Le misure contenute nel DPCM 30 luglio 2020 – Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell’articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 – ci pongono all’avanguardia nel tema della sicurezza cibernetica e ci posizioniamo tra coloro che ispirano altri Paesi, europei ed extra europei.
Esaminiamole nel dettaglio.
Definizione dei principali concetti dell’impianto normativo
Il DPCM è stato pubblicato nella Gazzetta Ufficiale del 21 ottobre 2020, n. 131 e entrerà in vigore il 5 novembre 2020.
Tale Decreto, come previsto dall’art. 1 comma 2 del Perimetro, definisce le modalità e i criteri di individuazione dei soggetti, pubblici e privati, inclusi nel Perimetro di sicurezza nazionale cibernetica nonché i criteri con cui tali soggetti predispongono e aggiornano l’elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza. All’interno dello stesso, inoltre, vengono definite le modalità di trasmissione dei suddetti elenchi.
L’art.1 del nuovo DPCM definisce, per la prima volta, alcuni concetti fondamentali in ottica di sicurezza informatica per quanto concerne il Perimetro di sicurezza nazionale cibernetica.
Nello specifico, sulla base delle considerazioni espresse dal Consiglio di Stato nel mese di maggio 2020, vengono chiariti diversi elementi centrali per l’esecuzione di quanto disposto dall’impianto normativo: a titolo di esempio sono stati dettagliati i concetti di “rete”, “sistema informativo” e “servizio informatico” nonché quelli di “bene ICT” e di “architettura e componentistica”. Se i concetti di “rete” e “sistema informativo” sono stati mutuati dal Decreto Legislativo n. 65 del 2018 (NIS), la definizione dei restanti si pone come un elemento innovativo cruciale per un’efficace comprensione delle intenzioni del Legislatore relativamente all’oggetto di analisi del Perimetro nazionale.
Di particolare interesse risulta essere la definizione di “bene ICT” inteso come “insieme di reti, sistemi informativi e servizi informatici, o parti di essi, di qualunque natura”. Tale concetto si configura come elemento di sintesi sul quale sono previste due attività centrali del DPCM riguardo ai criteri per la predisposizione e l’aggiornamento degli elenchi (art. 7): le valutazioni di impatto sugli incidenti e l’individuazione delle dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, ivi compresi quelli utilizzati per fini di manutenzione e gestione.
Individuazione dei settori di attività inclusi nel Perimetro
Il DPCM circoscrive l’ambito di applicazione del Perimetro, in questa prima fase, a soggetti che operano nel settore governativo con riferimento alle attività delle amministrazioni CISR nonché a ulteriori soggetti, pubblici e privati, coinvolti nei seguenti settori (ove non ricompresi in quello governativo): a) interno; b) difesa; c) spazio e aerospazio; d) energia; e) telecomunicazioni; f) economia e finanza; g) trasporti; h) servizi digitali; i) tecnologie critiche; l) enti previdenziali/lavoro.
Per l’individuazione e l’elencazione dei soggetti, pubblici e privati, inclusi nel Perimetro appartenenti ai suddetti settori viene individuata una specifica Amministrazione pubblica competente (es. Ministero dello sviluppo economico; Ministero dell’economia e delle finanze).
Per il settore governativo tali attività sono demandate alle amministrazioni CISR, ciascuna nell’ambito di rispettiva competenza.
Il DPCM estrinseca il concetto di sicurezza nazionale che riguarda la disponibilità, l’integrità e la confidenzialità dei dati in esso inclusi, ma anche la continuità dei servizi caratterizzanti il perimetro stesso. Non riguarda quindi solo il concetto di continuità del sistema Paese, come le infrastrutture critiche definite nella direttiva 114/08, o quello di emersione del fenomeno della “in-sicurezza” cibernetica, come gli operatori di servizi essenziali definiti nella direttiva 1148/16 detta NIS, ma abbraccia il più ampio concetto della garanzia di sicurezza cibernetica e continuità del servizio per tutti quei servizi e quindi quegli operatori che costituiscono il substrato di essenza del Paese e le sue caratteristiche di interesse strategico nazionale.
Identificazione delle modalità e dei criteri per l’individuazione dei soggetti inclusi nel Perimetro
Le Amministrazioni cui è demandata l’individuazione dei soggetti da includere nel Perimetro sono tenute, innanzitutto, a identificare le funzioni e i servizi essenziali erogati da ciascun soggetto che dipendono da reti, sistemi informativi o servizi informatici, la cui interruzione o compromissione possa arrecare un pregiudizio per la sicurezza nazionale.
È interessante il fatto che la valutazione di impatto dalla quale deriva l’identificazione delle funzioni e dei servizi fondamentali inerenti al perimetro sia associata alla copertura del servizio, alla tipologia degli utenti e ad eventuali livello di servizio garantiti, nonché ai danni economici che ne deriverebbero.
Il processo di individuazione comprende anche una valutazione sugli effetti negativi dell’interruzione della funzione o del servizio essenziale e della compromissione, in termini di perdita di disponibilità, integrità e riservatezza dei dati e delle informazioni. Inoltre, è previsto un ulteriore elemento di valutazione, che riguarda le tempistiche di mitigazione, ovvero una stima dei tempi di ripristino necessari per ristabilire l’erogazione della funzione/servizio in condizioni di sicurezza, sia integralmente, sia “temporaneamente, con modalità prive di supporto informatizzato ovvero anche parzialmente da altri soggetti”. Quest’ultima possibilità si ricollega ai criteri di alternativa intrasettoriale tra vari operatori e di fungibilità intersettoriale e può preludere a valutazioni preventive anche sull’uso delle risorse rimanenti in caso di scarsità dovuta a crisi, brevi o prolungate.
Identificazione dei criteri per la predisposizione e l’aggiornamento degli elenchi di beni ICT e delle modalità di trasmissione degli stessi
Oltre alla valutazione di impatto e all’individuazione delle dipendenze di cui si è già fatto cenno, il concetto di “bene ICT” trova un ulteriore riferimento nella fase di predisposizione degli elenchi delle reti, dei sistemi informativi e dei servizi informatici. Infatti, i soggetti parte del Perimetro dovranno includere nell’elenco, all’esito dell’analisi del rischio, solamente quei beni ICT ritenuti necessari per lo svolgimento della funzione o del servizio essenziale individuato dalle Amministrazioni, che, in caso di incidente, potrebbero comportare l’interruzione totale della funzione/servizio o una compromissione con effetti irreversibili sotto il profilo della integrità o della riservatezza dei dati e delle informazioni.
Nello specifico, i soggetti devono effettuare una valutazione di impatto sui beni ICT in termini sia di limitazione della operatività del bene stesso, sia di compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, e un’analisi delle dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, ivi compresi quelli utilizzati per fini di manutenzione e gestione, in ottica di sicurezza della catena di fornitura.
Sarà dunque necessario sviluppare una conoscenza approfondita rispetto alle interrelazioni tra gli operatori fornitori.
Conclusioni
Con questo DPCM il nostro Paese ha dettagliato ulteriormente le specifiche e gli ambiti di attività dei soggetti inclusi nel Perimetro nonché le modalità di elaborazione, aggiornamento e comunicazione degli elenchi dei beni ICT (reti, sistemi informativi e servizi informatici). La determinazione di tali elementi si configura come passaggio fondamentale per la concreta realizzazione del Perimetro al fine di instaurare una serie di presidi di sicurezza funzionali a garantire un’efficace protezione cibernetica del sistema-Paese.
