L'AUDIZIONE

Perimetro cibernetico, Confindustria Digitale: “Grace period per risolvere le criticità”

Il presidente Cesare Avenia in audizione alla Camera: “Invece che sanzioni automatiche sarebbero opportune azioni correttive mandatorie”. E sulle responsabilità relative a potenziali vulnerabilità dei sistemi chiarire se sono del fornitore, del committente o del system integrator

Pubblicato il 07 Ott 2019

avenia

Un provvedimento “estremamente importante per il nostro Paese: la sicurezza è un obiettivo strategico del Paese condiviso da tutte le imprese operanti nel comparto dell’Ict”. In Commissione Trasporti e Tlc della Camera, il presidente di Confindustria Digitale Cesare Avenia, apprezza lo sforzo fatto dal legislatore sul decreto Legge recante norme in materia di “Perimetro di sicurezza nazionale cibernetica (Snc). “Fermo restando il giudizio positivo appena espresso – ha spiegato Avenia – il DL 105/2019 contiene una serie di prescrizioni che necessitano di chiarimenti e specificazioni ai fini di consentirne un’applicazione certa e univoca”.

La platea dei soggetti

Secondo Confindustria Digitale, un primo aspetto di criticità riguarda l’individuazione puntuale della platea dei soggetti ricadenti nel perimetro di Snc. “Sarà estremamente importante dettagliare, in sede di emanazione del Dpcm di attuazione, il criterio che porterà ad individuare i soggetti dell’elenco (pubblici e privati) obbligati al rispetto delle prescrizioni – ha spiegato Avenia – Infatti non si può non osservare come attualmente il testo del decreto fissi criteri particolarmente inclusivi che potrebbero far rientrare nel perimetro praticamente tutte le società impegnate, a qualunque titolo, nell’erogazione di prestazioni essenziali e/o strategiche per lo Stato, quali l’energia e i trasporti, ma anche la progettazione e l’esecuzione di infrastrutture”.

Le misure per la prevenzione dei rischi per la sicurezza

“L’adozione di appropriati sistemi di sicurezza – ha sottolineato il presidente di Confindustria Digitale – si basa innanzitutto sull’analisi, anche dinamica nel tempo, dei rischi connessi al funzionamento di reti, sistemi, apparati, e all’analisi dei rischi si deve associare la definizione di misure atte a mitigare gli impatti attesi, nel caso il rischio si materializzasse. Le contromisure adottate sono dunque caratterizzate dal principio di proporzionalità rispetto ai rischi identificati”. Secondo Avenia occorre quindi adottare “un principio di proporzionalità che consenta di focalizzare le risorse laddove queste hanno il più alto valore, assicurando l’efficienza e massimizzando l’efficacia dei sistemi di sicurezza”. Di qui l’auspicio che si istauri una collaborazione continuativa, tra Autorità di sicurezza e aziende del comparto Ict, in tutte le fasi di definizione delle regole e la loro attuazione.

Le attività del Centro di Valutazione e Certificazione Nazionale (Cvcn)

Il decreto introduce un’attività di verifica da parte del  che non è chiaro se debba essere assolto prima o dopo una procedura di selezione del fornitore. “Non è chiaro se il Cvcn agirà ex ante, anche divulgando linee guida per gli approvvigionamenti, o se opererà in una logica ex post – ha evidenziato il manager In quest’ultima ipotesi appare chiaro che l’aggravio temporale sull’implementazione delle forniture rischia di essere notevole. Nel caso di procedure ad evidenza pubblica è legittimo domandarsi se la fase di valutazione si svolga prima dell’indizione della gara stessa o invece nella fase di aggiudicazione. E’ legittimo anche domandarsi quale possa essere il livello di approfondimento delle verifiche”.

