In questo articolo
PERIMETRO DI SICUREZZA CIBERNETICA NAZIONALE: LA DIFESA DIGITALE IN ITALIA
Il DL 105/2019 ha introdotto a novembre dello scorso anno il Perimetro di sicurezza cibernetica nazionale. La sicurezza cibernetica italiana è legge e la strategia si concentra su tre punti chiave.
Il primo punto è la cybersecurity (minaccia cyber, contesto tecnologico e normativo nazionale ed internazionale, 5G, ecc.).
Il secondo riguarda le competenze specifiche (necessità di individuare nuove professioni nell’ambito della cybersicurezza).
Il terzo si concentra sulle linee d’azione per l’attuazione del DL (adempimenti NIS, supporto e direzione strategica dei Centri di competenza).
Lo schema di DPCM (tuttora soggetto ad eventuali variazioni) in materia di perimetro di sicurezza nazionale cibernetica (atto del governo 177) è attualmente in esame presso le Commissioni Affari Costituzionali e Trasporti della Camera. L’iter parlamentare, nel migliore dei casi, dovrebbe concludersi nel mese di luglio.
Che cos’è il perimetro di sicurezza cibernetica?
PERIMETRO DI SICUREZZA CIBERNETICA NAZIONALE: COS’È
Il cosiddetto perimetro di sicurezza cibernetica è un muro che serve a proteggere le strutture strategiche e vitali del nostro Paese: banche dati, servizi, applicazioni, aziende private e pubbliche, industria aerospaziale, piccole, medie e grandi imprese che svolgono funzioni essenziali o strategiche, agenzie governative, infrastrutture. In due parole, tutto ciò che, se manomesso, potrebbe mettere a rischio la sicurezza nazionale.
Il perimetro di cybersicurezza nazionale somiglia ad una sorta di confine di difesa sul fronte del digitale. Con esso il web diventa sempre più regionale, assimilando per la prima volta le linee di demarcazione tipiche del mondo fisico (i confini).
L’Italia è tra i primi Paesi in Europa ad aver pensato ad una struttura di questo tipo insieme alla Francia che, nel 2016, ha azzerato la distinzione tra fisico e virtuale in termini di difesa nazionale.
Il primo passo verso il perimetro di sicurezza cibernetica è stato fatto a giugno 2018, quando l’Italia ha recepito la direttiva europea Nis.
L’architetto delle difese sul web dell’intelligence italiana Roberto Baldoni, vicedirettore generale del Dis (Dipartimento delle Informazioni per la Sicurezza) ha spiegato che gli attacchi cyber sono destinati a moltiplicarsi su vari fronti e puntano a paralizzare organi vitali del nostro Paese ed a carpire segreti industriali. In questo scenario, un sistema che ci consenta di navigare in tutta sicurezza è fondamentale. È necessario raggiungere uno standard di difesa molto elevato che il Dis dovrà seguire.
Il perimetro di cyber sicurezza è uno strumento di difesa o di attacco?
Baldoni risponde: “è per la difesa“. L’obiettivo è rendere l’Italia più sicura e, di conseguenza, anche più competitiva a livello commerciale. Non dimentichiamo che alcune compagnie sono state costrette a chiudere i battenti dopo essere state svuotate a loro insaputa dei segreti legati ai clienti ed alla produzione.
Il perimetro è un muro digitale di difesa: se venisse scoperto un attacco informatico da parte di un altro Paese a strutture sensibili, l’Italia non lancerebbe tramite il Dis un contrattacco come è stato fatto, nel 2019, in altre nazioni.
PERIMETRO DI SICUREZZA CIBERNETICA NAZIONALE: I PUNTI EVIDENZIATI
Pur restando sostanzialmente invariata, l’architettura del disegno di legge ha subito modifiche in sede di esame in Parlamento.
