Mancano ormai pochi mesi alla messa a regime del Perimetro di Sicurezza Nazionale Cibernetica, e l’iter normativo per la sua realizzazione sembra sempre meglio delineato. Le organizzazioni di punta nei settori coinvolti (interno, difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche e enti previdenziali/lavoro) chiederanno sempre più frequentemente ai loro fornitori di rispettare gli standard di sicurezza informatica e procedurali previsti dal decreto-legge 105/2019, e il tempo per adeguarsi sta scadendo. Il PNRR ha destinato ingenti risorse alla messa a regime del Perimetro, e la porta per entrare a far parte dei soggetti “certificati” si chiuderà molto presto.

A che punto siamo?

Complice l’esplosione dell’emergenza pandemica, e la conseguente modifica degli ordini del giorno in Consiglio dei Ministri, l’ossatura normativa di questo ambizioso progetto si è sviluppata con tempistiche più lunghe rispetto a quelle previste inizialmente.  Ad oggi solo i primi tre decreti attuativi, previsti per la messa a regime di tutto il processo, sono già in vigore. Dal 23 giugno prossimo partirà il “banco di prova semestrale”, un periodo di sperimentazione del Perimetro utile per valutare sia l’efficacia del nuovo sistema di notifica per gli incidenti informatici, sia, più in generale, per “tarare” il grado di collaborazione tra gli enti e i soggetti coinvolti.

I soggetti inclusi nel perimetro

Il primo tassello del complesso mosaico normativo del PSNC è costituito dal DPCM 131/2020, con cui sono stati fissati i metodi e i criteri per l’identificazione di soggetti e asset che rientrano nel Perimetro.
Tali criteri derivano direttamente dalla Direttiva NIS, e individuano i soggetti che svolgono “funzioni e servizi essenziali”, tenendo in considerazione, ai fini dell’essenzialità del servizio, gli effetti dovuti ad una eventuale compromissione/interruzione del servizio, la possibile mitigazione dei suoi effetti ed il tempo necessario per il ripristino della condizione pre-interruzione.

Gli obblighi di notifica

Successivamente, il DPCM del 01.09.2020 sottoposto a parere parlamentare n°240, ha introdotto le nuove procedure di notifica in caso di incidente informatico. Il Decreto distingue due tipologie di incidente: quelli che hanno evidenza pubblica e, per esclusione, tutti gli altri. Nel primo caso la nuova procedura di notifica prevede che lo CSIRT (il Computer security incident response team italiano, istituito presso il Dipartimento delle informazioni per la sicurezza) sia informato entro e non oltre 60 minuti dal rilevamento dell’incidente. Tutti gli altri incidenti, invece, prevedono fino a 6 ore di tempo per essere notificati. Gli operatori che violeranno le procedure o non rispetteranno le tempistiche indicate saranno a rischio sanzione a partire dal termine del banco di prova semestrale (1° gennaio 2022).

Gli enti certificatori

Il terzo decreto, ultimo tra quelli attualmente in vigore, è il DPR n.54 del 2021, con cui sono state definite procedure, modalità e termini di funzionamento del Centro di Valutazione e Certificazione Nazionale(o CVCN). Lo stesso DPR indica anche i criteri tecnici per l’identificazione dei beni, sistemi e servizi ICT che saranno oggetto della valutazione del CVCN, ma tali criteri saranno applicabili solo in seguito all’emanazione di un primo elenco di categorie di beni tramite DPCM.

I prossimi passi

Nei prossimi mesi il quadro normativo sarà completato da almeno altri tre provvedimenti attuativi del D.L. 105/2019: il primo sarà appunto il DPCM che individuerà il primo elenco di categorie di beni, servizi e sistemi ICT sulla base del DPR 54/2021; il secondo dovrà individuare, anche tenendo conto del banco di prova semestrale, le misure di sicurezza che dovranno rispettare i soggetti inclusi nel perimetro, ed eventuali precisazioni sulle procedure di notifica definite precedentemente.  L’ultimo tassello del puzzle sarà il DPCM che dovrà definire le procedure per l’accreditamento dei laboratori di prova e le modalità di raccordo dei Centri di Valutazione – attualmente presenti per il Ministero dell’Interno e quello della Difesa – con il CVCN.

Vuoi ricevere una valutazione sulle esigenze della tua azienda e scegliere la miglior procedura per rendere più sicura la tua infrastruttura informatica?