Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

il disegno di legge

La sicurezza cibernetica italiana è legge, così il Parlamento ha rafforzato il Perimetro

Il decreto legge sulla cyber sicurezza ha ricevuto l’ok definitivo alla Camera. L’architettura del disegno è rimasta sostanzialmente invariata, ma vi sono alcune specifiche a cui è stato dato valore. In particolare, il criterio di gradualità e analisi dei rischi; l’affidamento forniture ICT e CVCN; 5G e Golden Power

13 Nov 2019
Alessandro Bruttini

Associazione Italiana esperti in Infrastrutture Critiche

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Andrea Lucariello

Security Analyst and Privacy Consultant


Il disegno di legge sulla cybersicurezza, che introduce il Perimetro di Sicurezza cibernetica nazionale (D. L. 105 del 2019), è ormai definitivo, dopo l’ok di entrambe le Camere al testo questa settimana.

Qui ci soffermiamo sulle novità introdotte dal Parlamento.

L’architettura del disegno è rimasta sostanzialmente invariata, ma vi sono alcune specifiche a cui è stato dato valore in sede di Camera. In particolare, riguardo il criterio di gradualità e analisi dei rischi; l’affidamento forniture ICT e CVCN; 5G e Golden Power.

Le modifiche rispetto al testo precedente approfondiscono aspetti chiave nella gestione della sicurezza cibernetica nazionale con particolare riferimento ai seguenti temi:

  • approccio basato sul rischio secondo un criterio di gradualità;
  • gestione e individuazione di eventuali vulnerabilità di prodotti e servizi ICT sin dalla fase di procurement – si pensi al ruolo del CVCN;
  • definizione accurate delle modalità e delle tempistiche associate agli obblighi di notifica in relazione all’esercizio di poteri speciali;
  • ridefinizione del concetto di “soggetto esterno all’Unione europea”.

Criterio di gradualità e analisi dei rischi

Con l’introduzione del comma 2-bis dell’art. 1 vengono ulteriormente dettagliati i criteri per l’individuazione degli attori da includere nel Perimetro nazionale. In particolare, si specifica che tale processo avviene tramite un approccio di gradualità che tenga conto dell’entità del pregiudizio per la sicurezza nazionale, in relazione alle specificità dei diversi settori di attività che “può derivare dal malfunzionamento, dall’interruzione, anche parziali, ovvero dall’utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti”.

Tale criterio dunque presuppone la conoscenza delle specificità dei diversi settori in ambito normativo, tecnico e organizzativo, nonché le relazioni di interdipendenza che possono configurarsi tra i diversi attori che concorrono all’erogazione di funzioni o servizi essenziali.

Il tema dell’interdipendenza potrebbe essere analizzato anche attraverso l’utilizzo di tecniche previsionali di impatto, di tipo what-if, identificando la potenziale configurazione di “effetti domino” che possano implicare un pregiudizio per la sicurezza nazionale. In altre parole, l’analisi preventiva e predittiva degli impatti potrebbe supportare la valutazione della criticità di un determinato attore configurando allo stesso tempo le misure e i livelli di sicurezza che devono essere garantiti anche attraverso una analisi dei rischi. Infatti, quest’ultima, assieme al criterio di gradualità e alle specifiche settoriali, rappresenta un elemento utile a individuare le modalità con cui deve essere predisposto e aggiornato, da parte degli attori che sono inclusi nel Perimetro nazionale, un elenco delle reti, dei sistemi informativi e dei servizi informatici comprensivo della relativa architettura e componentistica.

Affidamento forniture ICT e CVCN

Un aspetto innovativo che allo stesso tempo definisce alcune specificità delle competenze del CVCN è introdotto dalla lettera a) del comma 6 del primo articolo. In sintesi, gli attori che sono inclusi nel Perimetro nazionale e le centrali di committenza che intendano procedere a una fornitura di beni, sistemi e servizi ICT devono darne comunicazione al Centro di Valutazione e Certificazione Nazionale corredando quest’ultima di una valutazione del rischio associata all’oggetto della fornitura e all’ambito di impiego. A seguito della comunicazione, entro quarantacinque giorni, prorogabili di quindici giorni, il CVCN può effettuare “verifiche preliminari ed eventualmente imporre condizioni e test di hardware e software secondo un approccio gradualmente crescente nelle verifiche di sicurezza”. Nel caso in cui il CVCN non si pronunci entro i limiti prestabiliti, il soggetto che ha effettuato la comunicazione può procedere all’affidamento; nel caso in cui venissero imposti test di hardware o software i bandi di gara correlati devono includere specifiche clausole che possono implicare la risoluzione o la sospensione dell’affidamento sulla base degli esiti dei test.

