Prende corpo il sistema della cybersecurity nazionale

Con nuovi tasselli si va componendo il mosaico della cybersecurity nazionale. Uno dei più rilevanti è il Dpcm 8 agosto 2019, recante disposizioni sull’organizzazione e il funzionamento del Computer Security Incident Response Team – CSIRT italiano, recentemente pubblicato dalla Gazzetta Ufficiale n. 262 dell’8 novembre, in attuazione della Direttiva Nis che ha definito per la prima volta a livello europeo le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi. Incardinato presso il Dipartimento delle informazioni per la sicurezza (DIS), il CSIRT avrà il compito di definire le procedure tecniche per la prevenzione e la gestione degli incidenti informatici; ricevere le notifiche d’incidente; fornire al soggetto che ha effettuato la notifica le informazioni per facilitare la gestione efficace dell’evento; informare gli altri Stati membri dell’Ue eventualmente coinvolti dall’incidente; garantire la collaborazione nella rete di CSIRT, attraverso l’individuazione di forme di cooperazione appropriate, lo scambio di informazioni e la condivisione di best practice. Obiettivo strategico, favorire una più efficace gestione tecnica degli incidenti a livello nazionale e internazionale, grazie alle sinergie garantite dalle altre funzioni già assicurate dal Dipartimento in tale ambito, quali, il “punto di contatto unico nazionale Nis” per la gestione operativa di incidenti transfrontalieri, il “Nucleo per la Sicurezza Cibernetica (NSC)” per la gestione operativa d’incidenti che hanno un impatto sulla sicurezza nazionale, e le attivazioni che deriveranno dal cosiddetto “Perimetro di sicurezza nazionale cibernetica”.  Il Decreto individua altresì le tempistiche per una piena operatività del CSIRT. Entro 120 giorni il Dis, il Ministero dello Sviluppo Economico e l’AgID sottoscriveranno appositi accordi per assicurare il trasferimento delle funzioni del CERT nazionale e del CERT-PA al CSIRT italiano che, per lo svolgimento dei propri compiti, si avvarrà dell’AgID ai sensi del decreto legislativo Nis. Le disposizioni del decreto istitutivo del CSIRT entreranno in vigore entro 180 giorni.

“Le minacce ai nostri interessi nazionali sono molteplici, tra queste certamente la minaccia cibernetica e digitale – ha commentato Gennaro Vecchione, Direttore generale del DIS – Siamo proiettati verso la digitalizzazione, ma serve grande attenzione a non andare troppo avanti senza creare strutture di contrasto dinamico e strutture di protezione. In questo senso – ha aggiunto – il ‘Perimetro di sicurezza cibernetica’ è un fattore di assoluta tutela perché consente a soggetti essenziali per la sicurezza dello Stato, di osservare regole semplici e condivise, che permettono anche di reagire in tempi accettabili ad attacchi informatici. Il rischio zero – ha concluso – in quest’ambito non esiste, ma la capacità del sistema è quello di reagire rapidamente”.

Il Perimetro cibernetico – che nasce dal  decreto Cybersecurity approvato dal Senato, e che ora attende l’ok della Camera (dove tornerà in terza lettura per la conversione entro il 20 novembre) – è un altro importante tassello dell’architettura nazionale che prevede nuovi obblighi e disposizioni per soggetti pubblici e privati da definirsi con futuri Dpcm:

• un Centro di valutazione e certificazione nazionale più forte, con poteri anche sulle forniture Ict;
• il rafforzamento della normativa sulla golden power, anche sulle forniture 5G.

Chi farà parte del Perimetro, ad esempio, dovrà compilare un elenco delle reti e dei sistemi sensibili. Un altro dpcm dovrà specificare le procedure di segnalazione degli incidenti e le misure di sicurezza che i soggetti del Perimetro dovranno adottare. Tutte le forniture Ict, inoltre, dovranno superare il vaglio del Centro di valutazione e certificazione nazionale (Cvcn). Inoltre, le nuove disposizioni sul Perimetro si applicheranno anche ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G. Da notare che il Governo potrà applicare i poteri speciali della golden power non solo sulle reti 5G, ma anche sulle forniture ad alta intensità tecnologica funzionali alla loro realizzazione. Previsto, di conseguenza, un obbligo di notifica entro 10 giorni dalla conclusione di un contratto o di un accordo di fornitura. Così, sulla base dell’informativa, il Governo potrà decidere se esercitare il potere di veto o chiedere l’adempimento di specifiche prescrizioni, che dovranno essere comunicate entro 30 giorni, salvo proroga di altri 20 giorni nel caso sia necessario svolgere approfondimenti (la proroga può essere concessa una seconda volta solo in caso di particolari complessità). Decorsi i termini senza nessuna decisione da parte della presidenza del Consiglio, i poteri speciali s’intenderanno non esercitati.

Raoul Mendoza