Il mese di gennaio si è concluso con alcune importanti novità in tema di Perimetro di Sicurezza Nazionale Cibernetica, relative all’approvazione di due provvedimenti attuativi del Decreto Legge 21 settembre 2019, n.105. Il 29 gennaio, la Presidenza del Consiglio dei Ministri ha infatti comunicato l’approvazione di un Regolamento che definisce le procedure, le modalità e i termini con cui il Centro di Valutazione e Certificazione Nazionale (CVCN) e gli altri centri di valutazione (CV) potranno procedere con la verifica e la valutazione di beni, sistemi e strumenti ICT che i soggetti inclusi nel Perimetro intendono acquisire, in attuazione dell’articolo 1, comma 6 del Decreto-legge 21 settembre 2019, n. 105.
È stato altresì reso noto che è attualmente in discussione alla Camera e al Senato lo Schema di Decreto del Presidente del Consiglio dei ministri (DPCM) sul Regolamento per le notifiche degli incidenti che hanno impatto su reti, sistemi informativi e servizi informatici.
Cosa è successo dalla pubblicazione Perimetro di Sicurezza Nazionale a oggi
Il Decreto-legge 21 settembre 2019, n. 105 ha dato avvio alla creazione del Perimetro di Sicurezza Nazionale Cibernetica, definendo un percorso attuativo scandito in molteplici step successivi, alcuni dei quali sono stati attuati nel corso degli ultimi mesi.
Il 21 ottobre 2020 è stato adottato un primo DPCM relativo ai criteri per l’individuazione dei soggetti pubblici e privati da includere nel Perimetro di Sicurezza Nazionale Cibernetica, al quale è poi seguito un successivo DPCM contenente l’elenco (segreto) di più di 100 soggetti individuati tra coloro che erogano servizi essenziali nell’ambito delle infrastrutture nazionali per le telecomunicazioni.
Un ulteriore sviluppo verso la realizzazione del Perimetro di Sicurezza Nazionale è stato posto in essere il 29 gennaio 2021 con l’approvazione – da parte del Consiglio dei Ministri – del decreto attuativo che rende operativo il Centro di Valutazione e Certificazione Nazionale (CVCN) – istituito presso il Ministero dello Sviluppo Economico – e degli altri centri di valutazione (CV) chiamati ad effettuare verifiche e valutazioni dei beni, dei sistemi e dei servizi ICT che i soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica intendono acquisire qualora, tramite questi ultimi, vengano erogati e garantiti servizi essenziali al Sistema Paese.
Fornitura ICT alla PA, il decreto sul Perimetro migliora la cyber ma grava sulle aziende
Sono attualmente in corso valutazioni sullo Schema di Decreto del Presidente del Consiglio dei Ministri (DPCM) relativo ad un Regolamento per la notifica degli incidenti che hanno impatto su reti, sistemi informativi e servizi informatici (sempre in attuazione dell’articolo 1, comma 3 del Decreto-Legge 21 settembre 2019, n. 105).
Sulla base di quanto indicato dal Decreto-legge 21 settembre 2019, n. 105, per completare l’iter normativo relativo al Perimetro di Sicurezza Nazionale Cibernetica, sono attesi ulteriori provvedimenti. Nello specifico si è in attesa di un DPCM che definisca i criteri tecnici per l’individuazione delle categorie dei beni, dei sistemi e dei servici ICT che saranno oggetto di valutazione da parte del CVCN e dei CV e di un ulteriore DPCM che definisca i criteri di accreditamento dei laboratori di cui il CVCN potrà avvalersi per espletare le proprie funzioni.
È bene rilevare come il complesso delle misure necessarie per l’istituzione e il funzionamento del Perimetro Nazionale di Sicurezza Cibernetica ponga l’Italia in una posizione di avanguardia in materia di cyber sicurezza, sia nel panorama europeo che in quello internazionale
Andiamo ora ad analizzare quali sono gli aspetti maggiormente rilevanti degli atti recentemente adottati.