Inoltre, è stato stabilito che “non sono oggetto di comunicazione gli affidamenti delle forniture di beni, sistemi e servizi ICT destinate alle reti, ai sistemi informativi e ai servizi informatici per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati e i casi di deroga stabiliti dal medesimo regolamento con riguardo alle forniture di beni, sistemi e servizi ICT per le quali sia indispensabile procedere in sede estera”.

5G e Golden Power

Le modificazioni introdotte estendono l’ambito operativo delle norme in tema di poteri speciali esercitabili dal Governo nei settori ad alta intensità tecnologica nonché in materia di esercizio di poteri speciali (Golden Power). Infatti, il nuovo articolo 4-bis, riprendendo ed integrando le previsioni del decreto-legge n. 64 del 2019, non convertito in legge, modifica il decreto legge n. 21 del 2012 in tema di poteri speciali del Governo nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell’energia, dei trasporti e delle comunicazioni.

In particolare, tra le principali modifiche introdotte dall’art. 4-bis si segnalano le seguenti.

Sono elencati gli elementi che il Governo deve considerare nella valutazione dell’acquirente qualora sia un soggetto esterno all’Unione Europea:

  • che l’acquirente sia direttamente o indirettamente controllato dall’amministrazione pubblica, compresi organismi statali o forze armate, di un Paese non appartenente all’Unione Europea, anche attraverso l’assetto proprietario o finanziamenti consistenti;
  • che l’acquirente sia già stato coinvolto in attività che incidono sulla sicurezza o sull’ordine pubblico in uno Stato membro dell’Unione Europea;
  • che vi sia un grave rischio che l’acquirente intraprenda attività illegali o criminali.

Modalità e delle tempistiche associate agli obblighi di notifica

Sono inoltre modificate le modalità e le tempistiche associate alle informative da inviare al Governo affinché possa effettuare le valutazioni di competenza e eventualmente apporre il veto. Infatti, entro dieci giorni dalla conclusione di un contratto o accordo, l’impresa che ha acquisito notifica alla Presidenza del Consiglio dei ministri un’informativa completa.

In caso si rendessero necessarie verifiche tecniche relativamente a possibili fattori di vulnerabilità, il Presidente del Consiglio può prorogare di ulteriori venti giorni il termine stabilito (trenta giorni) per l’esercizio del potere di veto o l’imposizione di specifiche prescrizioni.

In caso di inosservanza dell’obbligo di notifica stabilito possono essere inflitte “sanzioni amministrative pecuniarie fino al 150 per cento del valore dell’operazione e comunque non inferiore al 25 per cento del medesimo valore”.

All’art. 2 del decreto-legge 15 marzo 2012, n. 21 è stabilito che attraverso i decreti del Presidente del Consiglio dei ministri, redatti su proposta del Ministro dell’economia e delle finanze, del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti, di concerto con il Ministro dell’interno, con il Ministro degli affari esteri e della cooperazione internazionale e con i Ministri competenti per settore, sono individuati:

  • le reti e gli impianti, ivi compresi quelli necessari ad assicurare l’approvvigionamento minimo e l’operatività dei servizi pubblici essenziali, i beni e i rapporti di rilevanza strategica per l’interesse nazionale nei settori dell’energia, dei trasporti e delle comunicazioni;
  • ai fini della verifica in ordine alla sussistenza di un pericolo per la sicurezza e l’ordine pubblico, compreso il possibile pregiudizio alla sicurezza e al funzionamento delle reti e degli impianti e alla continuità degli approvvigionamenti, i beni e i rapporti di rilevanza strategica per l’interesse nazionale.

Ridefinizione del concetto di “soggetto esterno all’Unione europea”

Le modifiche apportate inoltre definiscono “soggetto esterno all’Unione europea”, intendendo:

  • qualsiasi persona fisica o persona giuridica che non abbia la residenza, la dimora abituale, la sede legale o dell’amministrazione ovvero il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo o che non sia comunque ivi stabilita;
  • qualsiasi persona giuridica che abbia stabilito la sede legale o dell’amministrazione o il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo, o che sia comunque ivi stabilita, e che risulti controllata, direttamente o indirettamente, da una persona fisica o da una persona giuridica di cui alla lettera a);
  • qualsiasi persona fisica o persona giuridica che abbia stabilito la residenza, la dimora abituale, la sede legale o dell’amministrazione ovvero il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo, o che sia comunque ivi stabilita, qualora sussistano elementi che indichino un comportamento elusivo rispetto all’applicazione della disciplina di cui al presente decreto.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4