Il nuovo Decreto Legge sul Golden Power 5g e il disegno di legge su un perimetro di sicurezza cibernetica (approvato oggi al Consiglio dei Ministri)- due testi che forse andranno a convergere in quest’ultimo – inquadrano una nuova postura del Paese in termini di protezione dei suoi asset materiali e immateriali.
In particolare, lo Schema di disegno di legge in materia di perimetro di sicurezza nazionale cibernetica, proposto questa settimana dalla presidenza del Consiglio dei ministri, rappresenta un vero e proprio “balzo in avanti” nella consapevolezza e nella organizzazione nazionale per la sicurezza.
L’individuazione dei settori strategici per la sicurezza
Senza ombra di dubbio, il progresso tecnologico nel campo delle reti e degli strumenti di comunicazione consente di creare delle opportunità rilevanti di crescita e di sviluppo. Tuttavia, esse devono essere necessariamente bilanciate con esigenze di sicurezza che si collocano su piani differenti: tecnico/tecnologico, di governance dei processi, strategico, geopolitico, scientifico e industriale.
Tali sfumature, che afferiscono a un concetto più ampio e onnicomprensivo di sicurezza nazionale, rappresentano i presupposti sui cui sono stati concepite le evoluzioni, normative e storiche, circa il tema dell’individuazione dei settori ritenuti strategici per il sistema-Paese.
A tal proposito, in ordine di tempo, a distanza di pochi mesi, sono stati emanati, da un lato, il Decreto Legge 25 marzo 2019, n. 22[1] – approvato a maggio – e, dall’altro, il Decreto Legge 11 luglio 2019 n. 64 “Modifiche al decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56” (Golden Power).
Il decreto sul Golden power
Il primo Decreto, tra le altre cose, aggiorna la normativa in materia di poteri speciali in conseguenza dell’evoluzione tecnologica intercorsa, con particolare riferimento alla tecnologia 5G e ai connessi rischi di un uso improprio dei dati con implicazioni sulla sicurezza nazionale.
Sappiamo che le ultime dichiarazioni della maggioranza lascerebbero intendere che almeno parte del Governo non intenda convertire il decreto entro il tempo necessario (60 giorni) anche alla luce del più recente disegno di legge sul perimetro di sicurezza nazionale. C’è probabilmente l’intendimento a far convergere il golden power in questo secondo testo, in modo da affrontare la materia in modo più organico (delicata, dato che ne va dei rapporti con la Cina, via Zte e Huawei, che ha recente investito molto in Italia).
Nondimeno, è utile studiare il decreto Golden Power. L’articolo 1, in particolare, intende ampliare il campo di azione dei poteri speciali al settore delle comunicazioni e al 5G, estendendo l’obbligo di notifica anche alla “stipula di contratti o accordi aventi ad oggetto l’acquisto di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti inerenti i servizi di cui al comma 1, ovvero l’acquisizione di componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione, quando posti in essere con soggetti esterni all’Unione europea”. Inoltre, sono oggetto di valutazione anche “gli elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano”.
Il Decreto 11 luglio 2019 n. 64, invece, è stato emanato dal Governo per assicurare una maggiore estensione dei poteri circa le prerogative “speciali” che l’Esecutivo ha a disposizione per garantire gli assetti societari nei settori della difesa e della sicurezza nazionale nonché per le attività di rilevanza strategica in ambiti come l’energia, i trasporti e le comunicazioni. Il Consiglio dei Ministri, mediante l’approvazione del sopracitato Decreto, che dovrà essere convertito in legge entro il 9 settembre 2019, intende ampliare la disciplina del Golden Power (definita, ora, anche Golden power “potenziato”) includendo una serie di misure, organizzative e sanzionatorie, volte a proteggere maggiormente i settori individuati come critici e dunque strategici.
Gli aspetti essenziali del Decreto Legge
Gli aspetti essenziali del Decreto Legge sono due:
- Rimodulazione delle tempistiche:
- Viene elevato da 15 a 45 giorni il periodo durante il quale il governo può esercitare un eventuale veto o l’imposizione di specifiche prescrizioni o condizioni;
- Qualora sia necessario che l’acquirente fornisca delle informazioni aggiuntive rispetto a quelle descritte nell’informativa, il termine per l’aggiornamento di tali informazioni è stato elevato da 10 a 30 giorni. Tale incremento del termine potrebbe essere inteso come una maggiore consapevolezza da parte dell’Esecutivo delle criticità legate alla difficoltà di far fronte a molteplici segnalazioni aventi ad oggetto tematiche sensibili, nonché come una maggiore necessità di un tempo per analizzare situazioni sempre più complesse.
