La legge sul perimetro di sicurezza cibernetica, emanata dal Governo lo scorso anno, aveva previsto per la sua piena attuazione, l’emanazione entro breve tempo di alcuni D.P.C.M. attuativi.
L’emergenza sanitaria dei primi mesi del 2019 con il conseguente blocco di molte attività ha determinato un ritardo nella emanazione dei suddetti D.P.C.M.
Solo in questi giorni è stato emanato il primo di tali provvedimenti che specifica sia i criteri che identificano i soggetti compresi nel perimetro di sicurezza cibernetica che alcuni degli adempimenti a cui dovranno far fronte una volta che riceveranno la comunicazione riservata di farne parte.
Pubblicato in Gazzetta Ufficiale il primo D.P.C.M. attuativo della legge sul perimetro nazionale di sicurezza cibernetica.
Nel mese di luglio del 2019 vi avevamo dato notizia dell’approvazione da parte del Consiglio dei Ministri del disegno di legge in materia di perimetro di sicurezza nazionale cibernetica.
Il disegno di legge si è poi concretizzatosi nel decreto legge 21 settembre 2019 n. 105 coordinato con la legge di conversione 18 novembre 2019 n. 133.
L’obiettivo della norma sul perimetro nazionale di sicurezza cibernetica
La norma è stata emanata con lo scopo di assicurare un elevato livello di sicurezza delle reti e dei sistemi informativi delle Amministrazioni e degli operatori con sede nel territorio nazionale.
La suddetta norma ha previsto l’emanazione di alcuni D.P.C.M. attuativi che originariamente dovevano essere emanati entro pochi mesi dalla pubblicazione della legge.
L’emergenza sanitaria da Covid-19 ha poi dilatato tali tempi e solo pochi giorni fa è stato emanato il primo di essi, il D.P.C.M. 30 luglio 2020 n. 131 “Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell’art. 1, comma 2, del decreto legge 21.09.2019 n. 105 convertito con modificazioni dalla legge 18 novembre 2019 n. 133”, pubblicato sulla Gazzetta Ufficiale n. 261 del 21 ottobre 2020.
Questo provvedimento specifica i criteri che identificano i soggetti compresi all’interno del perimetro di sicurezza cibernetica.
I soggetti che svolgono funzioni definite “essenziali” per lo Stato riceveranno a breve una comunicazione riservata nella quale gli sarà comunicata la loro inclusione nel perimetro suddetto: si tratterà soprattutto di soggetti governativi operanti nel settore della sicurezza della Repubblica e di soggetti, siano essi pubblici o privati, che operano nei settori di attività contigui.
Nel D.P.C.M. vengono altresì indicati gli adempimenti da attuare nel caso in cui i soggetti medesimi siano vittime di un attacco di natura cibernetica.
Entro sei ore essi dovranno riferirsi al CIRST istituito presso il Dipartimento Informazioni per la Sicurezza riferendo in merito all’attacco per i provvedimenti conseguenti.
In ogni caso i soggetti facenti parte del “perimetro” dovranno altresì predisporre un elenco delle reti, dei sistemi informativi, dell’architettura e della componentistica tech di cui sono dotati, informazioni che andranno poi inviate per quanto riguarda i soggetti pubblici alla Presidenza del Consiglio dei Ministri e per i soggetti privati al MISE.
Infine, al fine di garantire l’operatività di tutte le norme emanate ed emanande con i successivi D.P.C.M., il provvedimento dispone anche la creazione di un tavolo tecnico sotto la direzione del Dipartimento informazioni per la Sicurezza.
I prossimi passi
Come sottolineato da molti esperti del settore si tratta solo del primo passo di un percorso che accusa un ritardo sulla tabella di marcia inizialmente prevista per le anzidette motivazioni derivanti dall’emergenza sanitaria.
Si spera che tale ritardo venga recuperato con la sollecita emanazione degli altri D.P.C.M. attuativi previsti, a partire da quello, molto importante, che dovrà individuare le misure tecniche che i soggetti inclusi nel perimetro nazionale di sicurezza cibernetica dovranno attuare per rendere sicura la loro tecnologia.
Il complesso normativo fin qui emanato appare molto preciso e rigoroso, ancora più “stringente” di altre norme a carattere sovranazionale, fra cui la Direttiva NIS, per quanto riguarda ad esempio i tempi per la notifica degli attacchi, si tratterà tuttavia di testare poi tutta questa normativa sul campo in un momento storico in cui molte delle “guerre” fra Stati non si combattono sui campi di battaglia ma bensì nello spazio cibernetico.
Alfonso Buccini