Hardware, software, applicativi: la pubblicazione in Gazzetta Ufficiale del 19 agosto 2021 del DPCM del 15 giugno 2021 “Individuazione delle categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica” si pone come un ulteriore tassello per lo sviluppo e successiva implementazione dell’architettura cyber italiana.
Il decreto infatti indica l’elenco delle categorie per le quali i soggetti inclusi nel Perimetro dovranno necessariamente effettuare la prevista comunicazione al CVCN (Centro di Valutazione e Certificazione Nazionale) o ai CV (Centri di Valutazione) del Ministero dell’Interno e della Difesa. In altre parole, gli operatori inclusi nel Perimetro nazionale che intendono procedere all’acquisto di beni, sistemi o servizi ICT funzionali all’espletamento delle attività essenziali erogate, sono tenuti a comunicare agli enti preposti l’esigenza di tali acquisti nel caso in cui rientrino negli elenchi di categorie riportati nel presente decreto.
Indice degli argomenti
L’obiettivo
Analizzando le liste di beni, sistemi e servizi presentate per ciascuna categoria, si evidenzia come questi possano rappresentare una linea guida per gli operatori che volessero dotarsi di apparati specifici per implementare le funzioni definite da ogni categoria, sviluppando ulteriormente la propria postura di cyber security.
Ampliamento del perimetro di sicurezza nazionale cibernetica: ecco i settori di attività
La pubblicazione del decreto sulle categorie di beni, sistemi e servizi ICT che potranno essere utilizzati dagli operatori del Perimetro si colloca all’interno di un percorso che mira a sviluppare l’architettura cyber nazionale, funzionale ad innalzare i presidi di sicurezza posti a protezione degli asset strategici per il sistema-Paese. In attesa dell’emanazione dell’ultimo DPCM riguardante le regole di accreditamento per i laboratori che potranno effettuare screening tecnologici, all’interno di tale processo si inserisce l’istituzione della nuova Agenzia per la Cybersicurezza Nazionale (ACN) che ha provveduto a riordinare l’assetto cyber italiano, collocando, tra le altre cose, anche lo stesso CVCN sotto il controllo della nuova Agenzia.
Perimetro di sicurezza nazionale cibernetica, le sei funzioni di strumenti e servizi
Tali categorie si basano sui criteri tecnici di cui all’art. 13 del Regolamento di attuazione del Perimetro, adottato con Decreto del Presidente della Repubblica 5 febbraio 2021, n. 54 , individuati sulla base dell’esecuzione o dello svolgimento delle seguenti funzioni:
- commutazione oppure protezione da intrusioni e rilevazione di minacce informatiche in una rete, ivi inclusa l’applicazione di politiche di sicurezza;
- comando, controllo e attuazione in una rete di controllo industriale;
- monitoraggio e controllo di configurazione di una rete di comunicazione elettronica;
- sicurezza della rete riguardo alla disponibilità, autenticità, integrità o riservatezza dei servizi offerti o dei dati conservati, trasmessi o trattati;
- autenticazione e allocazione delle risorse di una rete di comunicazione elettronica;
- implementazione di un servizio informatico per mezzo della configurazione di un programma software esistente oppure dello sviluppo, parziale o totale, di un nuovo programma software, costituente la parte applicativa rilevante ai fini dell’erogazione del servizio informatico stesso.
Tali criteri sono basati sulle funzioni che i sistemi, beni o servizi dovrebbero svolgere, permettendo così di giungere alle categorie individuate dal decreto attuativo che, invece, fanno propriamente riferimento alle componenti hardware e software che permettono l’implementazione di tali funzioni.
Le quattro categorie incluse nel Perimetro di sicurezza nazionale cibernetica
Ecco, quindi, che sulla base delle suddette 6 funzioni sono state individuate le seguenti 4 categorie:
- Componenti hardware e software che svolgono funzionalità e servizi di rete di telecomunicazione (accesso, trasporto, commutazione)
- Componenti hardware e software che svolgono funzionalità per la sicurezza di reti di telecomunicazione e dei dati da esse trattati
- Componenti hardware e software per acquisizione dati, monitoraggio, supervisione controllo, attuazione e automazione di reti di telecomunicazione e sistemi industriali e infrastrutturali
- Applicativi software per l’implementazione di meccanismi di sicurezza
Per ognuna delle categorie è stato, inoltre, fornito uno specifico elenco di beni, sistemi e servizi che verrà aggiornato con cadenza almeno annuale tenendo in considerazione la modifica dei criteri, nonché lo sviluppo tecnologico.
La prima categoria intende raggruppare tutte quelle componenti hardware e software atte a garantire i servizi di rete di telecomunicazione, facendo riferimento a strumenti specifici quali router, switch e ripetitori, ma anche a funzionalità all’avanguardia quali quelle legate al 5G e all’IoT.
La seconda categoria completa quella precedente, riguardante i sistemi di comunicazione, integrando componenti che provvedono alla sicurezza dei dati scambiati attraverso l’utilizzo di apparati quali firewall, gateway, IDS e IPS, nonché Virtual Private Network (VPN) e componenti specifici quali il Trusted Platform Module (TPM) che sta diventando un requisito di sicurezza dei sistemi più aggiornati.
La terza categoria ha l’obiettivo di garantire l’operatività di tutte le fasi del ciclo di vita dei sistemi interessati (acquisizione dati, monitoraggio, supervisione controllo, attuazione e automazione), siano essi di tipo industriale o legati alle telecomunicazioni. Anche in questo caso, nell’elenco che accompagna la categoria sono inclusi elementi classici quali i sistemi SCADA (Supervisory Control and Data Acquisition), ma anche componenti all’avanguardia quali quelli legati al 5G (virtualizzazione e edge computing), all’Intelligenza Artificiale (IA) e al Machine Learning (ML), nonché ai sistemi IoT.
L’ultima categoria racchiude al suo interno tutti quegli strumenti funzionali a garantire il necessario livello di sicurezza, gestendo chiavi crittografiche pubbliche o sistemi di controllo degli accessi, nonché implementando servizi Web tramite API per i protocolli di comunicazione.