L’approvazione del decreto-legge sul perimetro nazionale della sicurezza cibernetica rappresenta un essenziale strumento di difesa nell’ambito strategico della cyber security, ma occorre ora accelerare sui provvedimenti attuativi e non trascurare il rafforzamento della collaborazione coi soggetti privati coinvolti.
Occorre inoltre, alla luce di tutti gli elementi che andremo a esaminare, evitare di limitare l’analisi dei rischi per la sicurezza nazionale alla provenienza dei fornitori delle apparecchiature della rete di accesso, come si è invece fatto nel recente dibattito e non solo a livello nazionale.
In questa fase è, certo, fondamentale garantire la sicurezza delle reti ma occorre ugualmente mantenere aperto il mercato e garantendo il deployment delle reti nei tempi previsti.
Quello della cyber sicurezza è infatti un tema strategico per la sicurezza ma è anche straordinariamente ricco di opportunità per lo sviluppo economico, tanto più che il nostro Paese, come vedremo, si trova in una posizione di vantaggio competitivo in questo ambito.
La dipendenza dal cyber spazio
In termini generali possiamo affermare oggi l’esistenza di una dipendenza generale del sistema globale (politico, economico, finanziario militare e sociale) dalla nuova dimensione del cyberspazio.
E la rivoluzione digitale che ha interessato il sistema globale negli ultimi decenni, aumentando la pervasività del cyberspazio, ha segnato il passaggio del sistema internazionale da una struttura di potere sostanzialmente verticale a una struttura di tipo orizzontale, a rete.
Lo spazio cibernetico rappresenta dunque un network di copertura globale che è prima di tutto però un fondamentale fattore di crescita, di informazioni, di ricchezza.
Pensiamo alle innovazioni tecnologiche più importanti di questi ultimi anni: Internet delle cose, Big data elaborati con gli strumenti di supercalcolo, il machine learning, l’Intelligenza artificiale.
E poi le reti come fattore abilitante, in particolare con la rivoluzione del 5G che rappresenta una tecnologia performante ed innovativa che ridisegnerà dal profondo i servizi di connettività di tipo fisso e di tipo mobile, abilitando la diffusione pervasiva di oggetti che avranno la capacità di interagire con l’uomo, ma anche tra gli oggetti stessi condividendo le conoscenze acquisite. Impensabile fino a meno di un lustro fa.
Il vantaggio competitive dell’Italia sul 5G
Per quanto concerne più specificamente l’Italia, il nostro paese si trova in una prospettiva di vantaggio competitivo rispetto agli altri Stati europei. L’indice DESI 2019, prodotto annualmente dalla Commissione europea, e che vede l’Italia sempre a fondo classifica sugli altri indicatori digitali, ci colloca invece al secondo posto proprio in relazione allo stato di avanzamento della diffusione del 5G, grazie alla positiva collaborazione tra Stato e operatori di questi anni.
Realizzare una compiuta ed efficace trasformazione digitale del sistema produttivo ed economico nazionale rappresenta il maggior strumento che il Paese ha a disposizione con l’obiettivo di non perdere la sfida della competitività internazionale.
Le reti di telecomunicazioni a banda ultralarga sono la piattaforma abilitante di tale processo.
Per questo motivo la sicurezza di tale piattaforma è di cruciale importanza, sia per lo Stato, nella declinazione dei pubblici poteri, che per il settore privato, ad iniziare dagli stessi operatori di servizi essenziali che usano le reti.
La governance della cybersicurezza in Italia
Non siamo all’anno zero, anche se il primo passo verso un sistema unitario ed integrato di sicurezza cibernetica nazionale non è lontanissimo: nasce tra il 2012 e il 2013 con l’emanazione, dei due documenti programmatici e di indirizzo denominati Quadro Strategico e Piano Operativo.
Successivamente l’Architettura nazionale, emanata dal governo Gentiloni nel 2017, ha ridefinito la catena di comando e controllo, razionalizzando l’assetto della cyber security nazionale
Su questa complessa macchina organizzativa si sono innestate le diverse direttive Europee, dal regolamento generale sulla protezione dei dati n. 2016/679 meglio noto come GDPR alla Direttiva europea sulla sicurezza delle reti e dei sistemi informativi (cosiddetta “Direttiva Nis”), fino al Cybersecurity Act.
Quindi, l’attuazione in Italia della direttiva NIS attraverso il decreto legislativo n. 65 del maggio 2018.
Questo è dunque lo scenario sul quale si viene oggi a incastonare la nuova definizione di “Perimetro di sicurezza nazionale”.
Il rischio vero di questa materia era che eventuali norme poste a sicurezza del perimetro nazionale della rete potessero in qualche modo creare una certa criticità per gli investimenti.
Non è stato così perché il legislatore ha saputo svolgere la sua funzione. Molto utili sono state le audizioni che abbiamo svolto in commissione e inviterei tutti ad andare a consultare i documenti depositati. Essi sono di grande interesse ed aiutano a capire la portata del provvedimento in esame.