- Sanzioni: chiunque non osservi gli obblighi previsti dal Decreto “è soggetto a una sanzione amministrativa pecuniaria fino al doppio del valore dell’operazione e comunque non inferiore all’uno per cento del fatturato cumulato realizzato dalle imprese coinvolte” nell’ultimo esercizio per il quale sia stato approvato il bilancio”.
Il Presidente del Consiglio dei Ministri Conte ha espresso la sua soddisfazione per l’operato svolto annunciando che “il nuovo decreto-legge delimita ancora più efficacemente le verifiche spettanti al Governo in caso di autorizzazioni di atti ed operazioni societarie riguardanti le nuove reti di infrastrutture tecnologiche”.
Tutti i tasselli della strategia italiana sulla cyber security
Sulla scorta di queste considerazioni, il Decreto Legge in esame non deve essere considerato come un punto di arrivo, ma come un tassello di un mosaico che si colloca in maniera coerente con l’evoluzione che ormai da tempo si sta ravvisando nello scenario nazionale e internazionale in tema di cyber security e sicurezza delle informazioni. In questo senso, il nostro Paese ha cercato di predisporre un confine di sicurezza cibernetica attraverso un percorso multilivello e una serie di azioni funzionali a garantire la difesa nazionale.
Ad esempio, il mese di luglio 2019 ha visto, da un lato, la realizzazione e la diffusione delle Linee guida per gli OSE in ambito NIS e, dall’altro, lo “Schema di disegno di legge in materia di perimetro di sicurezza nazionale cibernetica” che si appresta ad andare al Consiglio dei ministri.
Il primo documento, che sarà diffuso agli OSE identificati, intende individuare e rendere omogenee all’interno di specifiche “Linee guida” indicazioni di carattere tecnico, organizzativo e procedurale per l’innalzamento dei livelli di sicurezza cibernetica di reti e sistemi, nonché la resilienza del Sistema-Paese[3].
Il perimetro di sicurezza nazionale cibernetica
Il secondo documento propone uno “Schema di disegno di legge in materia di perimetro di sicurezza nazionale cibernetica”, creato al fine di “assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende una funzione essenziale dello Stato dal cui malfunzionamento o interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”. In linea con l’architettura nazionale cyber, individuata a partire da vari riferimenti normativi nazionali (tra cui la L. 124/2007, il DPCM 17 febbraio 2017, il Piano Nazionale per la Protezione Cibernetica e la Sicurezza Cibernetica, D. Lgs. 65/2018) ed europei (in particolare la Direttiva NIS e il Cyber Security Act), nello Schema di disegno di legge, tra le tante cose, vengono dettagliati alcuni aspetti che si propongono come fondamento di un nuovo assetto di cyber security.
Tra questi, vi sono i seguenti:
- Emanazione di un DPCM, adottato su proposta del CISR, che individui le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati che svolgono un servizio essenziale che dipende da reti, sistemi informativi e servizi informatici;
- Emanazione di un DPCM in merito a) alla definizione delle procedure per la segnalazione e la notifica al CSIRT degli incidenti aventi un impatto su reti, sistemi informativi e servizi informatici; b) all’individuazione delle misure volte a garantire elevati livelli di sicurezza relativa a tutta la gestione del processo della sicurezza delle informazioni;
- Definizione dei ruoli e dei compiti di alcune strutture e organizzazioni centrali nel nuovo panorama di sicurezza, come ad esempio il CVCN, soprattutto per il test di apparati e sistemi considerabili come “critici”.
_____________________________________________________________________________
- “Misure urgenti per assicurare sicurezza, stabilità finanziaria e integrità dei mercati, nonché tutela della salute e della libertà di soggiorno dei cittadini italiani e di quelli del Regno Unito, in caso di recesso di quest’ultimo dall’Unione europea”. ↑