Le istanze di sicurezza legate al momento geopolitico e al conflitto russo-ucraino hanno spinto il Governo a dare una sterzata al concetto di sicurezza nazionale cibernetica.
Gli obblighi di notifica attualmente previsti per gli incidenti aventi impatto su beni destinati a essere impiegati nel Perimetro di sicurezza nazionale cibernetica (beni ICT), saranno infatti estesi anche agli incidenti che intervengono su reti, sistemi informativi e servizi informatici che si trovano al di fuori del Perimetro, ma che sono di pertinenza di soggetti inclusi nel Perimetro.
Prevista poi la possibilità per il Presidente del Consiglio di autorizzare l’attuazione di misure di intelligence di contrasto in ambito cibernetico.
Cybersicurezza, l’Ue accelera: norme, obiettivi e prossimi step
Vediamo cosa cambia nella sostanza.
Il Perimetro di sicurezza nazionale cibernetica
Il Perimetro di sicurezza nazionale cibernetica nasce con il concetto che sia possibile “identificare e designare i servizi inerenti alla sicurezza cyber nazionale” in modo univoco, chiaro e indipendente, per ciascun servizio, dal mondo che lo circonda.
Questa convinzione non è nuova. Ci siamo già passati nel primo decennio di questo millennio, quando abbiamo fondato la teoria e la disciplina della protezione delle infrastrutture critiche a livello mondiale ed europeo. E già allora siamo addivenuti (si guardi la direttiva 114/08 dell’Unione Europea e le sue definizioni) a decidere che la forma più semplice e più sostenibile di identificazione della criticità si doveva legare alla figura di un operatore, quindi a una ragione giuridica con capacità di rappresentanza.
Il PSNC ha poi risposto alla istanza di identificazione e designazione con il concetto di “servizio”, atto a limitare l’interezza del coinvolgimento dell’operatore. Tuttavia, se il Decreto Aiuti bis resterà invariato, si torna a guardare all’interezza dell’operatore quanto meno per le notifiche degli attacchi.
Notifiche degli attacchi: le novità del Decreto aiuti bis
Infatti, l’articolo 37 quater della conversione in legge, con modificazioni, del decreto-legge 9 agosto 2022, n. 115, recante misure urgenti in materia di energia, emergenza idrica, politiche sociali e industriali, introdotto al Senato, estende gli obblighi di notifica attualmente previsti per gli incidenti aventi impatto su beni destinati a essere impiegati nel Perimetro di sicurezza nazionale cibernetica (beni ICT), anche agli incidenti che intervengono su reti, sistemi informativi e servizi informatici che si trovano al di fuori del Perimetro, ma che sono di pertinenza di soggetti inclusi nel Perimetro. Viene fatta salva la disciplina vigente per gli incidenti a reti del Ministero della difesa.
La novità consiste nel fatto che i soggetti facenti parte del Perimetro di sicurezza nazionale cibernetica dovranno notificare, entro 72 ore dall’avvenimento, gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza anche diversi da quelli che riguardano direttamente i beni specificamente inseriti nel Perimetro stesso.
Le novità in tema di adozione di misure di intelligence di contrasto in ambito cibernetico
L’articolo 37 prevede poi che il Presidente del Consiglio dei ministri possa autorizzare l’adozione di misure di intelligence di contrasto in ambito cibernetico, in caso di crisi o emergenza, anche con la cooperazione del Ministero della difesa. Le misure sono attuate dall’Agenzia informazioni e sicurezza esterna e dall’Agenzia informazioni e sicurezza interna, con il coordinamento del Dipartimento delle informazioni per la sicurezza. Il Presidente del Consiglio dei ministri informa il Copasir delle misure adottate. A sua volta il Copasir dopo 24 mesi trasmette alle Camere una relazione sull’efficacia delle suddette norme.
L’articolo 37 quater ci fa quindi tornare alla “antica” definizione di operatore di servizio fondamentale (o di infrastruttura critica) e riunisce le istanze in una: se sei un operatore appartenente al perimetro di sicurezza nazionale devi comunicare qualsiasi attacco entro un tempo predeterminato che si ritiene idoneo a coinvolgere le Istituzioni preposte nella difesa cibernetica del Sistema Paese.
Le caratteristiche, le motivazioni e gli obiettivi dell’attacco verranno poi studiati nelle sedi opportune. In ogni caso la conoscenza del fenomeno a livello di operatore e non solo di servizio (la cui definizione potrebbe trovare interpretazioni diverse tra i vari attori coinvolti e quindi dare adito e comunicazioni polarizzate o carenti) diventa dirimente per poter eserciate i ruoli definiti dalla legge.
L’articolo comporterà alcuni cambiamenti per gli operatori appartenenti al perimetro, anche se al momento non sono previsti ulteriori ampliamenti, per esempio nei censimenti e nelle attività già previste dal PSNC per i servizi considerati interni al perimetro. Il concetto di allargamento è solo legato alla notifica di incidente e questo sottintende la volontà delle istituzioni di essere tempestivamente informate di qualsiasi atto che possa rappresentare un punto di partenza di attività ostili ragguardevoli e/o mirate su molteplici obiettivi.