Nel settembre del 2019, la Presidenza del consiglio dei Ministri ha varato il decreto-legge n°105/2019, poi convertito dalla legge 133/2019, che introduce il c.d. “perimetro nazionale di sicurezza cibernetica”.

Questo provvedimento delinea un recinto che include una serie di attività e strutture che si considerano fondamentali per il mantenimento e l'integrità della vita sociale ed economica del Paese, necessarie sia per i cittadini sia per le imprese, imponendo loro di migliorare sensibilmente i propri livelli di sicurezza cibernetica.

L’obiettivo del decreto è quello di consentire alle imprese di qualsiasi dimensione di cogliere tutte le opportunità offerte dalla trasformazione digitale, riducendo i rischi cyber del processo di digitalizzazione.

Il decreto si rivolge a tutti i soggetti, pubblici e privati, con sede sul territorio nazionale, da cui dipende l’esercizio di una funzione essenziale per lo Stato, o l’erogazione di un servizio essenziale per le attività civili, sociali o economiche dal cui malfunzionamento o interruzione, anche parziale, possa derivare un pregiudizio per la sicurezza nazionale.

I destinatari di questo provvedimento non sono dunque indicati direttamente dalla norma, ma ne vengono elencati i requisiti, e spetta ad un Decreto del Presidente del Consiglio dei Ministri individuarli.

I soggetti che saranno individuati dal DPCM, in virtù della funzione strategica ed essenziale che svolgono o ricoprono nel sistema nazionale, dovranno garantire il rispetto dei criteri e delle procedure di sicurezza previsti dal decreto.

Analogamente, eventuali soggetti che mirano ad offrire al mercato beni e servizi ICT destinati ad un utilizzo nelle reti e nei sistemi essenziali per il Paese, dovranno ottenere specifiche certificazioni o comunque superare test per l’individuazione di vulnerabilità, oltre che dimostrare adeguati livelli di sicurezza nell’erogazione delle forniture richieste.

Il decreto prevede che i soggetti inclusi redigano e aggiornino, con cadenza almeno annuale, un elenco delle reti, dei sistemi informativi e dei servizi informatici necessari allo svolgimento delle funzioni essenziali, descrivendone l’architettura e i componenti. Le strutture comprese nel perimetro dovranno quindi poter censire i propri sistemi e le proprie reti, e l’elenco risultante da questa operazione dovrà essere trasmesso alla Presidenza del Consiglio dei Ministri o al Ministero dello Sviluppo Economico, a seconda che si tratti di soggetti pubblici o privati.

La descrizione dettagliata delle componenti delle strutture informatiche è necessaria per velocizzare, in caso di incidente, il processo di ripristino delle reti stesse, e ridurre così il periodo di mancata erogazione del servizio.

Gli attori del Perimetro dovranno poi dotarsi di un procedimento per la gestione della sicurezza da una prima fase di prevenzione e identificazione degli eventi, fino alla gestione ed alla comunicazione degli stessi. Un procedimento di questo tipo deve comporsi di aspetti organizzativi, tecnologici e procedurali, come ad esempio una cyber threat intelligence (ossia l’attività di raccolta e analisi delle informazioni, cui spesso segue un report), o la realizzazione di policy e procedure di incident management.

I soggetti che rientreranno nel Perimetro dovranno adottare un approccio sistematico a tutti gli elementi della sicurezza delle informazioni, che comprendano una struttura organizzativa destinata alla gestione della sicurezza; delle politiche di sicurezza e gestione del rischio; una protezione fisica e logica dei dati; ecc.

Il decreto, in chiusura, riserva un articolo ai “poteri speciali” del Presidente del Consiglio in presenza di un rischio grave e imminente per la sicurezza nazionale, di natura informatica.

Tra le facoltà del Presidente del Consiglio, rientra la possibilità di convocare il CISR (Comitato Interministeriale per la Sicurezza della Repubblica) per attività di consulenza, proposta e deliberazione in casi di necessità. In una situazione di crisi o minaccia cibernetica grave alla sicurezza nazionale, il Presidente del Consiglio, dopo aver informato il Comitato, può disporre di disattivare, del tutto o in parte, una o più componenti impiegate nelle reti o nei sistemi per il tempo strettamente necessario alla eliminazione dello specifico fattore di rischio o alla sua mitigazione.

In linea teorica quindi, qualora si verificasse una reale, grave ed imminente situazione di minaccia alla sicurezza nazionale, il Presidente del Consiglio dei Ministri potrebbe decidere di “spegnere” internet per il tempo necessario a ripristinarne l’utilizzo in sicurezza, con il solo limite di doverne dare comunicazione al CISR.

Per continuare la lettura del secondo volume de “I Quaderni di ReD Open”, scaricalo subito. Basta un click e non serve registrarsi!

Photo by Alina Grubnyak on Unsplash