“La delicatezza di questa tema risulta evidente nel caso di approvvigionamenti che riguardino un sistema: si certifica il sistema o i suoi componenti? – ha proseguito – E se un componente è richiesto dal committente fino a che livello se ne deve conoscere la struttura? Il problema è di tutta evidenza quando si tratti di chipset inseriti in sistemi”. Infine da chiarire di chi è la responsabilità se un determinato componente in futuro rivela una vulnerabilità: del fornitore che lo ha prodotto, oppure del committente che lo ha specificamente richiesto, oppure del system integrator che lo ha inserito nel sistema, o ancora del centro di verifica e certificazione? “La definizione del livello delle attività di verifica ha implicazioni molto rilevanti – ha incalzato Avenia – In primo luogo per la mole di lavoro che rischia di essere demandata al Cvcn, con ovvie conseguenze in tema di strutturazione del Cvcn e di investimenti necessari per reperire personale con competenze adeguate, competenze che oggi le imprese del settore faticano a trovare nel mercato del lavoro”.

Ma il livello delle attività di verifica ha rilevantissime implicazioni anche dal punto di vista della tutela della proprietà intellettuale e industriale: si pensi alla criticità per una impresa del settore di dover rivelare a una terza parte dettagli di soluzioni tecniche, che qualora il Cvcn dovesse operare ex ante verrebbero rivelati in fase di offerta in procedure di gara. “Vi è anche la necessità di capire se il Cvcn nell’ambito delle attività di verifica renderà pubbliche o comunque disponibili alle imprese i criteri di certificazioni e le check list.

E’ essenziale che i livelli di sicurezza siano ispirati ai criteri e agli standard definiti a livello internazionale, che sia riconosciuto valore alle certificazioni internazionali di cui le imprese si avvalgono a livello globale, e che le procedure di verifica siano semplici e abbiano tempi certi e contingentati”.

Le forniture alle PA

Il decreto prevede espressamente che “i relativi bandi di gara e contratti sono integrati con clausole che condizionano, sospensivamente ovvero risolutivamente, l’affidamento ovvero il contratto al rispetto delle condizioni e all’esito favorevole dei test disposti dal Cvcn”. Tuttavia Confindustria Digitale si domanda se il legislatore abbia adeguatamente soppesato l’incidenza di tale previsione sui processi di approvvigionamento. “Ulteriore aspetto con riguardo alle forniture agli enti pubblici che merita di essere approfondito è quello relativo all’aggravio di attività e di costi che rischia di abbattersi sulle imprese fornitrici di sistemi, soluzioni e apparati, aggravio che potenzialmente rischia di pesare in maniera particolare sulle Pmi, di fatto limitandone fortemente la capacità di partecipazione alle gare pubbliche per forniture che rientrino nel perimetro di sicurezza cibernetica nazionale”.

Le sanzioni

Le disposizioni contenuti nei commi da 9 a 14 prevedono esclusivamente sanzioni amministrative e pecuniarie che scattano quando sia verificata una vulnerabilità delle reti. “Sarebbe quantomeno opportuno prevedere un meccanismo che, anziché comminare una sanzione in maniera automatica – ha detto – preveda invece una  richiesta di azioni correttive mandatorie, eventualmente con un grace period per risolvere le criticità riscontrate,  prima di comminare una sanzione e/o imporre una disattivazione del servizio”.

A quest’ultimo riguardo  Avenia ha segnalato na ulteriore criticità rappresentata dalla norma contenuta nell’art.3, comma 3,  che prevede che le condizioni e prescrizioni definite nelle autorizzazioni già rilasciate possano essere riviste ed integrate in un periodo successivo entro 60 giorni dall’entrata in vigore del Dpcm, che stabilirà le “misure volte a garantire elevati livelli di sicurezza anche prevedendo, ove necessario, la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza.”

“Tale previsione di fatto introduce elementi di forte incertezza per quei soggetti che, pur avendo avuto l’autorizzazione per le operazioni effettuate e agendo nel pieno rispetto delle prescrizioni ed obblighi precedentemente adempiuti, si troverebbero a dover modificare le proprie reti e sistemi con gravi difficoltà operative e significativi costi incrementali”, ha concluso.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati