Qualche mese fa, esattamente il 4 giugno 2020, veniva presentato lo schema del DPCM sul Perimetro di Sicurezza Nazionale Cibernetica, atto del Governo 177, che al suo interno stabiliva le linee d’azione e di attuazione del Perimetro cibernetico.
Lo scorso 3 novembre è stato pubblicato il DPCM n. 131/2020 nella Gazzetta Ufficiale n. 261 del 21 ottobre 2020, rubricato come “Regolamento in materia di perimetro di sicurezza nazionale cibernetica ai sensi dell’art. 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133” ed entrato in vigore il 5 novembre 2020, che getta così le prime basi concrete del Perimetro di Sicurezza Nazionale Cibernetica. Passiamo ad un confronto e a raccontare cosa vuol dire perimetro cibernetico.
Indice degli argomenti
Cos’è il perimetro cibernetico
Per prima cosa, il “perimetro” è, come già suggerisce la radice etimologica della parola, una delimitazione attraverso una linea di un contenuto, luogo o contesto, per cui parliamo della possibilità di contenere minacce e attacchi, che non appartengono solo al mondo del web, ma che riguardano anche la nostra esposizione verso criticità all’interno di sistemi sociali e quindi la nostra vulnerabilità fisica e/o eterea, nel caso del mondo cyber appunto.
La “cibernetica” è invece una scienza che si occupa non solo delle connessioni web o eteree, ma anche dello studio dei sistemi integrati, naturali e artificiali, vivi o non vivi, fondata nel 1948 dal matematico americano Norbert Wiener. Perimetro cibernetico, quindi, sta per controllo e gestione di tutti i sistemi che fanno parte della nostra quotidianità, dagli oggetti, alle interazioni sociali, all’economia del Paese, alle strade, tutto ciò che ci circonda e che ormai è collegato e interagisce con tutto il resto.
I criteri per la definizione del perimetro cibernetico
Da un confronto tra la bozza di giugno e la pubblicazione di novembre, si evince che questo di pochi giorni fa definisce e amplia modalità e criteri di definizione dei soggetti inclusi nel Perimetro, i criteri per la predisposizione di un elenco delle reti, dei sistemi informativi e dei servizi informatici e gli adempimenti richiesti ai soggetti inclusi.
Risulta, quindi, più dettagliato e prevede alcune specifiche in più rispetto allo schema del 4 giugno scorso.
Rimangono invariati i settori interessati, le azioni di controllo e consegna dei materiali da parte delle aziende, i criteri di individuazione dei soggetti da includere nel Perimetro, l’elenco delle funzioni e dei servizi essenziali e le caratteristiche dei beni ICT.
Perimetro cibernetico: le regole implementative
Vediamo quindi cosa è stato implementato, partendo dai destinatari.
Oltre ai soggetti che esercitano una funzione essenziale dello Stato, tra i quali chi si occupa di garantire la continuità d’azione del Governo e degli organi costituzionali e la sicurezza interna e esterna dello Stato, e i soggetti che prestano un servizio essenziale per gli interessi dello Stato, sono inclusi come possibili destinatari anche gli organi costituzionali ai quali, però, il legislatore riserva una mera facoltà di adozione di misure di sicurezza analoghe a quelle previste dalla normativa sul Perimetro di sicurezza nazionale cibernetica per le reti, i sistemi informativi e informatici di loro pertinenza.
Una volta individuati nei vari settori di competenza, i servizi e le funzioni essenziali, ogni amministrazione che viene selezionata sulla base dei criteri esposti nel DPCM, prepara una proposta di lista di questi operatori che va al vaglio del CISR, Comitato Interministeriale per la Sicurezza della Repubblica, e ancor prima del CISR tecnico.
Inoltre, con questo DPCM 131/2020 viene istituito il Tavolo interministeriale per l’attuazione del Perimetro di sicurezza nazionale cibernetica, che ha il compito di supportare le attività legate al DPCM a supporto del CISR o CISR tecnico.
Gli adempimenti per i soggetti inclusi nel perimetro
I soggetti che saranno inclusi nel Perimetro dovranno portare a termine alcuni adempimenti importanti. Innanzitutto, l’elenco dei beni ICT dovrà essere aggiornato annualmente, con la specifica delle reti, dei sistemi informativi e dei servizi informatici.
Per “bene ICT” si intende, come da DPCM, l’insieme di reti, sistemi informativi e servizi informatici che permettono le funzioni essenziali dello Stato e l’erogazione dei servizi essenziali.
Pertanto, sarà fondamentale svolgere un’analisi del rischio per individuare i fattori di pericolo di un incidente e essere pronti ad agire per la prevenzione, la gestione e le misure di sicurezza necessarie.
Da qui sarà importante, per ogni funzione e servizio essenziale, indicare i beni ICT di cui necessita e la relativa analisi del rischio per garantirne l’integrità, l’efficienza, la sicurezza dei dati e delle informazioni contenute.
Nel DPCM viene specificato che si parla di incidente per “ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici”.
Veniamo al secondo adempimento. I soggetti inclusi nel Perimetro dovranno descrivere l’architettura e la componentistica dei beni ICT individuati, per cui hardware e software e componenti di rete. Per portare a termine questo adempimento, esiste un modello del DIS, che offre ai soggetti interessati le indicazioni utili a una descrizione esaustiva sia dei beni ICT che delle relative dipendenze con altri beni e sistemi.
Gli elaborati relativi ai due adempimenti dovranno essere trasmessi dai soggetti inclusi nel Perimetro all’interno della piattaforma digitale del DIS, dedicata alle attività di prevenzione, preparazione e gestione del Cyber Crisis affidate al Nucleo Sicurezza Cibernetica (NSC).
La verifica delle informazioni inserite sulla piattaforma sarà a capo della Presidenza del Consiglio dei ministri nella struttura di competenza di innovazione tecnologica e digitalizzazione, insieme al Ministero dello Sviluppo Economico, e saranno deputati all’accesso alla piattaforma anche Polizia Postale e delle comunicazioni per il Ministero dell’Interno.