L’obiettivo del perimetro nazionale
L’obiettivo nella definizione del perimetro nazionale è stato quello di identificare e tutelare tutti quei servizi, e relativi operatori sia privati che pubblici, che svolgono un ruolo cruciale “per gli interessi dello Stato” ed i cui malfunzionamenti potrebbero dunque creare gravi pregiudizi per la sicurezza nazionale.
In particolare, il comma 2 dell’art.1 che demanda l’individuazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica ad un DPCM, entro quattro mesi dalla data di entrata in vigore della legge di conversione del decreto-legge, prevede grazie all’accoglimento di un emendamento del Pd e di altri gruppi politici, il parere delle competenti Commissioni parlamentari, da esprimere nel termine di 30 giorni, decorso il quale il decreto può essere comunque adottato.
Così come si rimette ad un regolamento da emanarsi con decreto del Presidente del Consiglio dei ministri, entro 10 mesi dalla data di entrata in vigore della legge di conversione del decreto-legge, la definizione delle procedure, delle modalità e dei termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica.
E ancora si stabilisce che i soggetti sopra indicati diano comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso Istituto Superiore della Comunicazioni e delle Tecnologie dell’Informazione del Ministro dello sviluppo economico, dell’intendimento di provvedere all’affidamento di tali forniture.
Anche in questo caso è stato raggiunto un importante risultato nel confronto governo-parlamento con la previsione di un meccanismo di silenzio assenso che autorizza il soggetto privato a procedere all’affidamento di beni e servizi nel caso in cui abbia svolto correttamente i test richiesti dal CVCN e non abbia ottenuto il riscontro nei termini di legge.
C’è infine l’emendamento del governo, il 4bis che va a modificare il decreto-legge n. 21 del 2012 che disciplina i poteri speciali inerenti alle reti di telecomunicazione elettronica a banda larga con tecnologia 5G, con norme analoghe a quelle previste dal decreto-legge n. 64 del 2019 (decaduto), sebbene con alcune integrazioni e differenze.
Anche su questo articolo si è ottenuto un primo positivo risultato nel confronto governo commissioni in sede referente, con un accorciamento significativo delle tempistiche procedimentali in linea con le esigenze istruttorie della PA ma compatibili con i cicli degli investimenti privati, così come si è espressa previsione di forme di coordinamento tecnico pubblico-privato in fase di attuazione del decreto.
Gli elementi su cui riflettere
Da questa prima impostazione emergono però due elementi su cui bisognerà riflettere anche successivamente e che sarà fondamentale impostare al meglio, per realizzare un sistema efficace che non penalizzi la velocità di realizzazione delle reti 5G nel Paese:
- Il rispetto della previsione di provvedimenti attuativi che definiscono elementi cruciali del sistema;
- La necessaria collaborazione dei soggetti obbligati, che in gran parte saranno soggetti di mercato.
La collaborazione con i soggetti obbligati, a maggior ragione se operatori di mercato, è strumento essenziale affinché l’amministrazione possa raccogliere le informazioni rilevanti necessarie, ma anche affinché gli stessi operatori siano messi in un contesto normativo prevedibile, che consenta loro di non penalizzare le attività ordinarie a causa dei requisiti di sicurezza.
Rischi per la sicurezza: il problema non è solo la provenienza dei fornitori
Alla luce della vastità e della complessità delle reti 5G e della superficie di attacco, credo che sia riduttivo limitare l’analisi dei rischi per la sicurezza nazionale alla provenienza dei fornitori delle apparecchiature della rete di accesso, come avvenuto nel dibattito recente.
La sicurezza deve valere per tutti, a prescindere.
Deve funzionare il sistema così come si sta disegnando anche grazie a questo decreto.
D’altra parte abbiamo forse guardato la provenienza del Paese di origine del fornitore del motore di ricerca quando le nostre vite e la nostra reputazione sono state profilate e indicizzate, o quando abbiamo affidato i nostri dati privati alle piattaforme social?
Nelle ultime due settimane con questo provvedimento e con la mozione sul 5G approvata da questa Camera abbiamo la prova provata che queste materie sono sempre di più centrali anche nel dibattito pubblico e che finalmente possiamo uscire fuori da una logica neoluddista per affrontare davvero le sfide del futuro.
Cosa resta da fare
Di strada da percorrere ce ne è ancora molta. Mi riferisco ad esempio alla grande questione dell’alfabetizzazione digitale, al rafforzamento degli investimenti in formazione, al ruolo delle scuole per le giovani generazioni, all’applicazione di normative che abbiamo adottato a partire dal 2016 e che non sono effettivamente operative. Penso al grande tema della pubblica amministrazione. Tutte criticità che erano oggetto anche di parti della relazione conclusiva della commissione d’inchiesta che avevamo approvato nella scorsa legislatura.
Possiamo però dire che con questo provvedimento il nostro Paese vede sicuramente rafforzarsi le difese “immunitarie” in un ambito molto delicato e giunge, per una volta, nei tempi opportuni e non in fase emergenziale.
