SICUREZZA informatica

Perimetro di sicurezza nazionale cibernetica, il primo decreto attuativo non fa primavera

È stato pubblicato ieri in Gazzetta Ufficiale il Decreto del Presidente del Consiglio dei ministri (DPCM) che definisce le regole del Perimetro nazionale di sicurezza cibernetica e stabilisce i parametri con cui sono individuati i soggetti che si occupano di funzioni vitali per l’Italia. Ecco tutti i dettagli

23 Ott 2020
Paolo Tarsitano

Editor Cybersecurity360.it

Lo scudo difensivo dell’Italia contro i cyber attacchi che minacciano le aziende e le PA italiane inizia a prendere forma: è stato infatti pubblicato ieri in Gazzetta Ufficiale il primo dei quattro DPCM attuativi del Perimetro di sicurezza nazionale cibernetica, per l’esattezza il Decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, “Regolamento in materia di perimetro di sicurezza nazionale cibernetica”.

Il provvedimento, che entrerà in vigore il prossimo 5 novembre 2020, definisce le regole del Perimetro nazionale di sicurezza cibernetica e stabilisce i parametri con cui sono individuati i soggetti che si occupano di funzioni vitali per l’Italia.

Un passo importante, ma solo il primo di una serie (e per giunta arrivato in ritardo): il secondo decreto sarà ancora più rilevante, infatti.

Adesso, con questo decreto, trovano attuazione regole che erano già note da tempo.

La lista segreta dei soggetti protetti dal Perimetro

In particolare, il Regolamento in materia di perimetro di sicurezza nazionale cibernetica individua i criteri tramite i quali i ministeri individuano i soggetti che svolgono funzioni essenziali per lo Stato.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

“Questo decreto è il primo dei passi attuativi del Perimetro, e in sé non costituisce nulla di inatteso”, ci dice Corrado Giustozzi, Senior Cyber Security Strategist: “esso era infatti previsto dalla norma principale, la quale ha delegato la regolazione degli aspetti operativi dell’attuazione del Perimetro ad una serie di DPCM da emanarsi a distanza di alcuni mesi l’uno dall’altro”.

“Il primo tassello di questo complesso disegno”, prosegue Giustozzi, “è regolato dal DPCM appena approvato, il quale stabilisce i criteri secondo i quali le apposite autorità dovranno provvedere ad identificare i soggetti da includere nel Perimetro, e le modalità con cui questi dovranno assolvere alla prima parte dei compiti loro assegnati ossia, in particolare, censire le proprie infrastrutture di servizio e notificarle alle autorità. Istituisce poi le strutture di supporto alla gestione dei processi e dei flussi di operatività a regime, comprese le modalità con cui gli operatori individuati dovranno relazionarsi con lo CSIRT per segnalare eventuali incidenti significativi”.

I soggetti da includere nel Perimetro saranno circa 150 e verranno elencati in una lista che resterà segretata e verrà completata nei prossimi giorni.

L’art. 2 del DPCM individua così i soggetti che svolgono funzioni essenziali per lo Stato:

  1. un soggetto esercita una funzione essenziale dello Stato, di seguito funzione essenziale, laddove l’ordinamento gli attribuisca compiti rivolti ad assicurare la continuità dell’azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti;
  2. un soggetto, pubblico o privato, presta un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, di seguito servizio essenziale, laddove ponga in essere: attività strumentali all’esercizio di funzioni essenziali dello Stato; attività necessarie per l’esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica; attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.

Il successivo art. 3 individua, invece, i settori di priorità a cui appartengono i soggetti inclusi nel Perimetro:

  1. interno;
  2. difesa;
  3. spazio e aerospazio;
  4. energia;
  5. telecomunicazioni;
  6. economia e finanza;
  7. trasporti;
  8. servizi digitali;
  9. tecnologie critiche;
  10. enti previdenziali/lavoro.

Secondo il Regolamento, qualora uno di questi soggetti dovesse rimanere vittima di un attacco cyber sarà obbligato ad informare, entro 6 ore al massimo (e non 24 come prevede invece la Direttiva NIS) lo CSIRT (Computer Security Incident Response Team – Italia), il gruppo di esperti istituito presso il DIS (Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei Ministri).

In caso di grave violazione, verrà attivato l’NSC, il Nucleo per la sicurezza cibernetica presieduto dal professor Roberto Baldoni il cui compito è quello di proporre al Presidente del Consiglio una possibile risposta all’attacco e coordinare il ripristino del servizio.

