La legge che introduce il perimetro di sicurezza nazionale cibernetica – approvata in via definitiva alla Camera il 13 novembre 2019 – dimostra l’attenzione rivolta al tema, gli sforzi che il nuovo Governo – in linea con quello precedente – intende perseguire e la volontà di ridurre i tempi di emanazione della normativa secondaria.
Lo schema, composto da sei articoli, conferma alcuni elementi già previsti dal disegno di legge introducendo ulteriori aspetti di interesse. Tra gli aspetti fondamentali del nuovo documento si possono elencare i seguenti:
- Attori del perimetro: ruoli e responsabilità
- Attività di certificazione del CVCN
- 5G e Golden Power
Attori del perimetro: ruoli e responsabilità
Il perimetro di sicurezza cibernetica nazionale sarà composto da diversi attori, pubblici e privati. Essi vengono individuati sulla base di due specifici criteri:
- Il soggetto, avente una sede nel territorio nazionale, esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;
- L’esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici e al cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.
Tali soggetti devono essere identificati entro quattro mesi dall’entrata in vigore della legge di conversione del decreto: ciò determina una sensibile riduzione rispetto ai sei mesi prestabiliti nel ddl precedente. L’individuazione dei soggetti avviene tramite un criterio di gradualità che tenga conto dell’entità del pregiudizio per la sicurezza nazionale, in relazione alle specificità dei diversi settori di attività che “può derivare dal malfunzionamento, dall’interruzione, anche parziali, ovvero dall’utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti”
Inoltre, nello stesso lasso temporale l’organismo tecnico di supporto al CISR, collaborando con un rappresentante della Presidenza del Consiglio dei ministri (nel disegno di legge era l’AgID), stabilirà i criteri in base ai quali i soggetti predisporranno e aggiorneranno un elenco delle reti, dei sistemi informativi e dei servizi informatici.
Una ulteriore restrizione dei tempi si nota, rispetto a quanto previsto nel disegno di legge precedente, nella definizione delle procedure di notifica degli incidenti che hanno impatto su reti, sistemi e servizi informatici: si è passati infatti da 12 mesi a 10.
Infine, è opportuno sottolineare che la principale novità del nuovo decreto a livello di responsabilità tra gli attori identificati consiste nel passaggio di consegna delle competenze di verifica e controllo, rispetto ai requisiti previsti dalle norme, da AgID alla Presidenza del Consiglio dei Ministri. Quest’ultima ricoprirà un ruolo di primo piano nella designazione di un uniforme livello di sicurezza nazionale e potrà, a sua discrezione, “avvalersi dell’Agenzia per l’Italia digitale”. Per quanto riguarda i soggetti privati, invece, la responsabilità rimane in seno al Ministero dello Sviluppo Economico.
Attività del CVCN
Viene confermato un ruolo di primo ordine del Centro di Valutazione e Certificazione Nazionale (CVCN) nell’assicurazione delle garanzie di sicurezza e dell’assenza di vulnerabilità di prodotti, hardware e software, destinati a essere impiegati sulle reti, sui sistemi informativi e servizi informatici degli attori del perimento di sicurezza cibernetica. In tal senso, viene rafforzata l’attenzione nelle fasi di procurement ICT prevedendo anche l’integrazione nei bandi di gara e nelle procedure concorsuali di clausole in grado di sospendere o risolvere l’affidamento del contratto a uno specifico soggetto a seguito dei test del CVCN. Nello svolgimento delle attività di verifica di sicurezza, il CVCN si avvale del supporto dei laboratori accreditati.
Inoltre, gli attori che sono inclusi nel Perimetro e le centrali di committenza che intendano procedere a una fornitura di beni, sistemi e servizi ICT devono dare comunicazione al CVCN specificando quale è la valutazione del rischio associata all’oggetto del fornitura e all’ambito di impiego. Il CVCN quindi entro quarantacinque giorni, prorogabili di quindici giorni, può effettuare “verifiche preliminari ed eventualmente imporre condizioni e test di hardware e software secondo un approccio gradualmente crescente nelle verifiche di sicurezza”.
Viene altresì stabilito che “non sono oggetto di comunicazione gli affidamenti delle forniture di beni, sistemi e servizi ICT destinate alle reti, ai sistemi informativi e ai servizi informatici per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati e i casi di deroga stabiliti dal medesimo regolamento con riguardo alle forniture di beni, sistemi e servizi ICT per le quali sia indispensabile procedere in sede estera”.
