È passato oltre un anno – era settembre del 2019 – da quando il Governo Conte I annunciava la “nascita” del Perimetro cibernetico, un’impalcatura complessa e sofisticata per mettere in sicurezza reti e apparati al punto da essere balzata agli onori della cronaca internazionale come una misura “pioniera”, che addirittura ha anticipato alcune delle misure poi adottate dalla Commissione Ue.
Ma a oltre un anno di distanza il provvedimento è rimasto di fatto sulla carta: sui 4 Dpcm attuativi a cui va aggiunto un Dpr sul regolamento procedurale, solo uno dei Dpcm è stato licenziato, quello che ha definito parametri e confini e che rende operativo il Centro di valutazione e certificazione nazionale. Operativo per modo di dire però perché al momento tutto è fermo e si starebbe ancora lavorando all’individuazione dei 70 esperti di cybersecurity a seguito del bando pubblicato ad agosto 2020. Vero è – bisogna metterlo in conto – che la complessità del Perimetro cibernetico necessita comunque di tempi lunghi e anche una volta che sarà completato l’iter normativo comunque ci vorrà molto tempo prima che la misura entri nella fase “a regime”.
Ieri è stato dato parere favore alla Camera al secondo dei Dpcm, quello che punta a un periodo di prova per la fase operativa del sistema di invio di notifiche a carico degli operatori in caso di incidenti informatici. Ma il provvedimento dovrà ora essere approvato dal Consiglio dei ministri per poi andare in Gazzetta ufficiale, dunque l’iter non è concluso.
E all’appello mancano i due Dpcm attuativi sulla base di quanto disposto dall’articolo 1 commi 6 e 7, alias la definizione delle categorie di beni Ict soggetti a notifica e la decisione sugli accreditamenti dei laboratori privati per ampliare i soggetti – rispetto al Cvcn – che potranno effettuare le verifiche tecniche.
In corso di discussione il Dpr – approvato in fase preliminare da un Cdm del precedente Governo ma manca il parere delle Camere e dunque è ancora tutto da costruire -che rappresenta il “cuore” del perimetro considerato che riguarda il regolamento procedurale che definisce, fra gli altri, anche i compiti del Cvcn e le modalità operative di verifica.
Se è vero che in attesa delle misure l’Italia vanta comunque direttive e misure di riferimento con il Golden Power e la direttiva Nis, è anche vero che il perimetro cibernetico è necessario per andare a sistematizzare la strategia normativa di cybersecurity nazionale anche e soprattutto in considerazione dell’evoluzione dello scenario a cui si è assistito negli ultimi anni, legato in particolare all‘avvento del 5G. E peraltro secondo quanto risulta a CorCom nell’ambito della revisione della Direttiva Nis pare che la Commissione Ue voglia far convogliare nella Nis2 gli articoli del Codice delle Comunicazioni elettroniche relativi alla sicurezza delle reti e più in generale alla sicurezza cibernetica. Di fatto andando a costituire un quadro di riferimento simile a quello del Perimetro cibernetico italiano.