In particolare, sono state evidenziate alcune specifiche su:
– analisi dei rischi secondo un criterio di gradualità ed in relazione alle specificità dei diversi settori di attività. Si parla di rischi derivanti da malfunzionamento, interruzione, utilizzo improprio delle reti, dei sistemi informativi, dei servizi informatici. L’analisi preventiva e predittiva degli impatti supporterebbe la valutazione della criticità di un attore e la configurazione di misure e livelli di sicurezza da garantire attraverso l’analisi stessa dei rischi;
– 5G e Golden Power con modificazioni introdotte dal decreto che estendono l’ambito operativo ed i poteri speciali esercitabili dal Governo in settori ad alta intensità tecnologica (golden power).di difesa e sicurezza nazionale, energia, trasporti e comunicazioni;
– affidamento forniture ICT e CVCN, gestione e individuazione di eventuali vulnerabilità di prodotti e servizi ICT. Gli attori inclusi nel perimetro di sicurezza cibernetica nazionale ed i centri di committenza che forniscono beni, sistemi e servizi ICT devono darne comunicazione al Centro di Valutazione e Certificazione Nazionale (CVCN) allegando una valutazione del rischio legata alla fornitura ed all’impiego. Entro 45 giorni (prorogabili di 15 giorni) dalla comunicazione, il CVCN potrebbe eseguire verifiche preliminari ed imporre condizioni e test di software e hardware;
– determinazione delle modalità e tempistiche sugli obblighi di notifica riguardo all’esercizio di poteri speciali. Il Governo effettua valutazioni sulle informative inviate dalle imprese per, poi, porre il veto o imporre specifiche prescrizioni. In caso di inosservanza dell’obbligo di notifica, si rischiano sanzioni amministrative pecuniarie fino al 150% del valore dell’operazione, comunque non inferiore al 25% dello stesso valore;
– ridefinizione del concetto di “soggetto esterno all’Unione europea”. Per soggetto esterno all’UE deve intendersi persona fisica o giuridica che non abbia residenza, dimora, sede legale o amministrativa in uno Stato membro dell’Unione Europea o Spazio economico europeo oppure che risulti controllata da una persona fisica o giuridica esterna all’UE o che abbia un comportamento elusivo rispetto all’applicazione del decreto.
CRITERI E LIVELLI DI SICUREZZA IMPOSTI DAL DL
Gli attori del perimetro (aziende coinvolte, fornitori di prodotti e servizi) saranno individuati tramite DPCM, su proposta del CISR, entro 4 mesi dall’entrata in vigore della legge di conversione. Tali attori dovranno garantire il pieno rispetto ai criteri e livelli di sicurezza imposti dal DL.
In particolare, i fornitori di prodotti e servizi ICT da impiegare in reti e sistemi dovranno possedere certificazioni, essere in grado di superare eventuali test per l’individuazione di vulnerabilità dimostrando adeguati livelli di sicurezza nell’erogazione delle forniture.
Le misure contenute nel DL devono garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici considerando gli standard UE e internazionali.
I soggetti inclusi nel Perimetro di sicurezza cibernetica nazionale sono tenuti ad adottare un approccio che comprenda i seguenti aspetti:
– struttura organizzativa dedicata alla gestione della sicurezza;
– politiche di sicurezza e gestione del rischio;
– prevenzione e gestione degli incidenti;
– protezione logica e fisica dei dati;
– formazione, consapevolezza, aggiornamento con cadenza annuale;
– integrità dei sistemi informativi e delle reti;
– continuità del servizio;
– test, monitoraggio e controllo;
– forniture di beni sistemi e servizi ICT anche tramite la definizione di requisiti e caratteristiche generali, di standard o eventuali limiti;
– notifiche tempestive degli incidenti che impattano su reti, sistemi informativi e servizi al Gruppo di intervento per la cybersicurezza.
AZIENDE INCLUSE NEL PERIMETRO E SETTORI INTERESSATI
Ecco quali sono, in sintesi, i soggetti pubblici e privati ed i settori inclusi nel perimetro di sicurezza cibernetica:
– Pubbliche Amministrazioni;
– Settori della difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, enti previdenziali e del lavoro;
– Qualsiasi soggetto (pubblico o privato) che presta un servizio essenziale per lo Stato (attività civile, sociale, economica);
– Aziende impegnate in attività di approvvigionamento ed efficienza delle infrastrutture e della logistica;
– Attività di ricerca;
– Aziende operanti nel campo dell’alta tecnologia ed in ogni altro settore di rilievo sociale ed economico;
– Tecnologie critiche previste dall’art.4, par.1, lett.b), del Regolamento (Ue) 2019/452 del Parlamento europeo e del Consiglio del 19 marzo 2019.
Tutte le aziende incluse nel perimetro e le pubbliche amministrazioni, da qui a pochi mesi, saranno chiamate in tempi brevi ad attuare gli adempimenti previsti dal DL.
