“Riteniamo utile ridefinire alcune competenze dell’Agid in materia, redistribuendole sul nascente Dipartimento per la Trasformazione digitale, anche in funzione della caratteristica di struttura altamente tecnica che si intende dare a quest’ultimo”. A dirlo è stata la ministra per l’innovazione tecnologica e la digitalizzazione, Paola Pisano, in audizione nelle commissioni Affari costituzionali e Trasporti sul decreto perimetro cibernetico. La ministra ha quindi precisato che il nuovo diparimento assorbe “le competenze di Agid e quindi ci avvaliremo anche del suo personale tecnico. Ad oggi stiamo facendo un assessment, che si concluderà il 30 ottobre, per capire quali sono le criticità e le competenze che ha sviluppato l’ente”.
“Il nascente Dipartimento della Trasformazione digitale si preoccuperà di adempiere con la massima cura e attenzione ai compiti che la normativa ci affida – ha continuanto la ministra – In particolare: continueremo a sviluppare la consapevolezza dei rischi legati alla sicurezza delle informazioni nelle amministrazioni, condividendo buone pratiche ed elaborando le necessarie misure si sicurezza da adottare in ambito pubblico; raccoglieremo le informazioni relative alle reti e ai sistemi informativi delle amministrazioni al fine di informare il dipartimento sulla sicurezza sulle infrastrutture digitali che sono esposte a rischio”.
E ancora, ha continuato Pisano: “Adotteremo strumenti tecnologici innovativi per raccogliere e gestire le notifiche di incidenti aventi impatto sulle reti, sistemi e servizi informatici dei soggetti pubblici; incoraggeremo la diffusione delle pratiche di valutazione e trattamento del rischio; lavoreremo congiuntamente al Centro di valutazione e certificazione del Mise e al Centro di valutazione del ministero della Difesa per intervenire nel caso di mancata collaborazione dei fornitori di tecnologie alle attività di test previste dalla normativa in relazione alle forniture e servizi di prodotti Ict destinati a soggetti pubblici all’interno del Perimetro nazionale; collaboreremo nelle attività ispettive, di verifica e adozione di eventuali conseguenti prescrizioni mettendo in campo tutte le risorse e le molteplici competenze di cui disponiamo”.
Cosa prevede il decreto sul perimetro cibernetico
Il decreto recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica è stato licenizato dal Cdm del 18 settembre Sarà la Presidenza del Consiglio e non più l’Agenzia per l’Italia digitale (come nella prima versione che era un ddl) ad occuparsi di svolgere le attività di ispezione e verifica del rispetto dell’adozione delle norme a tutela della sicurezza da parte dei soggetti pubblici, mentre resta al Mise la responsabilità per i soggetti privati.
Il decreto, “considerata la straordinaria necessità ed urgenza” – si legge nel documento – sostituisce il precedente disegno di legge. E fra le maggiori novità c’è il passaggio delle competenze di verifica e controllo alla Presidenza del Consiglio dei ministri, nel ddl affidate all’Agid. Se è vero che non si fa esplicito riferimento al neo-costituito Dipartimento per la Trasformazione digitale, la cui squadra è tutta da fare, Pisano ha oggi confermato che funzioni convergeranno nella nuova struttura. La Presidenza del Consiglio potrà però avvalersi, è scritto nero su bianco nel nuovo provvedimento, dell’Agenzia per l’Italia digitale. Nessun cambiamento numerico in merito alle assunzioni: 57 le risorse assumibili a tempo indeterminato in seno al Mise, mentre le 10 previste per Agid passano alla Presidenza del Consiglio.
Il Centro di valutazione e certificazione nazionale (Cvcn) istituito presso il Mise può entro 30 giorni imporre condizioni e test di hardware e software.
È fissata a quattro mesi la deadline per individuare le amministrazioni pubbliche, gli enti e gli operatori pubblici e privati che devono entrare a far parte del cosiddetto perimetro cibernetico, a garanzia della sicurezza di reti e servizi considerati “strategici”. Aggiornamento annuale dell’elenco delle reti, dei sistemi informativi e dei servizi informatici. Dieci mesi di tempo per definire le procedure secondo cui i soggetti che fanno capo al perimetro notificano gli incidenti che hanno impatto su reti, sistemi e servizi.
