi attori, pubblici e privati. Essi vengono individuati sulla base di due specifici criteri:

INFOGRAFICA
I Trend 2022 per l’UC&C: come rendere smart la comunicazione aziendale
Networking
Telco
  • Il soggetto, avente una sede nel territorio nazionale, esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;
  • L’esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici e al cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

Tali soggetti devono essere identificati entro quattro mesi dall’entrata in vigore della legge di conversione del decreto: ciò determina una sensibile riduzione rispetto ai sei mesi prestabiliti nel ddl precedente. L’individuazione dei soggetti avviene tramite un criterio di gradualità che tenga conto dell’entità del pregiudizio per la sicurezza nazionale, in relazione alle specificità dei diversi settori di attività che “può derivare dal malfunzionamento, dall’interruzione, anche parziali, ovvero dall’utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti”

Inoltre, nello stesso lasso temporale l’organismo tecnico di supporto al CISR, collaborando con un rappresentante della Presidenza del Consiglio dei ministri (nel disegno di legge era l’AgID), stabilirà i criteri in base ai quali i soggetti predisporranno e aggiorneranno un elenco delle reti, dei sistemi informativi e dei servizi informatici.

Una ulteriore restrizione dei tempi si nota, rispetto a quanto previsto nel disegno di legge precedente, nella definizione delle procedure di notifica degli incidenti che hanno impatto su reti, sistemi e servizi informatici: si è passati infatti da 12 mesi a 10.

Infine, è opportuno sottolineare che la principale novità del nuovo decreto a livello di responsabilità tra gli attori identificati consiste nel passaggio di consegna delle competenze di verifica e controllo, rispetto ai requisiti previsti dalle norme, da AgID alla Presidenza del Consiglio dei Ministri. Quest’ultima ricoprirà un ruolo di primo piano nella designazione di un uniforme livello di sicurezza nazionale e potrà, a sua discrezione, “avvalersi dell’Agenzia per l’Italia digitale”. Per quanto riguarda i soggetti privati, invece, la responsabilità rimane in seno al Ministero dello Sviluppo Economico.

Attività del CVCN

Viene confermato un ruolo di primo ordine del Centro di Valutazione e Certificazione Nazionale (CVCN) nell’assicurazione delle garanzie di sicurezza e dell’assenza di vulnerabilità di prodotti, hardware e software, destinati a essere impiegati sulle reti, sui sistemi informativi e servizi informatici degli attori del perimento di sicurezza cibernetica. In tal senso, viene rafforzata l’attenzione nelle fasi di procurement ICT prevedendo anche l’integrazione nei bandi di gara e nelle procedure concorsuali di clausole in grado di sospendere o risolvere l’affidamento del contratto a uno specifico soggetto a seguito dei test del CVCN. Nello svolgimento delle attività di verifica di sicurezza, il CVCN si avvale del supporto dei laboratori accreditati.

Inoltre, gli attori che sono inclusi nel Perimetro e le centrali di committenza che intendano procedere a una fornitura di beni, sistemi e servizi ICT devono dare comunicazione al CVCN specificando quale è la valutazione del rischio associata all’oggetto del fornitura e all’ambito di impiego. Il CVCN quindi entro quarantacinque giorni, prorogabili di quindici giorni, può effettuare “verifiche preliminari ed eventualmente imporre condizioni e test di hardware e software secondo un approccio gradualmente crescente nelle verifiche di sicurezza”.

Viene altresì stabilito che “non sono oggetto di comunicazione gli affidamenti delle forniture di beni, sistemi e servizi ICT destinate alle reti, ai sistemi informativi e ai servizi informatici per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati e i casi di deroga stabiliti dal medesimo regolamento con riguardo alle forniture di beni, sistemi e servizi ICT per le quali sia indispensabile procedere in sede estera”.

Le modifiche del Senato hanno interessato un ulteriore elemento. Per quanto riguarda i beni, sistemi e servizi ICT da impiegare su reti, sistemi informativi e servizi informatici del Ministero dell’interno e del Ministero della Difesa, tali Ministeri possono procedere alla comunicazione presso i propri Centri di valutazione accreditati (CEVA) impiegando le metodologie di verifica e di test definite dal CVCN.

