Il Perimetro nazionale cibernetico continua a prendere forma e iniziano a delinearsi tutti i dettagli tecnici e operativi: siamo infatti al secondo DPCM di quattro totali a cui le Commissioni Difesa di Camera e Senato hanno detto sì e che riguarda notifiche e misure di sicurezza in caso di incidenti informatici.
È stato approvato lo schema di legge, ma ancora non c’è stata la pubblicazione in Gazzetta Ufficiale.
Cerchiamo di capire, dunque, a che punto siamo.
Indice degli argomenti
Perimetro nazionale cibernetico: il DPR attuativo
Circa un mese fa, proprio a inizio febbraio 2021, era stato approvato dal Ministero dello Sviluppo Economico il DPR attuativo della legge sul Perimetro, mirato a garantire la sicurezza delle reti di Tlc nazionali in vista della realizzazione delle infrastrutture 5G.
Il DPR stabiliva che la denuncia di attacchi informatici, nei casi più gravi, doveva essere fatta entro un’ora esatta dall’incidente e abbiamo visto che la gestione di questo tipo di situazioni per le imprese poteva non essere così agevole come sembrava.
Ricordiamo che, come da articolo 1 del documento di “Richiesta di parere parlamentare su atti del Governo” del 14 gennaio 2021, per “incidente” è inteso “ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici” e l’incidente cyber può riguardare “una rete di comunicazione elettronica, qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale e i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi […] per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi”.
I dettagli del secondo DPCM approvato
Dal DPR attuativo siamo giunti al (secondo) DPCM “in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informativi”, che ha confermato per i 100 soggetti appartenenti al Perimetro il lasso di tempo di un’ora utile per notificare un incidente informatico grave al CSIRT, Computer Security Incident Response Team, del DIS.
Ma tutto è partito ad agosto 2020, quando è stato proposto di istituire una struttura normativa per la lotta agli attacchi cyber nelle forniture ICT destinate a enti pubblici e sensibili.
Ad ottobre è stato poi pubblicato in Gazzetta Ufficiale il primo DPCM che determinava quali erano i soggetti pubblici e privati idonei a poter essere inclusi nel Perimetro cibernetico, quindi il 25 novembre è stato firmato il DPCM relativo alla lista riservata di questi soggetti protetti e a seguito dell’approvazione arrivata finalmente a fine gennaio 2021 del decreto attuativo.
Approvato questo secondo DPCM, ne seguiranno quindi uno relativo alle categorie che dovranno notificare al CVCN, Centro di valutazione e certificazione nazionale, e uno dedicato ai criteri di accreditamento dei laboratori competenti per le verifiche delle condizioni di sicurezza.
I rilievi presentati dalle Commissioni difesa
L’approvazione del DPCM in materia di notifiche di attacchi gravi alle imprese del Perimetro è stata presentata assieme ad alcuni rilievi.
Il 9 febbraio 2021 il senatore del M5S Fabrizio Ortis, nel ruolo di relatore della Commissione Difesa del Senato, si era espresso in questi termini: “valuti il governo le misure necessarie, anche di carattere economico, per accompagnare adeguatamente la fase di implementazione dei nuovi adempimenti previsti dal provvedimento”.
La Commissione Difesa, il 18 febbraio 2021, tramite il relatore Roberto Rossini, onorevole del M5S, aveva deliberato due rilievi in aggiunta alla conferma di approvazione, ossia, in riferimento al Perimetro di sicurezza nazionale cibernetica, “prevedere misure, anche di carattere economico, che rendano più agevole l’attuazione delle misure di sicurezza cibernetica disposte dallo schema di decreto in esame e, più in generale, dall’intero assetto normativo” e “defiscalizzare gli oneri relativi alla messa in sicurezza dei sistemi informatici delle imprese e dei privati, strumentali al miglioramento della sicurezza cibernetica, compresi gli investimenti in beni materiali e le spese per l’accesso a software, sistemi e servizi IT erogati in cloud o via piattaforma web nonché le soluzioni e i sistemi crittografici finalizzati alla sicurezza ed alla riservatezza delle comunicazioni”.
Mancano ora all’appello la commissione degli Affari Costituzionali e quella dei Trasporti e poi un altro pezzo del perimetro di sicurezza nazionale cibernetico potrà diventare operativo.
