L'ANALISI

Perimetro di sicurezza nazionale, una delicata questione legislativa

Facciamo chiarezza sui principali aspetti legali correlati al perimetro di sicurezza nazionale e di come questi abbiano un carattere strategico e tecnico nella sua gestione. Non solo obbligo, ma anche opportunità

31 Gen 2022
M
Giampiero Muccioli

Legal consultant P4I – Partners4Innovation

L’imponente corpus legislativo che è stato messo in piedi negli ultimi due anni dal Governo italiano, se pur ancora non completo, trova fondamento nella necessità di tutela delle attività dell’ente Statale per la sua stessa sopravvivenza. Lo stesso art. 1 del Decreto Legge 21 settembre 2019, n. 105 convertito in L. 18 novembre 2019, n. 133 afferma che “ al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale è istituito il perimetro di sicurezza nazionale cibernetica”.

Perimetro di sicurezza nazionale cibernetica, in Gazzetta ufficiale tutti i beni e servizi inclusi

L’obbligo di informazione

In concreto, l’Ente Statale ha l’obiettivo di “fotografare” una situazione attuale e metterla immediatamente in sicurezza mediante gli obblighi previsti di comunicazione degli elenchi dei beni e servizi ICT, e di notifica di eventuali incidenti, nonché quella di avviare un processo virtuoso di implementazione continua in una sinergia tra soggetti inclusi nel perimetro e apparato pubblico.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Si tratta di obblighi di informazione nei confronti di autorità preposte, le quali dovrebbero permettere allo Stato di utilizzare efficacemente i propri poteri di controllo ed intervento in caso sopraggiungano ragioni di sicurezza nazionale.

Struttura centrale del perimetro di sicurezza nazionale

La struttura centrale è costituita dal D. Legge 105 convertito poi nella L.18 novembre 2019, n. 133 che regolamenta le attività dei seguenti attori:

  • enti pubblici e privati aventi sede sul territorio nazionale da cui dipende l’esercizio di una funzione essenziale dello Stato ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;
  • comitato interministeriale per la sicurezza della Repubblica (CISR), che presenta le proposte dei DPCM adottati e che dovranno essere adottati;
  • centro di Valutazione e Certificazione Nazionale (CVCN), istituito presso l’Agenzia per la Cybersicurezza nazionale il quale si occupa di assicurare le garanzie di sicurezza e l’assenza di vulnerabilità di prodotti, hardware e software destinati a essere impiegati sulle reti, sui sistemi informativi e servizi informatici degli attori del perimento di sicurezza cibernetica. Il CVCN si occupa di effettuare verifiche e test nel caso in cui gli enti pubblici e privati di cui sopra intendano affidare forniture di beni, sistemi e servizi ICT.

Perimetro di sicurezza nazionale e DPCM

Inoltre, il Decreto istitutivo il Perimetro di Sicurezza ha previsto l’emanazione di ben 4 DPCM. Ad oggi sono stati emanati 3 DPCM e un DPR, ognuno dei quali contribuisce a definire le regole che disciplinano gli obblighi derivanti dall’appartenenza al perimetro di sicurezza.

Il primo DPCM n. 131 del 30 luglio 2020 individua i parametri con cui sono individuati i soggetti che svolgono funzioni essenziali per lo Stato. L’individuazione di tali soggetti avviene mediante i criteri di “funzione essenziale”, “servizio essenziale” e “gradualità”. Il Decreto, quindi, individua i settori di priorità a cui appartengono i soggetti inclusi nel Perimetro; istituisce un tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica a supporto del CISR (Comitato interministeriale per la sicurezza della Repubblica).

In applicazione del criterio di gradualità sono compresi nel perimetro tutti quei soggetti operanti nel settore governativo, nonché tutti i soggetti pubblici o privati che operano nei seguenti settori:

  1. interno;
  2. difesa;
  3. spazio e aerospazio;
  4. energia;
  5. telecomunicazioni;
  6. economia e finanza;
  7. trasporti;
  8. servizi digitali;
  9. tecnologie critiche.

Obblighi per i soggetti compresi nel perimetro

Tra gli obblighi principali previsti in capo a tali soggetti, il primo DPCM impone la predisposizione e l’aggiornamento, almeno annuale degli elenchi dei beni ICT di rispettiva pertinenza, con l’indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono. Sul punto rimane ancora non chiaro, ad esempio, quali siano le condizioni di modifica minime che implicherebbero l’obbligo di notifica di aggiornamento degli elenchi.

Ciò va letto anche alla luce del reato introdotto dal Decreto-legge 105 all’art. 1 co.11 secondo cui chi fornisce informazioni, dati o elementi di fatto non corrispondenti al vero od omette di comunicare entro i termini prescritti i dati, informazioni o elementi di fatto, è punito con la reclusione da uno a tre anni.