Inoltre, verranno definiti le modalità e i termini delle comunicazione tra il CVCN e i laboratori accreditati nonché con i CEVA del Ministro dell’Interno e del Ministero della Difesa allo scopo di coordinare le attività e “perseguire la convergenza e la non duplicazione delle valutazioni in presenza di medesimi condizioni e livelli di rischio”.

Infine, il Centro di Valutazione e Certificazione Nazionale elabora e adotta schemi di certificazione cibernetica qualora quelli attualmente in forze non risultino adeguati ai fini di tutela del perimetro di sicurezza. A tal proposito, è utile sottolineare che il tema della certificazione di prodotto in ambito di cyber security sta assumendo un ruolo sempre più centrale, anche a livello europeo: si pensi ad esempio alle disposizioni previste dal Cybersecurity Act e al ruolo che ENISA svolgerà in tal senso.

Ad ulteriore conferma della rilevanza assegnata al CVCN, lo schema sancisce l’assegnazione di 3,2 milioni nel 2019, 2,8 milioni all’anno dal 2020 al 2023 e 750mila euro dal 2024 al CVCN.

5G e Golden Power

Il decreto pone particolare attenzione anche al tema del 5G e ai rischi ad esso associati. Infatti, tale tematica viene trattata, all’art. 3, in riferimento al Golden Power ampliando l’esercizio dei poteri speciali, assicurati attraverso la normativa in vigore (Decreto-legge 15 marzo 2012, n. 21), effettuando stringenti verifiche sulle eventuali vulnerabilità presenti sulle reti e i sistemi basati sulla tecnologia 5G. Tale verifica, svolta dal CVCN, può comportare “la sostituzione di apparati o prodotti ove indispensabile al fine di risolvere le vulnerabilità accertate”

Inoltre, all’art. 4-bis vengono introdotte importanti novità, tra cui le principali sono:

  • Gli elementi che il Governo deve considerare nella valutazione dell’acquirente (es. se è direttamente o indirettamente controllato dall’amministrazione pubblica; se è già stato coinvolto in attività che incidono sulla sicurezza o sull’ordine pubblico in uno Stato membro dell’Unione Europea; se vie è un grave rischio che l’acquirente intraprenda attività illegali o criminali)
  • Modalità e tempistiche associate alle informative da inviare al Governo affinché possa effettuare le valutazioni di competenza e eventualmente apporre il veto: entro dieci giorni dalla conclusione di un contratto o accordo, l’impresa che ha acquisito notifica alla Presidenza del Consiglio dei ministri un’informativa completa. In caso fossero necessarie verifiche tecniche in relazione a possibili fattori di vulnerabilità, il Presidente del Consiglio può prorogare di venti giorni il termine stabilito (trenta giorni) per l’esercizio del potere di veto o l’imposizione di specifiche prescrizioni.

Conclusioni

L’obiettivo della nuova legge è quello di definire il perimetro di sicurezza cibernetica nazionale e garantire per lo stesso un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di Pubbliche Amministrazioni, enti ed operatori privati nazionali esecutivi nel campo dei servizi essenziali.

Esso rappresenta il frutto di nuove riflessioni con carattere di urgenza in relazione all’evoluzione della minaccia cyber, del contesto tecnologico e del panorama normativo nazionale e internazionale – in particolare rispetto alla Direttiva NIS.

Tra i temi centrali oggetto di attenzione, vi è sicuramente quello del 5G, il cui sviluppo in un ambiente sicuro, esente da vulnerabilità e che tenga conto anche dello scenario geopolitico internazionale, si pone come elemento per garantire la sicurezza di tutto il Sistema-Paese.

Infine, è interessante sottolineare come venga riconosciuta al Presidente del Consiglio dei Ministri la facoltà di disattivare, “totalmente o parzialmente, uno o più apparati o prodotti impiegati nelle reti e nei sistemi o per l’espletamento dei servizi interessati” qualora vi sia un “rischio grave e imminente per la sicurezza nazionale”.

WHITEPAPER
EFFICIENZA produttiva: come calcolarla, come MASSIMIZZARLA?
Acquisti/Procurement
Automotive
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati