Il Perimetro di sicurezza nazionale cibernetica vede una prima luce, attraverso la pubblicazione del Decreto del Presidente del Consiglio dei ministri (DPCM) 30 luglio 2020, n. 131, in Gazzetta Ufficiale avvenuta lo scorso 21 ottobre.
Il decreto definisce i criteri di individuazione dei soggetti inclusi nel perimetro e gli obblighi imposti agli stessi per salvaguardare la sicurezza nazionale.
Indice degli argomenti
Cos’è il Perimetro di sicurezza nazionale cibernetica
Se il decreto dà una prima attuazione alla realizzazione del Perimetro cyber, la sua definizione, invece, è stata data dal Decreto-legge 21 settembre 2019, n. 105 che contiene disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica.
L’art. 1 del DL, infatti, prevede che “Al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, è istituito il perimetro di sicurezza nazionale cibernetica”.
I soggetti inclusi nel Perimetro cyber
Il Perimetro di sicurezza nazionale cibernetica risulta composto da attori privati e pubblici che esercitano funzioni essenziali dello stato o assicurano un servizio essenziale alle attività fondamentali per l’interesse dello stato.
In particolare, il decreto del 30 luglio chiarisce che:
- un soggetto esercita una funzione essenziale dello Stato, di seguito funzione essenziale, laddove l’ordinamento gli attribuisca compiti rivolti ad assicurare la continuità dell’azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti.
- un soggetto, pubblico o privato, presta un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, di seguito servizio essenziale, laddove ponga in essere: attività strumentali all’esercizio di funzioni essenziali dello Stato; attività necessarie per l’esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica; attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.
I soggetti suddetti sono individuati tra gli operatori dei vari settori: interno, difesa, spazio e aerospazio energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche e enti previdenziali/lavoro.
Il Decreto prevede che, per ogni settore, il ministero di competenza agisca in quattro direzioni. Innanzitutto, l’amministrazione preposta deve individuare le funzioni e i servizi essenziali che dipendono da reti, sistemi informativi o sistemi informatici la cui interruzione possa compromettere la sicurezza nazionale.
Secondo, poi, con riguardo a una interruzione della funzione o del servizio essenziale, essa deve valutare l’estensione territoriale della funzione essenziale, il numero di utenti e le possibili ricadute economiche.
Quanto agli effetti di una compromissione della funzione o del servizio essenziale, l’amministrazione dovrà prendere in esame le conseguenze della perdita di disponibilità, integrità o riservatezza dei dati e delle informazioni trattati per il loro svolgimento.
Infine, è necessario valutare le possibilità di mitigazione per il ripristino dello svolgimento della funzione o del servizio in condizioni di totale sicurezza.
La terza direttiva prevede che il ministero di competenza individui le funzioni e i servizi essenziali per i quali, in caso di interruzione o compromissione, il pregiudizio per la sicurezza nazionale è massimo e le possibilità di mitigazione minime.
Infine, le amministrazioni sono tenute a individuare i soggetti che svolgono le funzioni indicate dalla terza direttiva.
L’art.5 del DPCM prevede che le amministrazioni predispongano una lista dei soggetti che svolgono funzioni e servizi essenziali e che la trasmettano al CISR tecnico (Comitato interministeriale per la sicurezza della Repubblica). La lista è contenuta in un atto amministrativo, adottato dal Presidente del Consiglio e periodicamente aggiornato.
Un elemento di novità è introdotto dall’art.6, il quale istituisce il Tavolo interministeriale, presieduto da un vice-direttore generale del DIS e chiamato a supportare il CISR tecnico nell’individuazione dei soggetti da includere nella lista e in ogni altra attività attribuita al CISR o al CISR tecnico dal decreto.
Il Tavolo è costituito da due rappresentanti di ciascuna amministrazione CISR, da un rappresentante per ciascuna delle due Agenzie, nonché da due rappresentanti degli altri Ministeri di volta in volta interessati, di cui almeno uno in possesso di competenze tecnico-specialistiche nella materia della sicurezza cibernetica.
Elemento, questo, che sottolinea la grande importanza delle capacità tecniche in un ambito in cui, invece, c’è grande carenza delle stesse.
Gli obblighi derivanti dall’inclusione nel Perimetro
Come previsto dal Decreto-legge del settembre 2019, il nuovo DPCM impone ai soggetti rientranti nel perimetro di sicurezza nazionale cibernetica una serie di obblighi per garantire un elevato livello di sicurezza.
In primis, i soggetti devono predisporre e aggiornare annualmente la lista dei beni ICT di rispettiva pertinenza.
I soggetti inclusi nel perimetro devono, poi, individuare i beni ICT necessari a svolgere la funzione o il servizio essenziale, al fine di:
- valutare l’impatto di un incidente sul bene ICT, in termini di operatività dello stesso e di compromissione della disponibilità, dell’integrità o riservatezza dei dati (CIA triad);
- valutare le dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti.
Infine, i soggetti devono individuare i beni ICT che, in caso di incidente, causerebbero l’interruzione totale dello svolgimento della funzione essenziale o del servizio essenziale.
L’art.9 sancisce che gli elenchi redatti vengano trasmessi alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione e al Ministero dello sviluppo economico, i quali li inoltrano al Dipartimento delle informazioni per la sicurezza (DIS), al fine di permettere le attività di prevenzione, preparazione e gestione delle crisi cibernetiche affidate al Nucleo per la sicurezza cibernetica (NSC), dipendente dal DIS.
La trasmissione degli elenchi di beni ICT avviene per il tramite di una piattaforma digitale costituita proprio presso il DIS.
Conclusioni
Il DPCM pubblicato in Gazzetta rappresenta sicuramente un tassello importante nella costruzione del perimetro di sicurezza nazionale cibernetica e, quindi, un grande passo in avanti per la “messa in sicurezza” dell’infrastruttura ICT.
Tuttavia, saranno i prossimi decreti, in particolare il secondo, a dare maggior slancio soprattutto sul piano operativo. Come ha sottolineato Stefano Mele, partner dello studio legale Carnelutti e presidente della Commissione cibernetica del Comitato atlantico italiano, il decreto rappresenta “un primo, fondamentale tassello. Ma il secondo sarà il più decisivo.”
I risultati concreti di un tale impianto normativo saranno visibili soltanto a medio termine, tra qualche anno. Nonostante ciò, è giusto sottolineare l’importanza della realizzazione di un policy framework in un ambito, quale quello cibernetico, fortemente sfuggente e difficile da racchiudere in un “perimetro”, date le sue caratteristiche.
Il decreto, quindi, dimostra un crescente interesse del governo italiano per la sicurezza informatica e una maggiore consapevolezza dei rischi, dall’interruzione della supply chain (da qui la necessità di proteggere le infrastrutture) alla fuga di dati, incrementati a causa della pandemia di COVID-19.