il decreto

Perimetro di sicurezza cibernetica: così renderà l’Italia più “cyber protetta”

Lo scopo del Perimetro di sicurezza è difendere gli interessi vitali dell’Italia alzando il livello di protezione su tutti i servizi da cui dipende, direttamente o indirettamente, il funzionamento stesso del Paese. Vediamo cosa prevede la norma, le fasi per la messa in esercizio e le nuove responsabilità di Agid e Mise

Pubblicato il 31 Lug 2019

Corrado Giustozzi

Docente LUISS, Rexilience

cyber-technology-

L’Italia prosegue verso il completamento del presidio di sicurezza cibernetica nazionale introducendo l’ultimo tassello che mancava al quadro di tutela preesistente, ossia quello relativo alla protezione degli interessi stessi dello Stato.

Sarà affidato alla responsabilità congiunta del Ministero dello sviluppo economico e dell’Agenzia per l’Italia digitale (Agid) che, forti di nuovi poteri e responsabilità, coopereranno tra loro e con il DIS per assicurare la protezione cibernetica degli interessi strategici nazionali, impartendo misure tecniche e vigilando sugli operatori che forniscono servizi essenziali per il funzionamento del Paese.

Venerdì 19 luglio il Consiglio dei Ministri ha infatti licenziato il testo di un disegno di legge che istituisce il cosiddetto “Perimetro di sicurezza nazionale cibernetica”: un concetto importante, per certi versi complementare a quanto già istituito nel 2018 mediante il recepimento della Direttiva NIS. Mentre infatti lo scopo della NIS è quello di assicurare, a livello comune europeo, un elevato livello di sicurezza e resilienza a tutti quei servizi oramai essenziali dai quali dipende il funzionamento della società civile e di cui cittadini e imprese non possono più fare a meno, lo scopo del Perimetro è difendere gli interessi vitali dell’Italia innalzando il livello di protezione su tutti quei servizi da cui dipende, direttamente o indirettamente, il funzionamento stesso del Paese.

Cosa prevede la norma

Per fare ciò la norma prevede innanzitutto che vengano identificati sia i servizi effettivamente critici sia le infrastrutture mediante cui vengono erogati, e soprattutto i relativi operatori, pubblici e privati, che li erogano. Questi operatori diventeranno dunque la controparte, nel Perimetro, di coloro che nell’ambito NIS vengono definiti Operatori di servizi essenziali (OSE); e dovranno così adottare specifiche misure di prevenzione e protezione per minimizzare i rischi di incidenti, disfunzioni, interruzioni e malfunzionamenti ai propri servizi ed alle infrastrutture sottostanti.

Ovviamente potrebbe darsi il caso che qualcuno fra i soggetti identificati come appartenenti al Perimetro sia anche già identificato come OSE in ambito NIS: in tal caso tale operatore dovrà “semplicemente” aggiungere ai precedenti obblighi derivanti da tale normativa quelli addizionali provenienti dai requisiti imposti dal Perimetro. In ogni caso, per non creare troppe discontinuità e soprattutto per fare leva sul sistema già varato per la Direttiva NIS, molti adempimenti previsti dal Perimetro riconfluiranno nell’ambito dei processi già consolidati in quell’ambito: ad esempio la notifica obbligatoria degli incidenti da parte degli operatori appartenenti al Perimetro dovrà essere indirizzata allo CSIRT Italiano, che già opera in tal senso per gli OSE.

Le due fasi per la messa in esercizio

I primi passi operativi per la messa in esercizio del Perimetro sono scaglionati in due fasi che scadranno, rispettivamente, sei mesi ed un anno dopo l’approvazione definitiva della legge.

Entro i primi sei mesi verranno:

  • definiti i criteri per l’identificazione dei servizi e verrà stilato l’elenco degli operatori;
  • verranno altresì definiti i criteri secondo i quali questi ultimi dovranno provvedere al censimento ed alla mappatura dei propri servizi, nonché delle infrastrutture sottostanti, e le modalità con cui gli elenchi così compilati verranno comunicati alle autorità responsabili della sicurezza nazionale.

Entro i successivi sei mesi verranno invece definite:

  • le procedure mediante le quali i soggetti identificati interagiranno con lo CSIRT Italiano per la notifica degli incidenti,
  • le misure di sicurezza cui gli stessi soggetti dovranno ottemperare per garantire livelli elevati di protezione alle proprie infrastrutture.

Entrambe queste fasi saranno regolate nei dettagli operativi da appositi DPCM di prossima emanazione.

Materialmente le azioni richieste in queste fasi avverranno sotto la responsabilità del Ministero per lo sviluppo economico e dell’Agenzia per l’Italia Digitale, soggetti chiave che coopereranno ciascuno per il proprio settore di competenza: il comparto privato per il MiSE, e il comparto pubblico per l’AgID.

Garanzie di sicurezza

Un ulteriore cruciale tassello del disegno del Perimetro riguarda l’imposizione di alcune garanzie tecniche di sicurezza ai prodotti e servizi ICT destinati ad essere impiegati nelle infrastrutture dello Stato, o per erogare servizi critici per lo Stato.

Tale ambito costituisce la responsabilità del Centro di Valutazione e Certificazione Nazionale (CVCN) recentemente costituito presso il Ministero dello sviluppo economico. Tale struttura avrà pertanto facoltà di sottoporre a specifiche verifiche tecniche i prodotti destinati ai servizi critici dello Stato, accertandone la conformità a requisiti di sicurezza mediante test che possono derivare, secondo le proprie valutazioni del caso, sia da standard internazionali consolidati, sia da schemi di certificazione sviluppati ad hoc dal CVCN stesso.

Per poter essere realmente applicabile, la norma infine prevede tanto un articolato e severo schema sanzionatorio atto a scoraggiare e punire eventuali inadempienze, quanto un regime di vigilanza e controllo sull’operato dei soggetti identificati. Anche la responsabilità per queste attività ricade, mediante attribuzione di specifici poteri per i rispettivi ambiti di giurisdizione, sul MiSE e sull’AgID.

A necessario corollario di tutto, per consentire a tali enti di poter svolgere efficacemente le numerose nuove incombenze loro assegnate, ad entrambi sono assegnate misure strutturali di sostegno sia in termini di dotazione di budget che di ampliamento della pianta organica del personale, da effettuarsi mediante concorsi, comando e ricorso a esperti o consulenti di comprovata specializzazione.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati