Usiamo i cookie per migliorare la tua esperienza di fruizione

Cliccando su qualsiasi link in questa pagina fornisci il tuo consenso all'uso dei cookie

Italian Chinese (Simplified) English French German Japanese Spanish
Martedì, 19 Marzo 2024
Il perimetro di sicurezza nazionale cibernetica - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

Il perimetro di sicurezza nazionale cibernetica - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

GENNAIO 2020

È stata recentemente pubblicata sulla Gazzetta Ufficiale – dopo l’approvazione da parte di ambedue le Camere – la legge n. 133 del 18 novembre 2019 “Conversione in legge, con modificazioni, del decreto-legge 21 settembre 2019, n. 105, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”. L’obiettivo finale del perimetro di sicurezza nazionale cibernetica (Perimetro) è quello di assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici degli operatori pubblici e privati e dal cui malfunzionamento, interruzione od uso improprio può derivare un pregiudizio per la sicurezza nazionale. Le modifiche al decreto legge, apportate in sede di approvazione, approfondiscono aspetti chiave nella gestione della sicurezza cibernetica nazionale con particolare riferimento ai seguenti temi:

• approccio basato sul rischio secondo un criterio di gradualità;

• gestione e individuazione di eventuali vulnerabilità di prodotti e servizi ICT sin dalla fase di approvvigionamento;

• definizione accurate delle modalità e delle tempistiche associate agli obblighi di notifica in relazione all’esercizio di poteri speciali.

In particolare, i soggetti inclusi nel Perimetro che intendano acquisire beni, sistemi e servizi ICT ne devono dare comunicazione al Centro di valutazione e certificazione nazionale (CVCN), in istituzione presso il Ministero dello sviluppo economico. I fornitori di tali servizi dovranno collaborare nelle operazioni di verifica da parte del CVCN. E’ stato in contemporanea stabilito un sistema sanzionatorio per i casi di violazione degli obblighi ed individuate le autorità competenti all'accertamento delle violazioni e all'erogazione delle sanzioni. Ulteriore e significativa novità per gli operatori inclusi nel Perimetro è l'obbligo di notificare gli incidenti cyber: saranno definite con apposito decreto del Presidente del Consiglio di Ministri, da emanarsi entro dieci mesi dall'entrata in vigore della legge di conversione (quindi entro il 21 settembre 2020), le modalità con le quali i soggetti inclusi nel Perimetro saranno tenuti a notificare al Computer Security Incident Response Team (CSIRT) italiano ogni incidente che abbia avuto un impatto sulle reti, sui sistemi informativi o sui servizi informatici di rispettiva pertinenza. Il CSIRT dovrà inoltrare tempestivamente tali notifiche al Dipartimento delle informazioni per la sicurezza. Con il medesimo decreto attuativo, saranno inoltre introdotte le misure per assicurare significativi livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di pertinenza dei soggetti inseriti nel Perimetro. Tali misure terranno conto degli standard definiti a livello internazionale e dell'Unione Europea. Infine, da rilevare l’estensione della normativa sui poteri speciali (il cosiddetto Golden Power) anche al 5G. Una misura, questa, particolarmente apprezzata dall’amministrazione americana, che da tempo chiede di aumentare il livello di attenzione sulle nuove reti e, in particolare, di limitarvi – per possibili rischi di spionaggio – la partecipazione dei colossi cinesi Huawei e Zte.

Alberto Traballesi

(Newletter AIIC n. 01 (2020))