È stato pubblicato in Gazzetta Ufficiale il Dpcm che individua la platea di operatori che rientrano nel perimetro cibernetico, ossia nel sistema di difesa nazionale.
Il provvedimento individua i criteri tramite i quali i ministeri individuano i soggetti che svolgono funzioni essenziali per lo Stato. Nell’elenco che resterà riservato dovrebbero essere inseriti circa 150 operatori: se uno di questi dovesse essere vittima di un attacco cyber sarà obbligato a comunicarlo al Csirt entro 6 ore. Nel caso di intrusione grave si attiverà il Nucleo per la sicurezza cibernetica, presieduto da Roberto Baldoni, che propone al Presidente del Consiglio risposte adeguate e coordina il ripristino del servizio.
Una volta inserite nella lista “segreta” le aziende hanno sei mesi di tempo per fornire al governo la liste delle reti e degli hardware utilizzati che deve passare al vaglio del Centro di Valutazione e Certificazione nazionale, istituito presso il Mise per scoprire le vulnerabilità che gli hacker potrebbero sfruttare.
Per completare il perimetro cibernetico servono 2,5 miliardi che potrebbero arrivare con il Recovery Fund.
Cos’è il perimetro cibernetico
Il Perimetro di sicurezza nazionale cibernetica prevede nuovi obblighi per soggetti pubblici e privati che saranno definiti con futuri Dpcm; un Centro di valutazione e certificazione nazionale più forte, con poteri anche sulle forniture Ict; rafforzata la normativa sulla golden power, anche sulla forniture 5G. Questi i punti principali del decreto Cybersecurity approvato in prima lettura dalla Camera e che ora dovrà essere esaminato dal Senato.
Il Perimetro di sicurezza nazionale cibernetica è previsto “al fine di assicurare la sicurezza di reti, sistemi informativi e servizi informatici necessari allo svolgimento di funzioni o alla prestazione di servizi, dalla cui discontinuità possa derivare un pregiudizio alla sicurezza nazionale”. Un dpcm successivo dovrà decidere quali soggetti – pubblici e provati – far rientrare nel perimetro.
Chi farà parte del Perimetro dovrà compilare un elenco delle reti e dei sitemi sensibili. Un altro dpcm dovrà specificare le procedure di segnalazione degli incidenti e le misure di sicurezza che i soggetti del Perimetro dovranno adottare. Tutte le forniture Ict, inoltre, dovranno superare il vaglio del Centro di valutazione e certificazione nazionale (Cvcn).
Le nuove disposizioni sul Perimetro di sicurezza nazionale si applicheranno anche ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G.
Nel dettaglio la nuova normativa si applicherà alle imprese operanti nel 5G già soggette all’obbligo di notifica previsto dalla legge sul golden power. La decisione se esercitare o meno i poteri speciali dovrà essere quindi presa “previa valutazione degli elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano”. Le autorizzazioni già rilasciate potranno essere riviste chiedendo “misure aggiuntive necessarie al fine di assicurare livelli di sicurezza equivalenti” prescrivendo anche, “ove indispensabile al fine di risolvere le vulnerabilità accertate, la sostituzione di apparati o prodotti”.
Il Governo potrà applicare i poteri speciali della golden power non solo sulle reti 5G ma anche sulle forniture ad alta intensità tecnologica funzionali alla loro realizzazione. Previsto quindi un obbligo di notifica entro 10 giorni dalla conclusione di un contratto o di un accordo di fornitura: sulla base della informativa il Governo potrà decidere se esercitare il potere di veto o chiedere l’adempimento di specifiche prescrizioni, che dovranno essere comunicate entro 30 giorni, salvo proroga di altri 20 giorni in caso sia necessario svolgere approfondimenti (la proroga può essere concessa una seconda volta solo in caso di particolari complessità). Decorsi i termini senza nessuna decisione da parte della presidenza del Consiglio i poteri speciali si intendono non esercitati.