CVCN e CV: operatività e funzioni
Il Regolamento, adottato con Decreto del Presidente della Repubblica, rende operativi il Centro di valutazione e certificazione nazionale (CVCN) ed i centri di valutazione (CV) deputati ai procedimenti di verifica e valutazione dei beni, sistemi e servizi ICT utilizzati dalle organizzazioni rientranti nel Perimetro di Sicurezza.
Tale provvedimento è finalizzato all’attuazione dei tre “compiti normativi” previsti dall’articolo 1, comma 6 del decreto-legge 105 del 2019, in particolare:
- definire le procedure, le modalità e i termini a cui i soggetti pubblici e privati inclusi nel perimetro di sicurezza nazionale cibernetica devono attenersi qualora intendano procedere all’affidamento di forniture di beni, di sistemi e di servizi ICT destinati ad essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici, appartenenti a categorie da individuarsi, sulla base di criteri di natura tecnica, da un apposito decreto del Presidente del Consiglio dei ministri”;
- stabilire le procedure, le modalità e i termini con cui i fornitori dei suddetti beni, sistemi e servizi destinati alle reti, ai sistemi e ai servizi rilevanti assicurano la propria collaborazione al CVCN ed ai CV (sia del Ministero dell’interno, sia del Ministero della difesa) per l’effettuazione dei test richiesti da questi ultimi. Le spese delle attività di test e valutazione svolte dal CVCN o dai CV saranno a carico del fornitore;
- definire le procedure, le modalità e i termini con i quali il Ministero dello sviluppo economico (MISE) e la Presidenza del Consiglio dei Ministri svolgono le attività di ispezione e verifica.
Si ricorda, infatti, che il CVCN è stato creato proprio al fine di valutare i prodotti ed i servizi ICT utilizzati dai soggetti inclusi nel Perimetro per l’esecuzione delle loro funzioni, poiché proprio per questo motivo un loro malfunzionamento o interruzione potrebbe impattare in maniera significativa sulla sicurezza nazionale.
Infine, il CVCN ed i CV, con apposito provvedimento, comunicheranno al soggetto il risultato delle loro attività di verifica ed eventuali condizioni da inserire nel bando o nel contratto di fornitura del bene o servizio.
In questo contesto, si può immaginare come possa essere positivamente valutato il fatto che i fornitori dei soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica siano in possesso di certificazioni rilasciate da enti terzi accreditati che possano concorrere nel comprovare la compliance alle normative loro applicabili.
In particolare, le certificazioni che avranno un peso maggiore in tale contesto saranno quelle relative alla gestione e alla sicurezza delle informazioni e che garantiscono l’implementazione di misure fisiche, tecniche ed organizzative conformi agli standard internazionali, come ad esempio la ISO/IEC 27001.
A questo proposito si rileva inoltre che presto potrà essere sempre maggiormente diffusa e richiesta l’aderenza agli schemi di certificazione con validità a livello nazionale ed europeo come la certificazione GDPR specifica e la EUCS – Certification Scheme per i Cloud Service Provider (al momento è in corso una pubblica consultazione relativa allo schema di certificazione proposta dall’ENISA).
DPCM sulle notifiche degli incidenti
Lo Schema di DPCM, che si trova attualmente al vaglio della Camera e del Senato, tratta in 10 articoli il tema delle notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici dei soggetti, sia pubblici che privati, inclusi nel Perimetro.
Tale documento è corredato da tre Allegati molto importanti ai fini della comprensione del testo. L’Allegato A contiene due tabelle all’interno delle quali sono stati classificati una serie di incidenti di notevole impatto sui beni ICT, distinti in base alla loro gravità. La prima tabella (Tabella 1) fornisce una serie di incidenti da ritenersi meno gravi, mentre la seconda (Tabella 2) elenca una serie di incidenti più gravi.
