Sicurezza nazionale

Perimetro cybersecurity, complete le norme: ecco l’ultimo decreto

È stato adottato l’ultimo dei quattro decreti attuativi del DL sul perimetro di sicurezza nazionale cibernetica, che così prende piena forma. Un altro passo verso il completamento della strategia cyber nazionale che innalza ancora il livello di sicurezza delle nostre infrastrutture. Ecco i dettagli

18 Lug 2022
Paolo Tarsitano

Editor Cybersecurity360.it

È operativo anche l’ultimo tassello del Perimetro di sicurezza nazionale cibernetica: è stato infatti pubblicato in Gazzetta Ufficiale l’ultimo regolamento attuativo adottato con il “DPCM 4” del 18 maggio 2022: un passo importante che va a completare lo scudo cibernetico a difesa delle infrastrutture critiche italiane.

In particolare, il quarto DPCM stabilisce le procedure, i requisiti e i termini per l’accreditamento dei laboratori accreditati di prova (i cosiddetti LAP) a supporto del Centro di valutazione e certificazione nazionale (CVCN): da adesso sarà dunque possibile individuare i laboratori che dovranno verificare la sicurezza tecnologica delle aziende e delle pubbliche amministrazioni ritenute essenziali per la sicurezza dello Stato.

Di fatto, quindi, come si legge nella nota pubblicata dall’Agenzia per la cybersicurezza nazionale diretta da Roberto Baldoni, il nuovo regolamento rappresenta l’ultimo tassello “per raggiungere gli obiettivi contenuti nella Strategia nazionale di cybersicurezza, volto a innalzare il livello di sicurezza della supply chain di infrastrutture da cui dipende l’erogazione dei servizi essenziali dello Stato”.

Strategia nazionale di cybersicurezza, ecco gli obiettivi da raggiungere entro il 2026 per la resilienza del Paese

I dettagli del nuovo regolamento sul Perimetro cyber

Con questo nuovo regolamento, adottato con il DPCM n. 92 del 18 maggio 2022 e atteso da tempo, si completa dunque il quadro normativo del perimetro di sicurezza nazionale cibernetica istituito tre anni fa dal governo Conte-bis con l’obiettivo di difendere gli asset strategici nazionali dagli attacchi cyber.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Il regolamento definisce, quindi, al Capo I, i compiti del CVCN e le aree di accreditamento. Il Capo II è, invece, dedicato ai requisiti e alle procedure di accreditamento dei laboratori di prova; mentre il Capo III è dedicato all’accreditamento dei centri di valutazione (CV). Ancora, il Capo IV definisce i necessari raccordi del CVCN con i laboratori di prova e con i centri di valutazione. Infine, importante, le procedure di notifica degli incidenti definite dal Capo V del nuovo regolamento.

In particolare, il Centro di valutazione e certificazione nazionale, già operativo dallo scorso primo luglio 2022, potrà ora accreditare laboratori esterni, sia pubblici sia privati, che costituiranno la rete a supporto dello stesso Centro e dei centri di valutazione (CV) del Ministero della Difesa e del Ministero dell’Interno per le attività di valutazione tecnologica su specifiche categorie di asset ICT impiegati all’interno del perimetro cyber.

L’obiettivo è quello di creare, in stretta collaborazione con il mondo dell’industria e dell’accademia, una rete di laboratori accreditati altamente specializzati necessaria al potenziamento delle capacità dell’Italia di valutazione e certificazione e fondamentale per il raggiungimento di un’autonomia tecnologica del nostro Paese.

La creazione di una rete strutturata di LAP, che verrà finanziata grazie ad alcuni specifici progetti già inseriti nel piano nazionale di ripresa e resilienza (PNRR), permetterà dunque di realizzare alcune importanti misure di prevenzione e mitigazione del rischio volte a innalzare la resilienza delle infrastrutture digitali e previste dal piano di implementazione della strategia nazionale di cybersicurezza.

I particolare, il “DPCM 4” sarà abilitante per la realizzazione delle seguenti misure:

  • Misura #1: Rafforzare il sistema di scrutinio tecnologico nazionale a supporto della sicurezza della supply chain delle particolari categorie di asset rientranti nel Perimetro e per l’adozione di schemi di certificazione europea di cybersecurity, anche mediante l’accreditamento di laboratori di valutazione pubblico/privati.
  • Misura #2: Sviluppare le capacità dei centri di valutazione del Ministero dell’Interno e del Ministero della Difesa accreditati dall’ACN, quali organismi di valutazione della conformità, per i sistemi di rispettiva competenza.
  • Misura #5: Supportare lo sviluppo, valutandone l’adeguatezza in termini di sicurezza nazionale, degli schemi di certificazione in materia di cybersicurezza e, in collaborazione con il settore privato, promuoverne l’adozione e l’utilizzo da parte dei fornitori di servizi e delle imprese italiane, favorendo lo sviluppo del tessuto imprenditoriale nazionale specializzato al fine di conseguire un vantaggio competitivo sul mercato.
  • Misura #8: Introdurre norme giuridiche volte a tutelare la catena degli approvvigionamenti relativi ad infrastrutture ICT rilevanti sotto il profilo della sicurezza nazionale.
  • Misura #53: Promuovere ogni iniziativa utile volta al rafforzamento dell’autonomia industriale e tecnologica dell’Italia, riguardo a prodotti e processi informatici di rilevanza strategica ed a tutela degli interessi nazionali nel settore, anche valorizzando lo sviluppo di algoritmi proprietari nonché la ricerca e il conseguimento di nuove capacità crittografiche nazionali.

Un percorso difficile verso una nuova postura cyber italiana

Il quarto e ultimo tassello del perimetro di sicurezza nazionale cibernetica rappresenta dunque un vero e proprio vademecum che consentirà finalmente di individuare i laboratori di prova necessari a verificare la sicurezza tecnologica delle aziende e delle PA strategiche per la sicurezza nazionale che fanno parte della lista segreta (stilata da ormai più di un anno) che comprende ministeri, aziende hi-tech e grandi partecipate pubbliche.

Chiuso, dunque, il perimetro cyber, inizia ora un nuovo percorso che dovrà necessariamente portare (si spera in tempi brevi) verso l’attuazione della strategia per il cloud nazionale e per l’intelligenza artificiale.

Durante questo percorso, il nuovo regolamento attuativo del perimetro cyber servirà anche a predisporre gli ormai necessari e non più differibili schemi di certificazione in materia di cybersicurezza a cui si arriverà con l’approvazione del decreto legislativo attualmente in discussione che designa l’Agenzia Cyber come autorità nazionale di certificazione, definendone organizzazione e procedure, e che potrà profondamente cambiare la postura cyber italiana.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5