Cybersecurity: chi entra nel perimetro di sicurezza nazionale?
Pubblicato in Gazzetta ufficiale il regolamento che definisce i criteri e le modalità per individuare i soggetti da includere nel perimetro di sicurezza nazionale cibernetica.
> Digital Europe: da Bruxelles a Roma, idee per non restare indietro
Cos'è il perimetro di sicurezza nazionale cibernetica
Il perimetro di sicurezza nazionale cibernetica - i cui confini normativi sono definiti dalla legge n. 133-2019 (conversione in legge del dl n. 105-2019) - intende assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale.
Oltre a dettare le modalità e le procedure per l'istituzione del perimetro di sicurezza nazionale cibernetica, la legge-133-2019 interviene anche su procedure, modalità e termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, che intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT, destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici (individuati nell'elenco trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico).
Sono poi individuati alcuni compiti del Centro di valutazione e certificazione nazionale (CVCN), con riferimento all'approvvigionamento di prodotti, processi, servizi di tecnologie dell'informazione e della comunicazione (ICT) e associate infrastrutture, nel caso in cui siano destinati a reti, sistemi informativi, sistemi informatici ricompresi nel perimetro di sicurezza nazionale cibernetica.
Allo stesso tempo sono determinati alcuni obblighi per: gli operatori dei servizi essenziali; i fornitori di servizi digitali; le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, inclusi nel perimetro di sicurezza nazionale cibernetica.
È anche previsto che il Presidente del Consiglio - su deliberazione del Comitato interministeriale per la sicurezza della Repubblica (CISR) - possa disporre la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l'espletamento dei servizi interessati. Entro 30 giorni il Presidente del Consiglio è tenuto a informare il Comitato parlamentare per la sicurezza della Repubblica (Copasir) delle misure disposte.
E' stata infine disposta l'istituzione di un Centro di valutazione (CEVA) presso il Ministero dell'interno il quale, insieme a quello del Ministero della difesa, risulta accreditato presso il Centro di Valutazione e certificazione nazionale (CVCN) ed è tenuto ad impiegare metodologie di verifica e test quali definiti dal medesimo CVCN. Con DPCM saranno inoltre definiti gli obblighi di informativa di tali Centri con il CVCN.
Il provvedimento prevede anche un articolato sistema sanzionatorio per i casi di violazione degli obblighi previsti ed individua le autorità competenti all'accertamento delle violazioni e all'irrogazione delle sanzioni.
Quali soggetti sono inclusi nel perimetro? Ecco il regolamento
Con il DPCM n. 131 del 30 luglio 2020, pubblicato sulla Gazzetta ufficiale n. 261 del 21 ottobre 2020, è stato approvato il regolamento in materia di perimetro di sicurezza nazionale cibernetica, che stabilisce:
- le modalità e i criteri procedurali di individuazione dei soggetti (amministrazioni pubbliche, enti e operatori pubblici e privati) inclusi nel perimetro di sicurezza nazionale cibernetica, tenuti al rispetto delle misure e degli obblighi previsti dal dl 105-2019;
- i criteri con i quali i soggetti inclusi nel perimetro predispongono e aggiornano l'elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica.
Per l'individuazione dei soggetti da includere nel perimetro, le amministrazioni (Ministero dell'interno, Ministero della difesa, Ministero dello sviluppo economico, Ministero dell'economia e delle finanze ecc) predispongono una lista di soggetti - indentificando funzioni e servizi essenziali - e la trasmettono al CISR tecnico.
L'elenco dei soggetti inclusi nel perimetro sarà contenuto in un atto amministrativo, adottato e periodicamente aggiornato dal Presidente del Consiglio dei ministri, su proposta del CISR.
Il regolamento istituisce anche il Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica, che supporteà il CISR tecnico.
Per quanto riguarda l'elenco delle reti e dei servizi informatici, i soggetti inclusi nel perimetro dovranno predisporlo e aggiornarlo con cadenza almeno annuale.