Anche se rallentato e forse anche passato in secondo piano per via dell’emergenza Covid-19, il lavoro per il consolidamento dell’architettura per la protezione dello spazio cibernetico nazionale va avanti senza soste. Cerchiamo dunque di capire a che punto sia l’attività e cosa rimane ancora da fare.
Il grande mosaico della cyber sicurezza italiana
Come noto il disegno generale dell’architettura risale al dicembre 2013 quando, sotto la spinta della Commissione Europea, l’Italia si dotò, come altri Stati membri, di un formale documento di “strategia cyber”. Fu l’allora governo Monti ad emanare la strategia nazionale declinandola mediante due documenti: uno strategico, il “Quadro strategico nazionale per la sicurezza dello spazio cibernetico”, tuttora vigente; ed uno operativo, il “Piano nazionale per la protezione cibernetica e la sicurezza informatica”, poi rivisto ed aggiornato nel 2017 dal Governo Gentiloni. Su quel fondamento è calata successivamente la Direttiva NIS, norma di portata europea recepita dall’Italia nel 2018 mediante il Decreto Legislativo n. 65, e più recentemente la norma tutta italiana che prevede la definizione del cosiddetto Perimetro di sicurezza nazionale cibernetica, istituito con il decreto-legge 21 settembre 2019, n. 105.
Tutte queste norme compongono quindi un unico grande mosaico che, una tessera alla volta, si sta finalmente completando. Non tutti gli adempimenti sono ancora ultimati, ma molto è già stato fatto e diverse attività sono ancora in corso.
Per quanto riguarda l’attuazione della Direttiva NIS tutto è oramai a regime. L’ultimo atto formale del processo si è compiuto lo scorso 6 maggio quando i due CERT governativi istituiti nel 2014, il CERT Nazionale operante presso il Ministero dello sviluppo economico ed il CERT della Pubblica Amministrazione operante presso l’Agenzia per l’Italia digitale, hanno trasferito le loro funzioni al neoistituito CSIRT Italia operante presso il Dipartimento delle Informazioni per la Sicurezza (DIS) della Presidenza del Consiglio. Lo CSIRT Italia è quindi oggi l’unico punto di contatto, per quanto riguarda la segnalazione e la risposta agli incidenti, sia per gli operatori soggetti alla NIS, sia per quelli che nel prossimo futuro saranno soggetti al Perimetro nazionale.
La revisione della direttiva NIS
Se questo atto ha completato l’iter di adozione della Direttiva NIS in Italia, il quadro stesso della direttiva non è comunque destinato a rimanere immutato per sempre: è infatti appena iniziata una consultazione pubblica a livello europeo, in attuazione di quanto previsto dall’articolo 23 della Direttiva stessa risalente ormai al 2016, mediante la quale la Commissione intende verificarne il funzionamento e l’applicazione nei singoli Stati membri in vista di una sua eventuale revisione, già programmata in origine per maggio 2021 e ora forse addirittura anticipata a fine 2020.
Lo scopo della revisione è duplice: da un lato intende valutare, in termini sia qualitativi che quantitativi, le eventuali iniziative da adottare per rafforzare ulteriormente la sicurezza informatica nell’Unione, analizzandone costi e benefici; mentre dall’altro vuole individuare le eventuali problematiche, nuove o già esistenti, che incidono o potrebbero incidere sul corretto funzionamento della direttiva, per poter proporre soluzioni correttive di natura tecnica o normativa. La consultazione rimarrà aperta sino al 2 ottobre e chiunque, anche un privato cittadino, può esprimere il suo punto di vista.
Il Perimetro di sicurezza cibernetica verso la fase operativa
È invece in corso di attuazione il cosiddetto Perimetro di sicurezza cibernetica, una normativa esclusivamente italiana che risulta di fatto complementare alla Direttiva NIS in quanto indirizza la sicurezza di quegli operatori o fornitori che erogano servizi essenziali per lo Stato. I passi operativi per la messa in esercizio del Perimetro sono scaglionati in due fasi che scadono, rispettivamente, entro sei mesi ed entro un anno dall’entrata in vigore della legge.
Nella prima fase devono essere definiti i criteri per l’identificazione dei servizi e deve essere stilato l’elenco degli operatori; devono inoltre essere definiti i criteri secondo i quali questi ultimi dovranno provvedere al censimento ed alla mappatura dei propri servizi, nonché delle infrastrutture sottostanti, e le modalità con cui gli elenchi così compilati dovranno essere comunicati alle autorità responsabili. Entro i successivi sei mesi dovranno invece essere definite le procedure mediante le quali i soggetti identificati interagiranno con lo CSIRT Italia per la notifica degli incidenti, nonché le misure di sicurezza cui gli stessi soggetti dovranno ottemperare per garantire livelli elevati di protezione alle proprie infrastrutture. Entrambe queste fasi, secondo quanto stabilito dal decreto legge istitutivo del Perimetro, devono essere regolate nei dettagli operativi da appositi DPCM di specifica emanazione.
In particolare, proprio in questi giorni è in corso di discussione davanti le Commissioni riunite Affari costituzionali e Trasporti, Poste e Telecomunicazioni della Camera lo schema del primo dei Decreti attuativi previsti dalla norma, che identifica le Autorità di riferimento, stabilisce i criteri con cui queste dovranno procedere ad individuare gli operatori interessati, indica le modalità attuative della prima fase, ed assegna ruoli e responsabilità agli attori coinvolti. Se i tempi saranno rispettati l’iter parlamentare del DPCM dovrebbe concludersi prima della pausa estiva.
Una volta dunque che questo DPCM sarà definitivamente approvato si avvierà la prima vera e propria fase operativa di attuazione del Perimetro la quale prevede, sulla falsariga di quanto già avvenuto con la Direttiva NIS, che le Autorità dapprima individuino i soggetti da includere nel Perimetro stesso, e quindi emanino le misure e le prescrizioni che essi dovranno rispettare. Come già per la NIS, ed a maggior ragione trattandosi in questo caso di sicurezza nazionale, l’elenco dei soggetti individuati e tutti i dettagli operativi saranno sottoposti a segreto.
Cosa resta da fare per la governance della cyber
Cosa rimane ancora da fare? Durante lo svolgimento la prima fase, il Governo di concerto con le Autorità di riferimento dovranno provvedere ad emanare il secondo DPCM attuativo, il quale stabilirà le rimanenti modalità operative a carico dei soggetti identificati nella prima fase. I tempi però sono oramai stretti, e se si vuole fare in modo che tutto l’impianto possa andare a regime, come previsto, entro la fine di quest’anno, occorrerà davvero forzare le tappe.
Raggiunta l’operatività a regime del Perimetro, il quadro della sicurezza cibernetica nazionale si potrà finalmente considerare completato sotto la governance centralizzata del DIS che ne diverrà l’unica cabina di regia.