E’ stato pubblicato il primo provvedimento attuativo concernente il perimetro di sicurezza nazionale cibernetica che rende la sua piena attuazione più vicina.
Il 21 ottobre 2020 il Governo italiano, in attuazione del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, ha adottato il primo dei provvedimenti relativi all’implementazione del perimetro di sicurezza nazionale cibernetica definendo modalità e criteri procedurali per l’individuazione dei soggetti pubblici e privati inclusi nel perimetro, nonché i criteri attraverso i quali tali soggetti dovranno predisporre e aggiornare l’elenco delle reti, dei sistemi informativi e dei servizi informatici di propria pertinenza.
In primo luogo, il decreto sulla sicurezza nazionale cibernetica individua tre categorie di soggetti destinatari della normativa sulla sicurezza cibernetica: (i) i soggetti che esercitano una funzione essenziale dello Stato, ovvero ai quali l’ordinamento attribuisce compiti volti ad assicurare la continuità dell’azione di Governo e degli organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, e la funzionalità dei sistemi economico, finanziario e dei trasporti; (ii) i soggetti che prestano un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, tra le quali sono da intendersi le attività strumentali all’esercizio di funzioni essenziali dello Stato, le attività necessarie per l’esercizio e il godimento dei diritti fondamentali, le attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica, le attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale; ed infine (iii) gli organi costituzionali, nel caso adottino, per le proprie reti, sistemi informativi e servizi informatici, misure di sicurezze analoghe a quelle applicabili ai soggetti rientranti nel perimetro di sicurezza cibernetica.
Il provvedimento individua inoltre i settori rilevanti per la normativa che ricomprendono quello governativo, dell’interno, della difesa, dello spazio e aerospazio, dell’energia, delle telecomunicazioni, dell’economia e finanza, dei trasporti, dei servizi digitali, delle tecnologie critiche, e degli enti previdenziali e del lavoro. Nell’ambito di questi settori, le amministrazioni dello Stato saranno poi chiamate ad individuare, ciascuna per la propria area di competenza e sulla base di specifiche modalità e criteri indicati dal decreto sulla sicurezza nazionale cibernetica, i soggetti rientranti nel perimetro di sicurezza nazionale identificando le funzioni e i servizi essenziali di diretta pertinenza ovvero quelli esercitati o prestati da soggetti vigilati o da operatori anche privati che dipendano da reti, sistemi informativi o servizi informatici la cui interruzione o compromissione potrebbe arrecare un pregiudizio per la sicurezza nazionale.
I soggetti inclusi nel perimetro sono tenuti a predisporre ed aggiornare, con cadenza almeno annuale, l’elenco dei beni ICT necessari allo svolgimento di ciascuna delle funzioni o servizi essenziali di propria pertinenza, indicando le reti, i sistemi informativi e i servizi informatici che li compongono. Al fine di individuare i beni ICT rilevanti, gli operatori dovranno valutare sia l’impatto di un possibile incidente sullo specifico bene, in termini di limitazione dell’operatività del bene stesso e di compromissione della disponibilità, integrità o riservatezza dei dati e delle informazioni da esso trattati, che la dipendenza con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, ivi compresi quelli utilizzati per fini di manutenzione e gestione. Entro sei mesi dal ricevimento della comunicazione di avvenuta iscrizione nell’elenco degli operatori rientranti nel perimetro di sicurezza nazionale, i soggetti interessati dovranno trasmettere alla Presidenza del Consiglio gli elenchi dei beni ICT rilevanti, fornendo una descrizione dell’architettura e della componentistica, nonché dell’analisi del rischio.
Su di un simile argomento, è possibile ascoltare il podcast “Il presente e il futuro della cybersecurity con Pierluigi Paganini”.