È stato pubblicato in Gazzetta Ufficiale il 23 aprile il Decreto del Presidente della Repubblica 5 febbraio 2021, n. 54 – Regolamento recante attuazione dell’articolo 1, comma 6, del decreto-legge sul Perimetro di sicurezza nazionale cibernetica (DL 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133).
Si tratta del terzo atto di attuazione della legge sul perimetro, successivo ai primi due dpcm, uno pubblicato in GU il 20 ottobre 2020 relativo ai criteri di identificazione e alla identificazione dei soggetti inclusi nel perimetro, il secondo in discussione alle Camere e relativo alle notifiche di incidente e ai requisiti minimi di sicurezza.
Verso il Perimetro di Sicurezza Nazionale Cibernetica: impatti su imprese e PA
Il DPR in Gazzetta ufficiale
Il DPR affronta le procedure e i termini per le valutazioni da parte del CVCN e dei CV (Centri di Valutazione relativi alla materia, rispettivamente del Ministero Difesa e del Ministero degli Affari Interni, da non confondere con i Ce.Va. anch’essi centri di valutazione per le certificazioni di sicurezza cibernetica di prodotto in ambito common criteria per i prodotti che operano su dati classificati), su prodotti in acquisizione da parte dei soggetti inclusi nel perimetro.
Stabilisce inoltre i criteri per individuare gli oggetti di fornitura rientranti nelle categorie a cui si applica la procedura di valutazione
Le categorie di beni, sistemi e servizi ICT oggetto della valutazione da parte del CVCN o dai CV sono individuate sulla base dell’esecuzione o svolgimento delle seguenti funzioni:
- commutazione oppure protezione da intrusioni e rilevazione di minacce informatiche in una rete, ivi inclusa l’applicazione di politiche di sicurezza;
- comando, controllo e attuazione in una rete di controllo industriale
- monitoraggio e controllo di configurazione di una rete di comunicazione elettronica
- sicurezza della rete riguardo alla disponibilità, autenticità, integrità o riservatezza dei servizi offerti o dei dati conservati, trasmessi o trattati
- autenticazione e allocazione delle risorse di una rete di comunicazione elettronica
- implementazione di un servizio informatico per mezzo della configurazione di un programma software esistente oppure dello sviluppo, parziale o totale, di un nuovo programma software, costituente la parte applicativa rilevante ai fini dell’erogazione del servizio informatico stesso.
Le categorie saranno poi dettagliate in un decreto del Presidente del Consiglio dei ministri attuativo del decreto-legge, previsto per la fine della primavera.
I soggetti inclusi nel perimetro comunicheranno l’avvio di una procedura di acquisizione di tecnologia.
L’analisi dei rischi
La verifica sarà basata su una analisi dei rischi che verrà trasmessa congiuntamente alla comunicazione. L’analisi dei rischi viene quindi effettuata prioritariamente e tutto l processo sarà “risk based”, metodologia perfettamente allo stato dell’arte.
Tale analisi dei rischi viene parzialmente dettagliata nel decreto e sarà poi oggetto di ulteriori chiarimenti e indicazioni da parte del CVCN nella emanazione delle procedure operative.
Il CVCN può avvalersi di LAP, Laboratori Accreditati di Prova, rispetto ai quali il perimetro prevede il quinto e ultimo decreto attuativo, un dpcm che ci aspettiamo entro l’autunno in gazzetta.
I test potranno essere eseguiti presso i laboratori del CVCN e dei CV oppure presso i LAP. Se necessario, potranno anche essere eseguiti da personale delle suddette tre entità presso il fornitore o il soggetto incluso nel perimetro.
Metodologie di verifica e oneri economici
Il CVCN predisporrà le metodologie di verifica e questo è il nodo principale del provvedimento. Esiste un tempo transitorio di diciotto mesi durante i quali si prevedono livelli crescenti di complessità dei test. Il lavoro del CVCN andrà di pari passo con quello di ENISA per la individuazione dello schema di certificazione di sicurezza cyber di prodotto europea che sostituisca l’attuale alleanza sovranazionale in vigore basata sugli standard common criteria e IT SEC mutuamente riconosciuti da quasi ogni Stato del mondo.
Al termine della valutazione viene redatto un rapporto di prova contenente l’esito dei test e comunicato al soggetto incluso nel perimetro e al fornitore. Il rapporto può essere negativo oppure contenere, nel caso di esito positivo, prescrizioni per l’utilizzo dell’oggetto che possono riguardare anche il mantenimento nel tempo del livello di sicurezza nell’ambiente di esercizio.
Gli oneri economici sono a carico del fornitore, quindi occorrerà prevedere un assestamento del mercato in tal senso. Infine, il decreto affronta il tema delle verifiche e delle ispezioni che hanno lo scopo di accertare, da parte dei soggetti inclusi nel perimetro:
- la predisposizione, l’aggiornamento e la trasmissione dell’elenco delle reti, dei sistemi informativi e dei servizi informatici
- notifica al CSIRT italiano (Computer Security Incident Response Team) degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici
- adozione delle misure di sicurezza
- comunicazione al CVCN di eventuali acquisti o affidamenti
- impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici in conformità alle condizioni e con superamento dei test imposti dal CVCN
- collaborazione per l’effettuazione delle attività di test
- osservanza delle prescrizioni formulate dalle autorità competenti all’esito delle attività di ispezione e verifica;
- osservanza delle prescrizioni di utilizzo fornite dal CVCN al soggetto.
Conclusioni
Il DPR risponde alle attese e alle previsioni della comunità sulla base del decreto-legge. I tempi di espletamento delle verifiche sono 45 giorni prolungabili una sola volta a 60 e adesso il CVCN avrà da assolvere un compito non banale nella stesura delle metodologie di verifica e di test.
L’esperienza maturata negli oltre venti anni di operatività dell’OCSI, Organismo di Certificazione per la sicurezza Informatica del MISE, sotto l’egida del SOGIS (senior Officials Group Information Systems Security), l’alleanza mondiale di mutuo riconoscimento dei certificati, potrà decisamente aiutare il CVCN, posizionato accanto all’OCSI, nell’individuare, descrivere e preparare le suddette metodologie.