Il secondo DPCM n. 14 aprile 2021, n. 81 individua, mediante le tabelle allegate, le categorie gli incidenti aventi impatto sui beni ICT (Information and Communication Technologies). La classificazione è funzionale alla individuazione della tempistica delle comunicazioni al CSIRT che la norma impone ai soggetti individuati nel perimetro di sicurezza. I termini a riguardo sono molto stringenti e l’appartenenza ad una o all’altra categoria di incidente implica l’obbligo di comunicazione entro 1h per i casi più gravi e 6h per i casi meno gravi.

L’obbligo è in vigore dal primo gennaio 2022.

La questione della notifica degli incidenti

Anche in questo caso risultano tuttavia non chiare alcune circostanze relative alla notifica degli incidenti. Gli allegati infatti prevedono due tabelle la cui indicazione degli incidenti è un numerus clausus, lasciando però l’operatore nel legittimo dubbio di notifica di incidenti che, seppur non appartenenti ad alcuna categoria possano essere classificati come significativi. La notifica volontaria, quale ulteriore strumento previsto dalla norma, infatti, rischierebbe di generare un surplus di comunicazioni anche alla luce della previsione di cui all’art. 1 comma 9 lett.b) del Decreto-legge 105 secondo cui “il mancato adempimento dell’obbligo di notifica di cui al comma 3, lettera a), nei termini prescritti, è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000”. Inoltre, il secondo DPCM indica nell’Allegato B le misure di sicurezza che i soggetti inclusi nel perimetro devono adottare per ciascun bene ICT di rispettiva pertinenza.

Il terzo Decreto, sottoforma di Decreto del Presidente della Repubblica n. 54 del 5 febbraio 2021 individua le procedure, le modalità e i termini da seguire per l’acquisizione, da parte dei soggetti inclusi nel perimetro, di oggetti di fornitura. Inoltre, individua le modalità e i termini entro cui le Autorità competenti effettuano attività di verifica e ispezione. Il decreto è letto in combinato disposto con il successivo DPCM del 15 giugno 2021 che individua le categorie di beni ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica.

Affidamento e acquisto di beni

Tra gli obblighi sicuramente più impattanti sull’organizzazione aziendale, inoltre, vi è quello di comunicazione degli affidamenti o all’acquisto di beni.

Il DPR n.54 definisce un’articolata procedura di rapporti tra i soggetti individuati nel perimetro di sicurezza e le Autorità competenti con particolare riguardo questa volta a tutte le acquisizioni di oggetti di fornitura di beni, sistemi e servizi ICT rientranti nelle categorie individuate effettuate dai soggetti che rientrano nel perimetro. Ed infatti l’art. 3 del DPR afferma che i soggetti inclusi nel perimetro, prima dell’avvio delle procedure di affidamento o prima della conclusione dei contratti relativi alla fornitura di beni, sistemi e di servizi ICT anche nel caso in cui tali procedure siano espletate attraverso le centrali di committenza, ne danno comunicazione al CVCN o ai CV. Si ricorda a tal proposito che i CVCN sono istituiti presso il Ministero dello Sviluppo economico, mentre i CV presso i Ministeri dell’Interno e della Difesa.

Le categorie di beni sono individuate nell’allegato 1 del terzo DPCM del 15 giugno 2021.

Il processo quindi si articola in tre fasi:

  1. Verifiche preliminari (il cui termine è di 45 giorni prorogabili una volta di altri 15 giorni)
  2. Fase di preparazione all’esecuzione dei testi
  3. Esecuzione dei test di hardware e di software (Attività il cui termine è previsto in 60 giorni)

Durante questo periodo il soggetto incluso nel perimetro si vedrà costretto a sospendere l’attività contrattuale in attesa dell’esito delle verifiche che potrebbero comportare l’individuazione di specifiche clausole relative all’hardware o al software da inserire nel contratto o nel bando di gara.

A tal proposito sarà necessario dotare i CVCN di una imponente rete di strutture al fine di non rendere il sistema farraginoso e burocratico che rischierebbe di rallentare i processi di digitalizzazione del sistema Paese.

L’applicazione delle norme relative al perimetro di sicurezza nazionale cibernetica dovrà contemperare in primis la necessità di rafforzare il sistema economico ed istituzionale dell’Italia al fine di essere maggiormente competitivo sul piano mondiale ove, sempre più spesso le singole Nazioni sono messe in ginocchio dall’inadeguatezza delle proprie infrastrutture digitali.

17 novembre, milano
Spalanca le porte all’innovazione digitale! Partecipa a MADE IN DIGItaly
@RIPRODUZIONE RISERVATA

Articolo 1 di 3