Il Senato ha approvato il c.d. “Decreto Aiuti Bis”, che prevede alcuni emendamenti in materia di cybersicurezza - nello specifico all’articolo 37, rubricato “Disposizioni in materia di intelligence in ambito cibernetico”.
La possibilità che lo Stato risponda ad un cyber-attacco in maniera attiva è la prima novità di rilievo, che peraltro sempre più sposta l’attenzione di tutti verso scenari di cyberwar possibili, se non già in essere.
La Presidenza del Consiglio dei Ministri può dare mandato alle forze armate di rispondere ad un attacco in modo proporzionato e legittimo, con un altro cyber-attacco.
Dopo di che, informerà il Copasir, che entro 24 mesi dovrà recarsi in parlamento a riferire sugli effetti che la risposta ha avuto sulle infrastrutture nazionali.
Con l’incremento degli attacchi informatici, rivolti soprattutto a chi opera nel settore dell’energia, scaturito dal conflitto in Ucraina, si è perciò deciso di aumentare i poteri della presidenza del Consiglio e di adeguare alla situazione di emergenza gli obblighi di notifica in capo ai soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica.
Questo meccanismo è possibile solo a fronte di una stretta cooperazione tra le istituzioni coinvolte, e soprattutto tra l’intelligence e il ministero della difesa, ed è quindi ben evidente un richiamo alla necessità di una governance che includa nuovi piani prospettici.
Ulteriore punto da evidenziare, introdotto da un decreto firmato dall’Agenzia per la Cybersicurezza Nazionale, riguarda gli obblighi e soprattutto le tempistiche di notifica per gli incidenti informatici.
I soggetti inclusi nel PSNC che registrano un attacco ad un “bene tecnologico rilevante” della loro architettura, devono notificarlo al CSIRT entro una o sei ore, a seconda della tipologia di evento.
Per tutti gli attacchi che riguardano altre componenti dell’infrastruttura ICT degli enti inclusi nel Perimetro viene ora fissato a 72 ore il termine per la notifica.
L’obiettivo è quello di arrivare ad un “Hyper Soc” per la PA, ossia una struttura in grado di raccogliere in tempo reale le notifiche di incidenti ad architetture ritenute essenziali per la vita socio-economica del Paese.
Affinché questi obiettivi siano raggiungibili, mancano ancora due fattori essenziali: in primo luogo una cooperazione, auspicata in questo ambito dalle prime bozze di Direttiva NIS (pre 2016), tra tutte le istituzioni coinvolte (Presidenza del Consiglio, Ministero della Difesa, Agenzia per la Cybersicurezza); in secondo luogo, come si apprende dalla cronaca quotidiana, quel livello minimo di consapevolezza necessario per difendere un sistema dalle minacce più comuni.
Ora al di là di decreti e buone pratiche, anche a noi come persone siamo coinvolti, benché su un piano diverso, in questi problemi di sicurezza che incidono sul nostro vivere quotidiano.