27 Ott Il primo regolamento in materia di perimetro di sicurezza nazionale cibernetica

In virtù del Decreto-legge n. 105 del 21 settembre 2019, convertito con modificazioni dalla legge n. 133 del 18 novembre 2019 “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica” nonché del D.P.C.M. n. 131 del 30 luglio 2020, è stato pubblicato in G.U. del 21 ottobre 2020, n. 261, il «Regolamento in materia di perimetro di sicurezza nazionale cibernetica» che entrerà in vigore dal 5 novembre dello stesso anno.

Si tratta di un segnale chiaro dal punto di vista normativo; seppur ci troviamo nella prefazione di una vera e propria rivoluzione copernicana sul tema, il perimetro di sicurezza nazionale cibernetica garantisce la sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale dello Stato o la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato; il primo dei quattro Regolamenti ha la ratio di individuare i soggetti che si occupano di funzioni vitali per l’Italia.

Criteri per la qualificazione dei soggetti inclusi nel perimetro e settori di priorità

All’art. 2 vengono esposti i criteri tramite i quali i Ministeri individuano i soggetti che svolgono funzioni essenziali per lo Stato, attualmente in una misura pari a centocinquanta. Tali soggetti vengono qualificati dallo stesso ordinamento qualora attribuisca loro compiti rivolti ad assicurare la continuità dell’azione di Governo e degli Organi Costituzionali, la sicurezza interna, esterna, le relazioni internazionali (…) riferendosi di riflesso a «soggetti pubblici e privati che pongano in essere attività strumentali all’esercizio di funzioni essenziali dello Stato».

Da non sottovalutare la segretezza della lista dei sopracitati soggetti, così come previsto dall’articolo dieci del D.P.C.M., la cui finalità è la conservazione tramite modalità idonee ad assicurare sicurezza tramite tecniche organizzative adeguate.

Conoscere i settori di priorità cui appartengono i soggetti inclusi nel perimetro è un sussidio al fine di una tutela più efficace; questi, infatti, vengono definiti dall’art. 3: Interno; Difesa; Spazio e aerospazio; Energia; Telecomunicazioni; Economia e finanza; Trasporti; Servizi digitali; Tecnologie critiche; Enti previdenziali/lavoro”, ed è inevitabile un’analisi comparativa rispetto alla Direttiva NIS (Network and Information Security Dir. EU 2016/1148 – D. lgs 65/2018) il cui elenco delle materie è ridotto rispetto al perimetro di sicurezza cibernetica.

Approccio procedurale e adempimenti     

La cybersecurity non può esonerarsi da un approccio prettamente procedurale: cosa accade nelle casistiche relative agli attacchi informatici perpetrati nei confronti dei soggetti all’interno del perimetro?

Innanzitutto, un obbligo di notifica entro sei ore – numericamente differente rispetto alle ventiquattro della Direttiva NIS – presso il Computer Security Incident Response – Team Italia (CSRI) all’interno del Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei ministri (DIS);  inoltre è obbligatorio notificare al Centro di Valutazione e Certificazione Nazionale (CVCN) qualora si intenda procedere all’affidamento di forniture di beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici rientranti nel Perimetro di Sicurezza Nazionale Cibernetica. Se la casistica, invece, prevede una grave violazione sarà inevitabile il coinvolgimento e l’attivazione del Nucleo di Sicurezza Cibernetica (NSC).      

Gli adempimenti contenuti nell’art. 7 del D.P.C.M. si sostanziano nella predisposizione e l’aggiornamento, con cadenza annuale, dell’elenco dei beni ICT, di rispettiva pertinenza, con l’indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono. Ricevuta la comunicazione, i soggetti inclusi nel perimetro dovranno effettuare un’analisi di rischio per ogni funzione essenziale o servizio essenziale.

I soggetti facenti parte del Perimetro dovranno, quindi, individuare tutti i beni ICT necessari a svolgere la funzione o il servizio essenziale e svolgere per ognuno un’analisi dei rischi (Risk Assessment) in modo da valutare (art. 7 comma 2, lettera a, punto 1 e 2):

1. 1. L’impatto di un eventuale incidente sul bene ICT, sia in termini di limitazione dell’operatività del bene stesso, sia di compromissione della disponibilità, integrità o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali;
   2. Le dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, ivi compresi quelli utilizzati per fini di manutenzione e gestione.

I soggetti rientranti nel gruppo di operatori di interesse nazionale avranno 6 mesi di tempo dal momento in cui riceveranno tale comunicazione per trasmettere tali elenchi, comprensivi dell’architettura e della componentistica, predisposta secondo il modello di cui l’art. 8 del D.P.C.M., nonché dell’analisi del rischio.

Conclusioni

Una considerazione finale riguarda, più in generale, l’aderenza al Perimetro: essa infatti richiede ai soggetti rientranti una certa velocità di reazione, tipica di strutture fortemente organizzate con un modello basato su best practices facenti capo ai principali standard internazionali di governance aziendale (a titolo esemplificativo lo Standard ISO/IEC 27001:2013 – Information Security Management Systems).

Sembrerebbe infatti che le misure previste dal Perimetro saranno ancora più stringenti rispetto a quanto stabilito dalle normative europee in materia di sicurezza informatica e protezione dei dati personali succitate (Direttiva NIS e GDPR – Regolamento UE 2016/679).

Sicuramente, l’adozione a monte di un modello organizzativo di compliance integrata che faccia riferimento a tali normative (italiane ed europee) ma tenga ben presente per esempio i principi e le best practices previste dagli standard internazionali (ad esempio la succitata ISO/IEC 27001:2013) risulterebbe in un gran vantaggio sia di business ma soprattutto organizzativo, in particolare per quanto riguarda la sicurezza delle informazioni e la business continuity.

Un modello che offra una visione multidisciplinare della sicurezza informatica permetterebbe alle aziende (e non solo a quelle coinvolte nel Perimetro) una comprensione maggiore dello spazio virtuale nel quale le aziende si muovono e quindi la possibilità di avere contezza di tutte le tipologie di attività criminali che potrebbero nuocere e intaccare i propri asset materiali e immateriali.

Appare chiaro, infatti, che l’autore normativo, stilando i criteri e i principi di selezione dei soggetti ma soprattutto evidenziandone gli obblighi e i requisiti che dovranno rispettare, non abbia lasciato molto spazio a rallentamenti o intoppi di carattere tecnico-organizzativo; anzi, sembra dia quasi per assodato che le società moderne adottino dei modelli organizzativi solidi ed efficaci, in grado di competere in campo internazionale e soprattutto di garantire in toto la sicurezza delle proprie strutture informatiche, e in particolare dei dati e delle informazioni che sono al giorno d’oggi l’asset principale di ogni organizzazione e pertanto il bene principale da proteggere.

Fonti:

• it/eli/id/2020/10/21/20G00150/sg
• eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.ENG&toc=OJ:L:2016:194:TOC
• org/standard/54534.html
• it/service/PDF/PDFServer/BGT/01155393.pdf