I soggetti inclusi nel Perimetro, nel caso in cui subissero un incidente tra quelli forniti nell’Allegato A dello Schema di DPCM in esame, dovranno procedere immediatamente a notificarlo al CSIRT italiano con termini diversi a seconda della gravità dell’incidente. Infatti, un aspetto molto commentato del DPCM in esame è proprio la “severità” dei tempi previsti per queste notifiche: sei ore per quelle meno gravi, mentre solo un’ora per quelle elencate nella Tabella 2.
Imporre un termine così stringente ad imprese e PA ha certamente un impatto notevole sui loro sistemi interni di rilevazione, gestione e notifica degli incidenti, che potrebbero non essere in grado, allo stato attuale, di far fronte a deadlines così brevi. Le organizzazioni coinvolte saranno quindi chiamate, in tempi brevi, ad adeguare i loro processi di incident management per andare incontro alle richieste, stringenti, previste nel DPCM in discussione.
In seguito alla notifica, il soggetto dovrà definire ed avviare i piani di attuazione dell’attività di ripristino dei beni ICT impattati dall’incidente. Anche in questo caso il soggetto sarà tenuto a darne tempestiva notifica al CSIRT, il quale potrà richiedere un aggiornamento alla notifica, salvo previa comunicazione da parte dell’autorità giudiziaria di esigenze di segretezza investigativa, entro 6 ore dalla richiesta o di trasmettere una relazione tecnica dell’incidente, con focus sulle conseguenze di tale evento sui beni ICT e le azioni intraprese per porvi rimedio, entro 30 giorni dalla richiesta.
È inoltre prevista, all’articolo 4 dello Schema di DPCM, la possibilità per i soggetti inclusi nel Perimetro di effettuare tale notifica su base volontaria, quindi anche in casi di incidenti non previsti nelle Tabelle di cui all’Allegato A dello Schema di DPCM.
Parte dell’articolato DPCM è dedicata poi all’adozione di una serie di misure di sicurezza, previste dall’Allegato B dello Schema di DPCM, le quali dovranno essere adottate sui beni ICT da parte di ciascun soggetto incluso nel Perimetro che dovranno comunicarne l’adozione e le relative modalità al DIS.
Infine, lo Schema di DPCM si conclude con un terzo allegato (Allegato C) riguardante le Misure minime di sicurezza, ossia misure di sicurezza di livello meno elevato rispetto a quelle previste dall’Allegato B, la cui adozione è comunque richiesta ai soggetti inclusi nel Perimetro. L’applicazione di queste misure è richiesta per una serie di informazioni elencate nell’articolo 9 dello Schema di DPCM.
Conclusioni
Il nuovo complesso normativo relativo al Perimetro di Sicurezza Nazionale Cibernetica ha riscosso un indubbio riconoscimento ed approvazione a livello nazionale ed europeo, poiché da tempo era avvertita la necessità di una riforma strutturale in materia di sicurezza delle informazioni.
Le novità introdotte, in particolare per quanto riguarda le notifiche degli incidenti aventi impatto sulle reti e sui sistemi informativi hanno portato esperti del settore a chiedersi quali saranno gli effetti concreti che tali novità avranno sull’operato delle imprese e PA coinvolte. Infatti, per quanto un impianto normativo così rigoroso sia in linea con la mission per cui è stato concepito il Perimetro (ossia l’innalzamento dei livelli di sicurezza nazionale e la protezione delle infrastrutture), la sua introduzione comporterà nuove ed ulteriori difficoltà per le imprese, che dovranno implementare nuovi processi operativi al fine conformarsi alle nuove disposizioni ed esser così in grado di rispettare gli stringenti termini di notifica.
Si nota inoltre che, l’introduzione di termini di notifica così brevi potrebbero influire negativamente sulla qualità e sul dettaglio delle informazioni notificate dalle organizzazioni interessate. Allo stesso modo, le richieste contenute nell’Allegato B, riguardanti l’implementazione di misure di sicurezza certamente molto rigide, si configura come un potenziale problema per i soggetti chiamati ad indirizzare, sin da subito, sforzi e risorse in tal direzione.
