Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

cyber security

Perimetro di sicurezza nazionale cibernetica, ecco la strategia dell’Italia: i punti chiave

Il recente decreto legge sul perimetro di sicurezza cibernetica è il frutto di nuove riflessioni sull’evoluzione della minaccia cyber, del contesto tecnologico e del panorama normativo nazionale e internazionale. Tra i temi centrali oggetto di attenzione, vi è quello del 5G; ma non solo

24 Set 2019

Alessandro Bruttini

Associazione Italiana esperti in Infrastrutture Critiche

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Andrea Lucariello

Security Analyst and Privacy Consultant


Lo schema di Decreto legge sul perimetro di sicurezza nazionale cibernetica approvato nella seduta del Consiglio dei Ministri del 19 settembre 2019, dimostra l’attenzione rivolta al tema, gli sforzi che il nuovo Governo – in linea con quello precedente – intende perseguire e la volontà di ridurre i tempi di emanazione della normativa secondaria.

Lo schema, composto da cinque articoli, conferma alcuni elementi già previsti dal disegno di legge introducendo ulteriori aspetti di interesse. Tra gli aspetti fondamentali del nuovo documento si possono elencare i seguenti:

  • Attori del perimetro: ruoli e responsabilità
  • Attività di certificazione del CVCN
  • 5G e Golden Power

Attori del perimetro: ruoli e responsabilità

Il perimetro di sicurezza cibernetica nazionale sarà composto da diversi attori, pubblici e privati. Essi vengono individuati sulla base di due specifici criteri:

  • Il soggetto esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;
  • L’esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici e al cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

Tali soggetti devono essere identificati entro quattro mesi dall’entrata in vigore della legge di conversione del decreto: ciò determina una sensibile riduzione rispetto ai sei mesi prestabiliti nel ddl precedente. Inoltre, nello stesso lasso temporale l’organismo tecnico di supporto al CISR, collaborando con un rappresentante della Presidenza del Consiglio dei ministri (nel disegno di legge era l’AgID), stabilirà i criteri in base ai quali i soggetti predisporranno e aggiorneranno un elenco delle reti, dei sistemi informativi e dei servizi informatici.

Inoltre, una ulteriore restrizione dei tempi si nota, rispetto a quanto previsto nel disegno di legge precedente, nella definizione delle procedure di notifica degli incidenti che hanno impatto su reti, sistemi e servizi informatici: si è passati infatti da 12 mesi a 10.

Infine, è opportuno sottolineare che la principale novità del nuovo decreto a livello di responsabilità tra gli attori identificati consiste nel passaggio di consegna delle competenze di verifica e controllo, rispetto ai requisiti previsti dalle norme, da AgID alla Presidenza del Consiglio dei Ministri. Quest’ultima ricoprirà un ruolo di primo piano nella designazione di un uniforme livello di sicurezza nazionale e potrà, a sua discrezione, “avvalersi dell’Agenzia per l’Italia digitale”. Per quanto riguarda i soggetti privati, invece, la responsabilità rimane in seno al Ministero dello Sviluppo Economico.

Attività del CVCN

Viene confermato un ruolo di primo ordine del Centro di Valutazione e Certificazione Nazionale (CVCN) nell’assicurazione delle garanzie di sicurezza e dell’assenza di vulnerabilità di prodotti, hardware e software, destinati a essere impiegati sulle reti, sui sistemi informativi e servizi informatici degli attori del perimento di sicurezza cibernetica. In tal senso, viene rafforzata l’attenzione nelle fasi di procurement ICT prevedendo anche l’integrazione nei bandi di gara e nelle procedure concorsuali di clausole in grado di sospendere o risolvere l’affidamento del contratto a uno specifico soggetto a seguito dei test del CVCN. Nello svolgimento delle attività di verifica di sicurezza, il CVCN si avvale del supporto dei laboratori accreditati.

Infine, il Centro di Valutazione e Certificazione Nazionale elabora e adotta schemi di certificazione cibernetica qualora quelli attualmente in forze non risultino adeguati ai fini di tutela del perimetro di sicurezza. A tal proposito, è utile sottolineare che il tema della certificazione di prodotto in ambito di cyber security sta assumendo un ruolo sempre più centrale, anche a livello europeo: si pensi ad esempio alle disposizioni previste dal Cybersecurity Act e al ruolo che ENISA svolgerà in tal senso.

Ad ulteriore conferma della rilevanza assegnata al CVCN, lo schema sancisce l’assegnazione di 3.2 milioni nel 2019, 2,8 milioni all’anno dal 2020 al 2023 e 750mila euro dal 2024 al CVCN.

5G e Golden Power

Il decreto pone particolare attenzione anche al tema del 5G e ai rischi ad esso associati. Infatti, tale tematica viene trattata, all’art. 3, in riferimento al Golden Power ampliando l’esercizio dei poteri speciali, assicurati attraverso la normativa in vigore (Decreto-legge 15 marzo 2012, n. 21), effettuando stringenti verifiche sulle eventuali vulnerabilità presenti sulle reti e i sistemi basati sulla tecnologia 5G. Tale verifica, svolta dal CVCN, può comportare “la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza”.

Conclusioni

L’obiettivo del Decreto legge approvato è quello di definire il perimetro di sicurezza cibernetica nazionale e garantire per lo stesso un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di Pubbliche Amministrazioni, enti ed operatori privati nazionali esecutivi nel campo dei servizi essenziali.

Esso rappresenta il frutto di nuove riflessioni con carattere di urgenza in relazione all’evoluzione della minaccia cyber, del contesto tecnologico e del panorama normativo nazionale e internazionale – in particolare rispetto alla Direttiva NIS.

Tra i temi centrali oggetto di attenzione, vi è sicuramente quello del 5G, il cui sviluppo in un ambiente sicuro, esente da vulnerabilità e che tenga conto anche dello scenario geopolitico internazionale, si pone come elemento per garantire la sicurezza di tutto il Sistema-Paese.

Infine, è interessante sottolineare come venga riconosciuta al Presidente del Consiglio dei Ministri la facoltà di disattivare, “totalmente o parzialmente, uno o più apparati o prodotti impiegati nelle reti e nei sistemi o per l’espletamento dei servizi interessati” qualora vi sia un “rischio grave e imminente per la sicurezza nazionale”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4