Le norme dedicate alla cybersecurity che derivano dall’adozione del Decreto sul Perimetro di Sicurezza Nazionale Cibernetica sono analizzate nella nostra rubrica CyberItalia.
In questo quinto articolo della rubrica CyberItalia esploreremo un altro insieme di norme nazionali dedicati al tema della cybersecurity che derivano dall’adozione del Decreto sul Perimetro di Sicurezza Nazionale Cibernetica e dei suoi decreti attuativi.
Il Perimetro di Sicurezza Nazionale Cibernetica è stato istituito con Decreto Legge 105/2019 (“Decreto Perimetro” convertito con Legge 133/2019) al fine di assicurare un “livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti pubblici e privati che rivestono un’importanza strategica nel panorama nazionale”. Il Decreto Perimetro si affianca quindi al Decreto NIS, per rafforzare e complementare il quadro di sicurezza informativa nazionale.
Quando? Pubblicato in G.U. il 21 settembre 2019, il decreto è attualmente in vigore. Al Decreto Perimetro sono seguiti una serie di decreti attuativi che forniscono indicazioni specifiche sull’operatività del Perimetro di Sicurezza.
A chi si rivolge? Il Decreto Perimetro si rivolge a:
- operatori, pubblici e privati, che svolgono un servizio o una funziona essenziali per gli interessi dello Stato in determinati settori strategici. Disposizioni più specifiche sui criteri di identificazione di tali soggetti sono contenute nel DPCM 1 di attuazione (v. sotto).
Generalmente, i soggetti che rientrano nel Decreto NIS ricadono anche all’interno del Perimetro di Sicurezza. Il Perimetro di Sicurezza, al contrario, ha un ambito di applicazione più ampio e include anche operatori pubblici e privati che potrebbero non ricadere nel Decreto NIS.
Cosa prevede? Il Decreto Perimetro specifica le modalità, procedure e termini per l’istituzione del Perimetro di Sicurezza e ne indica il funzionamento generale, poi specificato e reso operativo dai decreti attuativi successivi.
Nello specifico, il Decreto Perimetro individua gli obblighi a cui sono soggetti i soggetti ricompresi nell’ambito del Perimetro imponendo loro:
- la predisposizione e l’aggiornamento, almeno annuale, di elenchi dei beni ICT “strategici” di rispettiva pertinenza, indicando le reti, i sistemi informativi e i servizi informatici che li compongono e dal cui malfunzionamento, interruzione o utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale. Tali elenchi devono essere comunicati alla Presidenza del Consiglio (per i soggetti pubblici) o al Mimit (nel caso di soggetti privati), affinché possano esercitare poteri di verifica e ispezione;
- l’obbligo di notificare gli incidenti di sicurezza aventi impatto sui beni ICT (secondo i criteri e le modalità definiti dal DPCM 2) al CSIRT;
- l’obbligo di implementare adeguate misure di sicurezza (come meglio dettagliate dal DPCM 2);
- l’obbligo di comunicare l’intenzione di acquisire beni, sistemi e servizi ICT destinati ad essere impiegati sui loro asset strategici a enti appositamente istituiti (Centri di Valutazione (“CV”) e al Centro di Valutazione e Certificazione Nazionale (“CVCN”) per consentire i necessari controlli di sicurezza e affidabilità (come specificato dai decreti attuativi DPCM 3).
Il Decreto Perimetro amplia inoltre la disciplina dei poteri di intervento riconosciuti al Governo (“golden power”) per la salvaguardia di imprese nazionali operanti in settori strategici in presenza di operazioni societarie, nel settore delle reti di telecomunicazioni a banda larga e tecnologia 5G.
3) Decreti attuativi: 1, 2 e 3 e Decreto Accreditamento – Ai fini della sua operatività, il Decreto Perimetro ha previsto l’emanazione di una serie di decreti attuativi che introducano disposizioni di disciplina specifica:
- DPCM n. 131/2020 (“DPCM 1”) – individua i criteri per individuare i soggetti pubblici e privati che esercitano funzioni essenziali per lo Stato e rientrano quindi nel Perimetro. Gli operatori sono individuati quindi in settori di particolare rilevanza strategica, come i settori di spazio e aerospazio, energia, telecomunicazioni, trasporti, interno, difesa, economia e finanza, servizi digitali, tecnologie critiche, enti sanitari e previdenziali.
