I recenti sviluppi normativi relativi all’applicazione del Perimetro di sicurezza nazionale cibernetica nonché la decisione di ampliamento di quest’ultimo a ulteriori nuovi soggetti pubblici e privati hanno rinnovato l’attenzione verso tale nuovo impianto normativo a tutela della sicurezza cyber del sistema-Paese.
Allo stato attuale, sono stati pubblicati due decreti attuativi riguardanti, da un lato, l’individuazione dei settori interessati dal Perimetro e i criteri per la predisposizione dell’aggiornamento degli elenchi di reti, sistemi informativi e servizi informatici; dall’altro, i processi di notifica degli incidenti che i soggetti inclusi nello stesso sono tenuti a integrare all’interno delle proprie attività e le misure di sicurezza a tutela dei beni ICT.
A seguito del già citato ampliamento del campo di applicazione, il tema dei settori di interesse del Perimetro torna a rivestire un ruolo centrale nel processo di implementazione dello stesso.
Di seguito verranno sintetizzati i principali elementi sul tema alla luce dei recenti sviluppi.
Indice degli argomenti
Settori di attività del Perimetro di sicurezza nazionale cibernetica
L’articolo 3 del DPCM 30 luglio 2020 n. 131 pubblicato nella Gazzetta Ufficiale del 5 novembre 2020 definiva i settori di attività inclusi nel Perimetro utilizzando un criterio di gradualità.
Il DPCM circoscriveva infatti l’ambito di applicazione del Perimetro a soggetti operanti nel settore governativo con riferimento alle attività delle amministrazioni CISR nonché a ulteriori soggetti, pubblici e privati, coinvolti nei seguenti settori (ove non ricompresi in quello governativo):
- interno;
- difesa;
- spazio e aerospazio;
- energia;
- telecomunicazioni;
- economia e finanza;
- trasporti;
- servizi digitali;
- tecnologie critiche;
- enti previdenziali/lavoro.
Per l’identificazione e l’elencazione dei soggetti, pubblici e privati, inclusi nel Perimetro appartenenti ai suddetti settori è prevista l’individuazione di una specifica Amministrazione pubblica competente (es. Ministero dello sviluppo economico; struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione; Ministero dell’economia e delle finanze).
Per il settore governativo, tali attività sono invece demandate alle amministrazioni CISR, ciascuna nell’ambito di rispettiva competenza.
Il 22 dicembre 2020 sono stati definitamente individuati i primi soggetti che rientrano all’interno del Perimetro ai quali è stata fornita una specifica comunicazione. La lista contenente tali soggetti, per ragioni di sicurezza, prevede un profilo di riservatezza.
Ampliamento del Perimetro di sicurezza nazionale cibernetica
A distanza di sei mesi, il Presidente del Consiglio dei ministri Mario Draghi, a seguito della proposta formulata dal Comitato Interministeriale per la Sicurezza della Repubblica (CISR) ha firmato, in data 15 giugno, un aggiornamento dell’elenco dei soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica.
Si tratta di nuovi soggetti a carattere sia pubblico sia privato che, attraverso reti, sistemi informativi e servizi informatici, “complessivamente, esercitano 223 funzioni essenziali dello Stato”.
Si sottolinea che, in generale, per essere incluso all’interno del Perimetro, un soggetto deve erogare un servizio essenziale “per il mantenimento di attività civili, sociali o economiche fondamentali per l’interesse dello Stato dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.
Inizia un periodo di test del Perimetro cibernetico
L’ampliamento della superficie del Perimetro si concretizzerà nei prossimi giorni attraverso la comunicazione avanzata da parte del Dipartimento delle Informazioni per la Sicurezza (DIS) agli interessati che disporranno di sei mesi per adempiere, in primo luogo, all’elemento fondante del nuovo impianto normativo ovvero la trasmissione dell’elenco dei beni ICT di propria pertinenza.
Nello stesso arco temporale, a partire dal prossimo 23 giugno, i soggetti già individuati lo scorso 22 dicembre prenderanno invece parte a un periodo sperimentale di test del processo di notifica di incidenti secondo quanto previsto dal secondo decreto attuativo del Perimetro (DPCM 81 del 14/04/2021).
Quest’ultimo presenta inoltre ulteriori elementi di interesse tra cui:
- tassonomia degli incidenti impattanti sui beni ICT, per livelli di gravità;
- elenco delle misure di sicurezza che i soggetti inclusi nel Perimetro dovranno implementare basate su quanto previsto dal Framework Nazionale per la Cybersecurity e la Data Protection.
Ecco l’Agenzia per la cybersicurezza nazionale: come cambia la sicurezza cibernetica dell’Italia
Conclusioni
L’ampliamento della superfice del Perimetro in termini di attori coinvolti all’interno dei settori individuati dimostra che il completamento del percorso di implementazione del nuovo impianto normativo si sta concretizzando attraverso una logica di flessibilità e adattamento che prende in considerazione il contesto nazionale e internazionale, l’evoluzione della minaccia, gli elementi di natura tecnologica, i processi di digitalizzazione e gli sviluppi del quadro normativo del nostro Paese.
In questo senso, i recenti sforzi nel panorama italiano, funzionali a innalzare presidi a tutela della sicurezza, si sono concretizzati, in particolare, con l’aggiornamento dell’architettura nazionale di cybersicurezza e l’istituzione dell’Agenzia per la Cybersicurezza Nazionale quali fattori necessari per garantire la sicurezza dello sviluppo e della crescita dell’economia e dell’industria nazionale anche alla luce dell’attuazione delle misure previste nel Piano nazionale di ripresa e resilienza (PNRR).
La cyber security nel PNRR e nella strategia Italia Digitale 2026: risorse e obiettivi