Le modifiche del Senato hanno interessato un ulteriore elemento. Per quanto riguarda i beni, sistemi e servizi ICT da impiegare su reti, sistemi informativi e servizi informatici del Ministero dell’interno e del Ministero della Difesa, tali Ministeri possono procedere alla comunicazione presso i propri Centri di valutazione accreditati (CEVA) impiegando le metodologie di verifica e di test definite dal CVCN.
Inoltre, verranno definiti le modalità e i termini delle comunicazione tra il CVCN e i laboratori accreditati nonché con i CEVA del Ministro dell’Interno e del Ministero della Difesa allo scopo di coordinare le attività e “perseguire la convergenza e la non duplicazione delle valutazioni in presenza di medesimi condizioni e livelli di rischio”.
Infine, il Centro di Valutazione e Certificazione Nazionale elabora e adotta schemi di certificazione cibernetica qualora quelli attualmente in forze non risultino adeguati ai fini di tutela del perimetro di sicurezza. A tal proposito, è utile sottolineare che il tema della certificazione di prodotto in ambito di cyber security sta assumendo un ruolo sempre più centrale, anche a livello europeo: si pensi ad esempio alle disposizioni previste dal Cybersecurity Act e al ruolo che ENISA svolgerà in tal senso.
Ad ulteriore conferma della rilevanza assegnata al CVCN, lo schema sancisce l’assegnazione di 3,2 milioni nel 2019, 2,8 milioni all’anno dal 2020 al 2023 e 750mila euro dal 2024 al CVCN.
5G e Golden Power
Il decreto pone particolare attenzione anche al tema del 5G e ai rischi ad esso associati. Infatti, tale tematica viene trattata, all’art. 3, in riferimento al Golden Power ampliando l’esercizio dei poteri speciali, assicurati attraverso la normativa in vigore (Decreto-legge 15 marzo 2012, n. 21), effettuando stringenti verifiche sulle eventuali vulnerabilità presenti sulle reti e i sistemi basati sulla tecnologia 5G. Tale verifica, svolta dal CVCN, può comportare “la sostituzione di apparati o prodotti ove indispensabile al fine di risolvere le vulnerabilità accertate”
Inoltre, all’art. 4-bis vengono introdotte importanti novità, tra cui le principali sono:
- Gli elementi che il Governo deve considerare nella valutazione dell’acquirente (es. se è direttamente o indirettamente controllato dall’amministrazione pubblica; se è già stato coinvolto in attività che incidono sulla sicurezza o sull’ordine pubblico in uno Stato membro dell’Unione Europea; se vie è un grave rischio che l’acquirente intraprenda attività illegali o criminali)
- Modalità e tempistiche associate alle informative da inviare al Governo affinché possa effettuare le valutazioni di competenza e eventualmente apporre il veto: entro dieci giorni dalla conclusione di un contratto o accordo, l’impresa che ha acquisito notifica alla Presidenza del Consiglio dei ministri un’informativa completa. In caso fossero necessarie verifiche tecniche in relazione a possibili fattori di vulnerabilità, il Presidente del Consiglio può prorogare di venti giorni il termine stabilito (trenta giorni) per l’esercizio del potere di veto o l’imposizione di specifiche prescrizioni.
Conclusioni
L’obiettivo della nuova legge è quello di definire il perimetro di sicurezza cibernetica nazionale e garantire per lo stesso un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di Pubbliche Amministrazioni, enti ed operatori privati nazionali esecutivi nel campo dei servizi essenziali.
Esso rappresenta il frutto di nuove riflessioni con carattere di urgenza in relazione all’evoluzione della minaccia cyber, del contesto tecnologico e del panorama normativo nazionale e internazionale – in particolare rispetto alla Direttiva NIS.
Tra i temi centrali oggetto di attenzione, vi è sicuramente quello del 5G, il cui sviluppo in un ambiente sicuro, esente da vulnerabilità e che tenga conto anche dello scenario geopolitico internazionale, si pone come elemento per garantire la sicurezza di tutto il Sistema-Paese.
Infine, è interessante sottolineare come venga riconosciuta al Presidente del Consiglio dei Ministri la facoltà di disattivare, “totalmente o parzialmente, uno o più apparati o prodotti impiegati nelle reti e nei sistemi o per l’espletamento dei servizi interessati” qualora vi sia un “rischio grave e imminente per la sicurezza nazionale”.
