Il Perimetro di Sicurezza Nazionale Cibernetica, come da decreto appena approvato dal consiglio dei ministri, rappresenta senz’altro un passo in avanti importantissimo del Governo italiano verso la cristallizzazione di un approccio olistico alla sicurezza cibernetica.
I punti forti del decreto cyber
È sicuramente da apprezzare, infatti, l’idea di estendere l’applicazione del Framework per la Cybersecurity del CINI anche a quelle società private e a quegli enti pubblici e privati non ricompresi nell’applicazione della Direttiva NIS, ma comunque strategici per la sicurezza nazionale dell’Italia.
Oltre a ciò, il Perimetro di Sicurezza Nazionale Cibernetica deve essere visto come un decisivo passo in avanti anche perché, in linea con le richieste del ‘Cybersecurity Act’ dell’Unione europea, si prefigge anche di implementare attraverso il Centro di Valutazione e Certificazione Nazionale (CVCN) del MiSE un sistema di verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità di prodotti, apparati e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture ricomprese all’interno del Perimetro di Sicurezza Nazionale Cibernetica.
A tutto ciò è stata – giustamente – affiancata anche l’estensione del Golden Power alla stipula di contratti o accordi per l’acquisto di beni o servizi relativi alla progettazione, realizzazione, manutenzione e gestione delle nuovi reti di infrastrutture tecnologiche, ivi compreso quindi il tanto discusso 5G, che permette di aggiungere un pezzo al puzzle della sicurezza nazionale cibernetica che da solo non sarebbe decisivo, ma che, inserito nel Perimetro, risulta fondamentale e imprescindibile.
Le sanzioni
Non mancano – per fortuna – anche le previsioni che guardano ad un reclutamento mirato per la realizzazione di questo ambizioso progetto e i fondi stanziati affinché tutto ciò non resti solo un bel progetto su carta. Così come, ancora, non mancano delle consistenti previsioni sanzionatorie, che vanno dai duecentomila euro ad un milione e ottocento mila euro, ma ciò che più rileva, a mio avviso, è che, oltre alla sanzione pecuniaria amministrativa, ci sia finalmente una convergenza di alcune fattispecie di reato previste nel Perimetro di Sicurezza Nazionale Cibernetica con la normativa 231/2001 sulla responsabilità amministrativa delle persone giuridiche.
Il potere del Governo di spegnere una rete
A completamento di tutto, in caso di “rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e servizi”, l’art. 5 del Perimetro di Sicurezza Nazionale Cibernetica concede – direi finalmente – al Presidente del Consiglio dei Ministri il potere di disattivare, in modo parziale o totale, uno o più apparati o prodotti impiegati nelle reti e nei sistemi colpiti. L’articolo in questione è impeccabile sotto il punto di vista della tecnica di redazione normativa, in quanto nello spazio di poche parole riesce a ricomprendere ogni possible situazione, garantendo al Presidente del Consiglio un potere ampio, che, almeno a mio avviso, potrebbe riguardare anche il potere di ordinare una risposta e un contrattacco ad un attacco cibernetico subito (altrimenti non si spiegherebbe il richiamo al principio di proporzionalità inserito nel testo dell’art. 5).
Una governance comune
Il Perimetro di Sicurezza Nazionale Cibernetica rappresenta, allora, uno sforzo senza precedenti da parte del Governo italiano sulla strada della creazione di un ecosistema di governance e di responsabilità comune e condivisa nel settore della cybersecurity. Uno sforzo da accogliere con estrema positività, soprattutto alla luce dei veri e propri bollettini di guerra che ogni giorno vengono consegnati alle cronache e che parlano di continui attacchi informatici a tutte le nostre aziende e alla pubblica amministrazione per finalità criminali, di intelligence e di sottrazione del know-how pregiato, fino alla preparazione di eventuali operazioni militari cibernetiche contro la nostra Patria.
Il banco di prova dell’attuazione
Inevitabilmente, però, occorre aspettare il Perimetro di Sicurezza Nazionale Cibernetica al banco di prova dell’implementazione. Il progetto, infatti, è tanto ambizioso quanto complesso e non sarà facile, ad esempio, allineare le esigenze di controllo legate alla verifica da parte del CVCN delle condizioni di sicurezza e dell’assenza di vulnerabilità di prodotti, apparati e sistemi con i tempi pressanti del business delle nostre più importanti realtà industriali.
Tuttavia, ogni rivoluzione – soprattutto sul piano culturale da parte delle aziende e della pubblica amministrazione – porta con sé elementi di criticità, così come costi e incertezze. È qualcosa di endemico, ma che non deve scoraggiare. Soltanto così, infatti, potremmo immaginare un futuro davvero prossimo in cui poter affermare con certezza che la sicurezza cibernetica è ormai un valore per tutta la nostra realtà economica, oltre che il miglior strumento di competizione e di reputazione per il business delle nostre aziende in Italia, ma soprattutto all’estero.