Messa in sicurezza dei beni ICT

Come indicato nell’art.7 comma 1 del Regolamento, le aziende pubbliche e private inserite nel Perimetro di sicurezza nazionale cibernetica e quindi nella lista dei 150 soggetti che svolgono funzioni essenziali per lo Stato dovranno innanzitutto predisporre e aggiornare con cadenza almeno annuale l’elenco di beni ICT di rispettiva pertinenza, con l’indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono secondo i criteri individuati dal comma 2 dello stesso art. 7.

Allo stesso modo (art. 8 del Regolamento), dovrà essere predisposto un elenco con la descrizione dell’architettura e della componentistica tech.

Quindi, entro sei mesi dalla comunicazione di inserimento nel Perimetro di sicurezza nazionale cibernetica, entrambi questi elenchi devono essere inviati alla struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione (nel caso dei soggetti pubblici) o al Mise (nel caso dei privati).

Il Tavolo interministeriale per l’attuazione del Perimetro

Un altro punto fondamentale del DPCM (art. 6) è l’istituzione di un tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica a supporto del CISR (Comitato interministeriale per la sicurezza della Repubblica).

Il “Tavolo” sarà presieduto da un vice direttore generale del DIS e composto da due rappresentanti di ciascuna amministrazione CISR (e cioè la Presidenza del Consiglio dei ministri e i Ministeri di cui all’art. 5 della legge 3 agosto 2007, n. 1249), da un rappresentante dell’Agenzia informazioni e sicurezza esterna (AISE) e da uno dell’Agenzia informazioni e sicurezza interna (AISI), nonché da due rappresentanti degli altri Ministeri di volta in volta interessati, “che sono chiamati a partecipare alle riunioni, anche su loro richiesta motivata, in relazione agli argomenti da trattare, di cui almeno uno in possesso di competenze tecnico-specialistiche nella materia della sicurezza cibernetica”.

Il Tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica si riunirà periodicamente, ogni sei mesi.

Perimetro di sicurezza nazionale cibernetica: gli sviluppi futuri

Dopo un primo anno di gestazione durante il quale ha avuto anche l’approvazione da parte del NIS Cooperation Group europeo, il Perimetro di sicurezza nazionale cibernetica inizia a prendere forma nonostante il ritardo sulla tabella di marcia causato anche dalla pandemia di Covid-19 che ha rallentato la formazione dei Centri di valutazione e certificazione nazionale (CVCN) che dovranno valutare la componentistica tech, software e hardware di aziende e PA inserite tra i soggetti che svolgono funzioni essenziali per lo Stato.

Gli effetti andranno valutati nel tempo, comunque, come stanno commentando diversi esperti in queste ore: “se bastassero i decreti, saremmo la super potenza della cyber”, dice Michele Colajanni, professore all’Unimore e uno dei padri della cybersecurity nazionali. “Se cambierà qualcosa, andrà valutato in due tre anni. Ora andiamo avanti…”, aggiunge.

Ancora secondo Corrado Giustozzi “la cosa importante da sottolineare è che il complesso disegno del Perimetro sta andando avanti secondo i programmi prefissati, nonostante gli inevitabili ritardi imposti dall’emergenza COVID. La palla ora va alle autorità che dovranno identificare i soggetti interessati, ai quali arriverà apposita notifica sotto obbligo di riservatezza, così come avviene per gli operatori soggetti alla Direttiva NIS”.

I ritardi fanno sì che difficilmente l’intero sistema sarà a regime – com’era previsto – per primavera 2021. Non solo per quanto riguarda i decreti mancanti ma anche per la dotazione del richiesto personale competente nelle PA interessate.

Certo è che il DPCM pubblicato ieri in Gazzetta Ufficiale rappresenta un primo importante passo nell’attuazione del Perimetro di sicurezza nazionale cibernetica e permette alle aziende di individuare i criteri e le condizioni per essere comprese al suo interno.

“Con i prossimi DPCM”, fa notare infine Giustozzi, “il primo dei quali è atteso entro sei mesi, verranno ulteriormente delineati gli altri aspetti operativi connessi all’attuazione del Perimetro tra cui, di massima importanza, le misure di sicurezza che gli operatori dovranno adottare per rendere sicura la loro tecnologia”.

17 novembre, milano
Scopri Insight e Tips & Tricks dai migliori professionisti di settore: un evento unico ti aspetta!
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr