“Assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende una funzione essenziale dello Stato dal cui malfunzionamento o interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”: questi gli obiettivi messi nero su bianco nello “Schema di disegno di legge in materia di perimetro di sicurezza nazionale cibernetica” di cui Corcom è entrato in possesso. Disegno che segue e fa il paio con la nuovo decreto legge sul Golden Power che dopo la pubblicazione in Gazzetta ufficiale si prepara per l’iter parlamentare (secondo quanto risulta a CorCom la relatrice sarà la senatrice dei 5Stelle Laura Bottici).
È affidato al Cvnc (Centro di valutazione e certificazione nazionale) il processo di verifica delle attività portate avanti dai “soggetti inclusi nel perimetro che intendano procedere all’affidamento di forniture di beni e servizi Ict destinati a essere impiegati sulle reti, sui sistemi e per i servizi rilevanti”. La valutazione del rischio – si legge nella relazione illustrativa – viene effettuata in ottica di gradualità “limitando le procedure più onerose in termini di tempi e costi solamente alla componentistica più critica”. Mise e Agid le due autorità competenti rispettivamente per i soggetti privati e pubblici. Il Mise in particolare avrà poteri ispettivi e sanzionatori per i settori dell’energia, delle infrastrutture digitali e dei servizi digitali, sarà depositario dell’elenco degli operatori dei servizi essenziali e soprattutto sarà l’autorità di riferimento per i fornitori di servizi di comunicazione elettronica e l’organismo di certificazione e sicurezza informativa presso cui è stato istituito il Cvnc.
Agid e Mise svolgeranno attività di ispezione e verifica e impartiranno, laddove necessario le opportune prescrizione – previsto inoltre un articolato sistema sanzionatorio.
Sarà un Dcpm – da adottare su proposta del Cisr entro 6 mesi dall’entrata in vigore dalla legge – a individuare i soggetti rientranti nel perimetro e i criteri per la formazione degli elenchi delle reti, dei sistemi e dei servizi rilevanti. L’elaborazione dei criteri è affidata al Cisr-tecnico con la partecipazione di un rappresentante di Agid.
Un secondo Dcpm – da adottare su proposta del Cisr entro 12 mesi dall’entrata in vigore della legge – riguarda la previsione di termini e modalità attuative relative alle procedure di notifica degli incidenti, delle misure volte garantire un elevato livello di sicurezza delle reti e dei servizi rilevanti. Un regolamento ad hoc – da emanare sempre entro 12 mesi – riguarderà le comunicazioni al Cvcn che “entro 30 giorni può imporre condizioni, quali una certificazione di sicurezza informatica, e test di hardware e software sulla base di una valutazione del rischio, anche in relazione all’ambito di impiego e in un’ottica di gradualità”.
Previste anche assunzioni a tempo indeterminato “un contingente massimo di 57 unità reclutate dal Dipartimento della funzione pubblica” per il Mise, nel limite di spesa annua di 1 milione di euro per il 2019 e 3 milioni anni a decorrere dal 2020. Dieci le figure aggiuntive previste per l’Agid nel limite di spesa di 171mila euro per il 2019 e 512mila annui a decorrere dal 2020. Le assunzioni dovranno avvenire attraverso concorso pubblico.