La selezione avviene a opera delle rispettive autorità competenti di settore, che informano mediante comunicazione gli operatori selezionati dell’avvenuta inclusione all’interno del Perimetro di Sicurezza.
Il DPCM specifica, inoltre, i criteri per la predisposizione e l’aggiornamento degli elenchi dei beni ICT compresi nel Perimetro.
- DPCM n. 81/2021 (“DPCM 2”) – la prima parte del DPCM stabilisce le procedure e modalità con cui i soggetti inclusi nel Perimetro sono tenuti a effettuare le notifiche degli incidenti al CSIRT.
A partire dal 1° gennaio 2022, il DPCM impone un obbligo di notificare l’evento al CSIRT entro tempistiche stringenti:
- sei ore dalla conoscenza, nel caso di incidente “meno grave”;
- un’ora dalla conoscenza, in caso di incidente “più grave”,
secondo la classificazione descritta nell’allegato A del DPCM. Nel caso di eventi non inclusi nella classificazione, l’invio della notifica rimane su base volontaria.
La seconda parte del DPCM è dedicata alle misure di sicurezza che i soggetti rientranti nel Perimetro sono tenuti a implementare per garantire elevati livelli di sicurezza dei propri asset ICT. Tali misure sono dettagliate nell’allegato B e nell’allegato C (rivolto specificatamente alla tutela delle informazioni) e devono essere adottate entro le diverse tempistiche di adozione previste dal DPCM.
- DPR n. 54/2021 e il DPCM del 15 giugno 2021 (“DPCM 3”) – congiuntamente individuano le modalità e le procedure relative al funzionamento del Centro di Valutazione e Certificazione Nazionale (“CVCN”) e dei Centri di Valutazione (“CV”), nonché le categorie di beni, sistemi e servizi ICT in relazione alle quali i soggetti inclusi nel Perimetro sono tenuti a effettuarne comunicazione al CVCN o dai CV.
- n. 92/2022 (“DPCM Accreditamento”) – stabilisce le procedure, i requisiti e i termini per l’accreditamento dei Laboratori Accreditati di Prova, che supportano i CVCN nel verificare la sicurezza tecnologica dei soggetti che rientrano nel Perimetro.
4) Decreto ACN – Il Decreto ACN (DL n. 82/2021, convertito con modificazioni dalla L. n. 109/2021) ridefinisce l’architettura istituzionale nazionale in materia di cybersicurezza, istituendo un’Agenzia nazionale specializzata (ossia, l’Agenzia per la Cybersicurezza Nazionale, “ACN”). In capo all’Agenzia sono trasferite e centralizzate le funzioni precedentemente attribuite a Presidente del Consiglio, al DIS (Dipartimento delle Informazioni per la sicurezza), al Mimit e all’Agenzia dell’Italia digitale.
L’ACN diventa quindi punto di contatto unico in materia di sicurezza delle reti e dei e dei sistemi informativi, per le finalità di cui al decreto legislativo NIS e l’autorità deputata al rilascio delle certificazioni come richiesto dal Cybersecurity Act (a cui sarà dedicato un approfondimento specifico).
5) Determina del Direttore Generale dell’ACN – Con propria Determina del 13 gennaio 2023, l’ACN ha esteso ulteriormente gli obblighi di notifica degli incidenti previsti in capo ai soggetti rientranti nel Perimetro, ampliando la tassonomia di incidenti per i quali è prevista la notifica al CSIRT, in questo caso entro le 72 ore. Diventa obbligatoria, infatti, la notifica anche per degli incidenti che impattano su reti, sistemi e servizi informativi che non sono direttamente conferiti sotto il Perimetro stesso.
Speriamo che questo articolo della rubrica CyberItalia abbia fornito informazioni utili sul Decreto relativo al Perimetro di Sicurezza Cibernetica. Sullo stesso argomento, è possibile leggere anche CyberItalia: Dalla Direttiva NIS 1 alla NIS 2 in pillole e CyberItalia: L’evoluzione normativa della cybersecurity in Italia (dirittoaldigitale.com) .