Il travagliato processo di istituzione del quadro normativo a tutela della sicurezza nazionale (il cd. Perimetro di sicurezza nazionale cibernetica) pare avviarsi a un felice epilogo.
Il perimetro di sicurezza nazionale cibernetica è stato istituito ai sensi dell’articolo 1, comma 1, del Decreto Legge 21 settembre 2019, n. 105, convertito con modificazioni dalla L. 18 novembre 2019, n. 133 (in G.U. 20/11/2019, n. 272) al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di funzioni essenziali dello Stato. E proprio verso il rafforzamento di continuità e resilienza dei settori cruciali per il mantenimento di attività civili, sociali o economiche essenziali è orientato il quadro normativo che demanda allo strumento del DPCM il governo di fattori cruciali quali l’individuazione dei soggetti inclusi, procedure di acquisizione di asset ICT e di notifica degli incidenti informatici.
Il DPCM 30 luglio 2020, n. 131 costituisce un regolamento in materia di perimetro di sicurezza nazionale cibernetica e indica le modalità e criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati, inclusi nella “cintura di sicurezza”. Sulla stessa linea, il Decreto del Presidente della Repubblica 5 febbraio 2021, n. 54 individua le procedure, le modalità ed i termini da seguire per l’acquisizione, da parte dei soggetti inclusi nel perimetro, di oggetti di fornitura. Il secondo DPCM, invece, determina procedure per la notifica degli incidenti di sicurezza informatica (DPCM 14 Aprile 2021, n. 81).
Al novero si aggrega il recente DPCM del 15 Giugno 2021, che individua le categorie di beni, sistemi e servizi ICT destinati a essere impiegati nel Perimetro di sicurezza nazionale cibernetica. L’allegato al DPCM determina gli asset ICT ricompresi al Perimetro cyber e le macrocategorie di riferimento: componenti hardware e software che svolgono funzionalità e servizi di rete di telecomunicazione (accesso, trasporto, commutazione); componenti hardware e software che svolgono funzionalità per la sicurezza di reti di telecomunicazione e dei dati da esse trattati; componenti hardware e software per acquisizione dati, monitoraggio, supervisione controllo, attuazione e automazione di reti di telecomunicazione e sistemi industriali e infrastrutturali; applicativi software per l’implementazione di meccanismi di sicurezza. Tuttavia, l’Articolo 4 del DPCM prevede che “le categorie individuate dal presente decreto sono aggiornate, con decreto del Presidente del Consiglio dei ministri, con cadenza almeno annuale, avuto riguardo all’innovazione tecnologica, nonché alla modifica dei criteri tecnici”.
Per completare il quadro del Perimetro cyber, ora, manca soltanto un tassello: il DPCM preordinato alla costituzione della rete nazionale di laboratori pubblico-privati a supporto del CVCN per la conduzione di attività di testing e scrutinio tecnologico su beni, servizi e sistemi ICT ricompresi al Perimetro.
Gli obblighi dettati dalla normativa sul perimetro di sicurezza cibernetica si applica solo ad un novero di società specificatamente individuate. Tuttavia, l’evoluzione normativa a livello nazionale e comunitario è verso l’estensione degli obblighi ad un gruppo di società sempre più ampio. Questi obblighi sono del tutto separati da quanto previsto dalla normativa privacy e si applicano anche a dati non personali.
Su un simile argomento può essere interessante l’articolo “La creazione del perimetro di sicurezza nazionale cibernetica è ora più vicino”.