Perimetro di sicurezza nazionale cibernetica, il primo decreto attuativo non fa primavera - Cyber Security 360

SICUREZZA informatica

Perimetro di sicurezza nazionale cibernetica, il primo decreto attuativo non fa primavera

È stato pubblicato ieri in Gazzetta Ufficiale il Decreto del Presidente del Consiglio dei ministri (DPCM) che definisce le regole del Perimetro nazionale di sicurezza cibernetica e stabilisce i parametri con cui sono individuati i soggetti che si occupano di funzioni vitali per l’Italia. Ecco tutti i dettagli

23 Ott 2020
Paolo Tarsitano

Editor Cybersecurity360.it


Lo scudo difensivo dell’Italia contro i cyber attacchi che minacciano le aziende e le PA italiane inizia a prendere forma: è stato infatti pubblicato ieri in Gazzetta Ufficiale il primo dei quattro DPCM attuativi del Perimetro di sicurezza nazionale cibernetica, per l’esattezza il Decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, “Regolamento in materia di perimetro di sicurezza nazionale cibernetica”.

Il provvedimento, che entrerà in vigore il prossimo 5 novembre 2020, definisce le regole del Perimetro nazionale di sicurezza cibernetica e stabilisce i parametri con cui sono individuati i soggetti che si occupano di funzioni vitali per l’Italia.

Un passo importante, ma solo il primo di una serie (e per giunta arrivato in ritardo): il secondo decreto sarà ancora più rilevante, infatti.

Adesso, con questo decreto, trovano attuazione regole che erano già note da tempo.

La lista segreta dei soggetti protetti dal Perimetro

In particolare, il Regolamento in materia di perimetro di sicurezza nazionale cibernetica individua i criteri tramite i quali i ministeri individuano i soggetti che svolgono funzioni essenziali per lo Stato.

“Questo decreto è il primo dei passi attuativi del Perimetro, e in sé non costituisce nulla di inatteso”, ci dice Corrado Giustozzi, Senior Cyber Security Strategist: “esso era infatti previsto dalla norma principale, la quale ha delegato la regolazione degli aspetti operativi dell’attuazione del Perimetro ad una serie di DPCM da emanarsi a distanza di alcuni mesi l’uno dall’altro”.

“Il primo tassello di questo complesso disegno”, prosegue Giustozzi, “è regolato dal DPCM appena approvato, il quale stabilisce i criteri secondo i quali le apposite autorità dovranno provvedere ad identificare i soggetti da includere nel Perimetro, e le modalità con cui questi dovranno assolvere alla prima parte dei compiti loro assegnati ossia, in particolare, censire le proprie infrastrutture di servizio e notificarle alle autorità. Istituisce poi le strutture di supporto alla gestione dei processi e dei flussi di operatività a regime, comprese le modalità con cui gli operatori individuati dovranno relazionarsi con lo CSIRT per segnalare eventuali incidenti significativi”.

I soggetti da includere nel Perimetro saranno circa 150 e verranno elencati in una lista che resterà segretata e verrà completata nei prossimi giorni.

L’art. 2 del DPCM individua così i soggetti che svolgono funzioni essenziali per lo Stato:

  1. un soggetto esercita una funzione essenziale dello Stato, di seguito funzione essenziale, laddove l’ordinamento gli attribuisca compiti rivolti ad assicurare la continuità dell’azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti;
  2. un soggetto, pubblico o privato, presta un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, di seguito servizio essenziale, laddove ponga in essere: attività strumentali all’esercizio di funzioni essenziali dello Stato; attività necessarie per l’esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica; attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.
WEBINAR
Vantaggi di business dei Data Center 100% sostenibili
Datacenter
Trade

Il successivo art. 3 individua, invece, i settori di priorità a cui appartengono i soggetti inclusi nel Perimetro:

  1. interno;
  2. difesa;
  3. spazio e aerospazio;
  4. energia;
  5. telecomunicazioni;
  6. economia e finanza;
  7. trasporti;
  8. servizi digitali;
  9. tecnologie critiche;
  10. enti previdenziali/lavoro.

Secondo il Regolamento, qualora uno di questi soggetti dovesse rimanere vittima di un attacco cyber sarà obbligato ad informare, entro 6 ore al massimo (e non 24 come prevede invece la Direttiva NIS) lo CSIRT (Computer Security Incident Response Team – Italia), il gruppo di esperti istituito presso il DIS (Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei Ministri).

