le azioni

Perimetro di sicurezza nazionale cibernetica, che dovranno fare le aziende coinvolte

Chi sono i soggetti compresi nel Perimetro di sicurezza nazionale cibernetica e i fornitori di prodotti e servizi e quali azioni dovranno mettere in atto per rispondere ai requisiti della normativa. Tutto quello che c’è da sapere

05 Dic 2019
Alessandro Bruttini

Associazione Italiana esperti in Infrastrutture Critiche

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Andrea Lucariello

Security Analyst and Privacy Consultant

cyber security

.I soggetti compresi nel Perimetro di sicurezza nazionale cibernetica, appena diventato legge, e i fornitori di prodotti e servizi dovranno mettere in atto una serie di azioni volte a rispondere ai requisiti della normativa.

Di seguito si riporta una analisi relativa agli effetti che il Decreto Legge sul Perimetro può produrre in relazione sia agli attori in esso ricompresi sia per quanto riguarda i fornitori di beni e servizi ICT.

I soggetti compresi nel perimetro

Il D.L. 105/2019 che istituisce il Perimetro di sicurezza nazionale cibernetica riguarda i soggetti “pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.

Evento ibrido
Approcci, strumenti e soluzioni efficaci per un mondo del lavoro sempre più phygital
Risorse Umane/Organizzazione
Smart working

Tali attori verranno individuati tramite DPCM, su proposta del CISR, entro quattro mesi dall’entrata in vigore della legge di conversione. In virtù della funzione essenziale e strategica che essi svolgono all’interno del Sistema-Paese, i soggetti che rientrano nel Perimetro dovranno garantire l’aderenza rispetto ai criteri e ai livelli di sicurezza imposti dal Decreto Legge.

Allo stesso modo, i soggetti che intendono offrire beni e servizi ICT destinati ad essere impiegati in reti e sistemi che svolgono funzioni essenziali per il Paese, dovranno essere in grado ad esempio di superare eventuali test per l’individuazione di vulnerabilità e dimostrare adeguati livelli di sicurezza nell’erogazione delle proprie forniture.

Attori del perimetro: principali attività da realizzare

I soggetti che saranno inclusi nel Perimetro dovranno mettere in atto una serie di azioni che mirano ad innalzare e armonizzare i propri livelli di sicurezza. Tra queste, le principali sono:

  • Predisposizione e aggiornamento con cadenza almeno annuale dell’elenco delle reti, dei sistemi informativi e dei servizi informatici comprensivo della relativa architettura e componentistica. A tale scopo, è necessario che gli attori del Perimetro dispongano degli strumenti tecnici e organizzativi per effettuare un censimento degli asset costantemente aggiornato e che abbia un approfondito livello di dettaglio per rispondere ai criteri stabiliti dall’organismo tecnico di supporto al CISR, integrato con un rappresentante della Presidenza del Consiglio dei ministri. Tali elenchi dovranno essere trasmessi alla Presidenza del Consiglio dei ministri dai soggetti pubblici e al Ministero dello sviluppo economico dai soggetti di cui all’articolo 29 del CAD nonché da quelli privati.
  • Notifica degli incidenti aventi impatto su reti, sistemi informativi e servizi al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT). Al fine di identificare tempestivamente gli eventi di sicurezza e gli incidenti per poter procedere alla notifica allo CSIRT, costituito con DPCM dell’8 agosto 2019 e pubblicato in GU dell’8 novembre 2019, gli attori del Perimetro devono dotarsi di un processo organico per la gestione della sicurezza che parta dalla prevenzione/identificazione degli eventi fino alla gestione e alla comunicazione degli stessi. Tale processo deve coinvolgere aspetti tecnologici, procedurali e organizzativi ed è composto da diverse attività tra cui: cyber threat intelligence (raccolta, analisi, attribution, reportistica), realizzazione di policy e procedure di incident management (detection, analysis, classification, response, eradication, recovery, closing, notification, lesson learned), realizzazione di centrali operative o sale di controllo dedicate alla gestione e monitoraggio degli eventi di sicurezza cibernetica (es. SOC, CERT).
  • Misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici tenendo conto degli standard definiti a livello internazionale e dell’Unione europea.

A tale scopo i soggetti inclusi nel Perimetro devono adottare un approccio trasversale e sistematico a tutti gli elementi della sicurezza delle informazioni che comprendano i seguenti aspetti descritti all’art.1 comma 3, lettera b:

  • struttura organizzativa dedicata alla gestione della sicurezza;
  • politiche di sicurezza e alla gestione del rischio;
  • mitigazione e gestione degli incidenti e alla loro prevenzione, anche attraverso interventi su apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza;
  • protezione fisica e logica e dei dati;
  • integrità delle reti e dei sistemi informativi;
  • gestione operativa, ivi compresa la continuità del servizio;
  • monitoraggio, test e controllo;
  • formazione e consapevolezza;
  • affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale, di standard e di eventuali limiti.

Tali requisiti potrebbero essere soddisfatti attraverso l’adozione di standard e certificazioni di processo sulla sicurezza delle informazioni.

Fornitori di prodotti e servizi: misure da porre in essere

Gli attori compresi nel Perimetro, o le centrali di committenza, possono affidare a soggetti esterni la fornitura di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici essenziali. Tale eventualità deve essere prontamente comunicata al Centro di Valutazione e Certificazione Nazionale, istituito presso il Ministero dello sviluppo economico, includendo anche la valutazione del rischio associato all’oggetto della fornitura, anche in relazione all’ambito di impiego.

Il CVCN potrà quindi effettuare test di hardware e software relativamente ai prodotti o servizi offerti, anche in collaborazione con i soggetti compresi nel Perimetro. Tali test possono condizionare sospensivamente o risolutivamente il contratto e quindi l’esito della fornitura.

Le società impegnate nello sviluppo di prodotti o nell’erogazione di servizi devono quindi garantire elevati standard di sicurezza. Questi possono essere dimostrati attraverso lo strumento delle certificazioni, sia di prodotto che di processo, e si configurano anche come elementi abilitanti o in grado di fornire vantaggi competitivi in fase di gara di affidamento. A tale scopo sarebbe opportuno concretizzare una serie di attività prodromiche alle verifiche che potrebbero essere svolte durante tutte le fasi del procurement. Tra le attività principali da includere nel processo, sono da considerare le seguenti:

  • Test di sicurezza (VA-PT) volti anche a determinare l’assenza di vulnerabilità note
  • Code review
  • Adozione di standard e certificazioni volte a garantire la sicurezza non solo del prodotto o del servizio ma anche della catena tecnologica a supporto del processo di fornitura

Conclusioni

In attesa dei DPCM che descriveranno le modalità con cui dovranno essere poste in essere le varie azioni, è opportuno sottolineare che le attività derivanti dall’entrata in vigore del Decreto Legge si rendono necessarie sia in virtù della loro rilevanza strategica per garantire la sicurezza sia in relazione al regime sanzionatorio previsto.

In particolare, su quest’ultimo aspetto, salvo che il fatto costituisca reato, il mancato adempimento alle prescrizioni descritte prevede sanzioni amministrative pecuniarie di vario grado.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati