Arriva il “perimetro di sicurezza cibernetica nazionale”, un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle pubbliche amministrazioni, di enti e operatori, pubblici e privati, da cui dipende una funzione essenziale dello Stato. La sua istituzione è parte integrante dell’architettura di sicurezza cibernetica nazionale che oggi, in Consiglio dei ministri, è stata ulteriormente rafforzata con un decreto legge che interviene sulla Golden power in materia di cyber security. Una misura, ha commentato al termine della riunione il presidente del Consiglio, Giuseppe Conte, che, unitamente a quanto fatto anche sul fronte del 5G, “delimita ancora più efficacemente le verifiche spettanti al governo in caso di autorizzazioni di atti e operazioni societarie riguardanti le nuove reti di infrastrutture tecnologiche”.
IL GOLDEN POWER
Il provvedimento, il cui testo avrebbe subito alcune modifiche rispetto alla bozza in entrata scrive Ansa (che aggiunge che dopo essere stato bollinato dalla Ragioneria dello Stato, è stato firmato dal presidente della Repubblica e in serata depositato in Senato per l’esame parlamentare), aggiorna il decreto 21 del 2012 relativo alla normativa sulle prerogative ‘speciali’ che lo Stato può usare a difesa degli assetti societari nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica in ambiti come l’energia, i trasporti, le comunicazioni (di recente è stato esteso al 5G) e, che riguarda anche la cyber security, quando legata ad asset su cui corrono servizi la cui manomissione può impattare la sicurezza nazionale.
CHE COSA SUCCEDERÀ
Ma come funzionerà praticamente la sua applicazione? Attraverso una prima fase di lavoro, alla quale prenderanno parte il Cisr (composto dal presidente del Consiglio e dai ministri di Affari esteri, Interno, Difesa, Giustizia, Economia e finanze e Sviluppo economico, con il direttore generale del Dis al quale sono assegnate le funzioni di segretario del Comitato) e l’Agenzia per l’Italia Digitale, verranno preparate delle liste che dovranno guardare all’impatto sulla sicurezza nazionale degli incidenti in alcune infrastrutture digitali (un processo che sarà avviato in ogni caso dopo l’espletamento di altri passaggi legislativi e burocratici).
Ad esempio, una grande azienda usufruisce di centinaia, a volte migliaia di servizi che funzionano grazie a una infrastruttura digitale; non tutti questi servizi, però, impattano sulla sicurezza nazionale. Per questo, verrà selezionata una serie di servizi che comporranno lo speciale perimetro da proteggere, all’interno del quale aziende e PA coinvolte dovranno seguire specifiche regole di procurement e di notifica, definite dal decreto.
NIS E CVCN
Il provvedimento segue e si innesta con altri passi compiuti in questi mesi dall’Italia in campo cyber. Uno, recente, riguarda l’elaborazione delle linee guida per la gestione dei rischi e la prevenzione e mitigazione degli incidenti che hanno un impatto rilevante sulla continuità e sulla fornitura dei servizi essenziali: una azione che avvicina l’Italia alla piena attuazione della Direttiva europea Nis, il provvedimento europeo per rafforzare in modo uniforme la cyber security delle infrastrutture critiche nel Vecchio continente.
L’altro è il Centro di Valutazione e Certificazione Nazionale (il Cvcn) istituito presso il Mise, che dovrebbe occuparsi tecnicamente del controllo di hardware e software adottati dalle realtà ricadenti all’interno del perimetro di sicurezza cibernetica nazionale.