In caso di grave violazione, verrà attivato l’NSC, il Nucleo per la sicurezza cibernetica presieduto dal professor Roberto Baldoni il cui compito è quello di proporre al Presidente del Consiglio una possibile risposta all’attacco e coordinare il ripristino del servizio.

Messa in sicurezza dei beni ICT

Come indicato nell’art.7 comma 1 del Regolamento, le aziende pubbliche e private inserite nel Perimetro di sicurezza nazionale cibernetica e quindi nella lista dei 150 soggetti che svolgono funzioni essenziali per lo Stato dovranno innanzitutto predisporre e aggiornare con cadenza almeno annuale l’elenco di beni ICT di rispettiva pertinenza, con l’indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono secondo i criteri individuati dal comma 2 dello stesso art. 7.

Allo stesso modo (art. 8 del Regolamento), dovrà essere predisposto un elenco con la descrizione dell’architettura e della componentistica tech.

Quindi, entro sei mesi dalla comunicazione di inserimento nel Perimetro di sicurezza nazionale cibernetica, entrambi questi elenchi devono essere inviati alla struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione (nel caso dei soggetti pubblici) o al Mise (nel caso dei privati).

Il Tavolo interministeriale per l’attuazione del Perimetro

Un altro punto fondamentale del DPCM (art. 6) è l’istituzione di un tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica a supporto del CISR (Comitato interministeriale per la sicurezza della Repubblica).

Il “Tavolo” sarà presieduto da un vice direttore generale del DIS e composto da due rappresentanti di ciascuna amministrazione CISR (e cioè la Presidenza del Consiglio dei ministri e i Ministeri di cui all’art. 5 della legge 3 agosto 2007, n. 1249), da un rappresentante dell’Agenzia informazioni e sicurezza esterna (AISE) e da uno dell’Agenzia informazioni e sicurezza interna (AISI), nonché da due rappresentanti degli altri Ministeri di volta in volta interessati, “che sono chiamati a partecipare alle riunioni, anche su loro richiesta motivata, in relazione agli argomenti da trattare, di cui almeno uno in possesso di competenze tecnico-specialistiche nella materia della sicurezza cibernetica”.

Il Tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica si riunirà periodicamente, ogni sei mesi.

Perimetro di sicurezza nazionale cibernetica: gli sviluppi futuri

Dopo un primo anno di gestazione durante il quale ha avuto anche l’approvazione da parte del NIS Cooperation Group europeo, il Perimetro di sicurezza nazionale cibernetica inizia a prendere forma nonostante il ritardo sulla tabella di marcia causato anche dalla pandemia di Covid-19 che ha rallentato la formazione dei Centri di valutazione e certificazione nazionale (CVCN) che dovranno valutare la componentistica tech, software e hardware di aziende e PA inserite tra i soggetti che svolgono funzioni essenziali per lo Stato.

Gli effetti andranno valutati nel tempo, comunque, come stanno commentando diversi esperti in queste ore: “se bastassero i decreti, saremmo la super potenza della cyber”, dice Michele Colajanni, professore all’Unimore e uno dei padri della cybersecurity nazionali. “Se cambierà qualcosa, andrà valutato in due tre anni. Ora andiamo avanti…”, aggiunge.

Ancora secondo Corrado Giustozzi “la cosa importante da sottolineare è che il complesso disegno del Perimetro sta andando avanti secondo i programmi prefissati, nonostante gli inevitabili ritardi imposti dall’emergenza COVID. La palla ora va alle autorità che dovranno identificare i soggetti interessati, ai quali arriverà apposita notifica sotto obbligo di riservatezza, così come avviene per gli operatori soggetti alla Direttiva NIS”.

I ritardi fanno sì che difficilmente l’intero sistema sarà a regime – com’era previsto – per primavera 2021. Non solo per quanto riguarda i decreti mancanti ma anche per la dotazione del richiesto personale competente nelle PA interessate.

Certo è che il DPCM pubblicato ieri in Gazzetta Ufficiale rappresenta un primo importante passo nell’attuazione del Perimetro di sicurezza nazionale cibernetica e permette alle aziende di individuare i criteri e le condizioni per essere comprese al suo interno.

“Con i prossimi DPCM”, fa notare infine Giustozzi, “il primo dei quali è atteso entro sei mesi, verranno ulteriormente delineati gli altri aspetti operativi connessi all’attuazione del Perimetro tra cui, di massima importanza, le misure di sicurezza che gli operatori dovranno adottare per rendere sicura la loro tecnologia”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5