Un perimetro di sicurezza nazionale cibernetica in grado di “assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato”, ovvero “la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi” della nazione, “e dal cui malfunzionamento o interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.
Dopo il rafforzamento, anche per le reti, dei poteri speciali dello Stato previsti dal Golden Power, a definire questo nuovo ‘spazio’, oggetto di particolari misure di controllo, sarà con molta probabilità un disegno di legge che dovrebbe essere sottoposto a breve all’esame del Parlamento e del quale Formiche.net ha visionato una bozza di schema (che potrebbe essere tuttavia suscettibile di variazioni).
SOGGETTI E MISURE
I soggetti pubblici e privati che faranno parte del perimetro cyber (realtà che assicurano attraverso reti e sistemi informatici l’erogazione di servizi essenziali per gli interessi del Paese) – secondo il testo – dovrebbero essere identificati “entro sei mesi dalla data di entrata in vigore della legge”.
Sempre in sei mesi, l’organismo tecnico di supporto al Cisr (il Comitato Interministeriale per la Sicurezza della Repubblica, composto dal presidente del Consiglio e dai ministri di Affari esteri, Interno, Difesa, Giustizia, Economia e finanze e Sviluppo economico, con il direttore generale del Dis al quale sono assegnate le funzioni di segretario del Comitato) e Agid dovrebbero definire i criteri in base ai quali i soggetti predisporranno e aggiorneranno “con cadenza almeno annuale un elenco – poi diffuso agli organismi di competenza – delle reti, dei sistemi informativi e dei servizi informatici” sensibili “di rispettiva pertinenza, comprensivo della relativa architettura e componentistica”.
Entro dodici mesi, dovrebbero essere definite invece le procedure secondo cui i soggetti individuati notificheranno (in modo semplificato se già sottoposti, ad esempio, agli obblighi imposti dalla Direttiva europea Nis) gli incidenti informatici allo Csirt italiano (che dovrà inoltrare tempestivamente le notifiche al Dis, anche per le attività demandate al Nucleo per la sicurezza cibernetica; sarà il Dis, poi, a assicurare la trasmissione delle notifiche sia all’Organo del ministero dell’Interno per la sicurezza e la regolarità dei servizi di telecomunicazione – ovvero la Polizia Postale – e all’Agid se provenienti da un soggetto pubblico, sia al Mise se effettuate da un privato). Sempre entro un anno è prevista la definizione delle misure – elaborate da Cisr tecnico e Agid, e volte a garantire gli elevati livelli di sicurezza previsti per i soggetti identificati -, relative a: politiche di sicurezza; gestione del rischio; prevenzione, mitigazione e gestione di incidenti; struttura organizzativa in materia di sicurezza; protezione fisica e logica; protezione dei dati; integrità delle reti e dei sistemi informativi; continuità operativa; gestione operativa; monitoraggio, test e controllo; formazione e consapevolezza; affidamento di forniture di beni, sistemi e servizi Ict, anche mediante definizione di caratteristiche e requisiti di carattere generale. Entrambi i passaggi dovrebbero concretizzerarsi poi con Dpcm applicativi proposti dal Cisr.
IL RUOLO E I COMPITI DEL CVCN
In questo processo, oltre all’intelligence, un ruolo centrale, secondo la bozza, verrà recitato dal Centro di Valutazione e Certificazione Nazionale, il Cvcn, istituito presso il Mise. I soggetti ricadenti nel perimetro che intenderanno procedere all’affidamento di forniture di beni, sistemi e servizi Ict destinati a essere impiegati sulle reti, sui sistemi informativi per l’espletamento dei servizi informatici essenziali – prosegue il testo – dovrebbero darne comunicazione al Centro che, oltre a contribuire all’elaborazione delle relative misure di sicurezza, “sulla base di una valutazione del rischio, anche in relazione all’ambito di impiego e in un’ottica di gradualità”, potrebbe, “entro 30 giorni, imporre condizioni e test di hardware e software; in tale ipotesi, i relativi bandi di gara o contratti vengono integrati di clausole che subordinano l’affidamento della fornitura o del servizio al rispetto delle condizioni e all’esito favorevole dei test disposti dal Cvcn” (un compito da svolgere anche avvalendosi di laboratori accreditati dallo stesso Centro secondo criteri stabiliti da un decreto del presidente del Consiglio dei ministri, adottato – si spiega – entro dodici mesi dalla data di entrata in vigore della presente legge).
Per quanto riguarda invece le forniture di beni, sistemi e servizi Ict da impiegare su reti, sistemi informativi e servizi informatici del ministero della Difesa, individuati come spiegato in precedenza, il dicastero di Via XX Settembre dovrebbe procedere, “nell’ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, in coerenza con quanto previsto dalla presente legge, attraverso un proprio Centro di valutazione in raccordo con AgID e Ministero dello sviluppo economico per i profili di rispettiva competenza”.
I soggetti individuati quali fornitori dovrebbero assicurare al Cvcn e, limitatamente agli ambiti di specifica competenza, al Centro di valutazione operante presso il ministero della Difesa, la propria collaborazione per l’effettuazione delle attività di test sostenendone gli oneri. In caso di mancata collaborazione, entrambi i centri dovrebbero segnalarlo al Mise o a Agid (responsabili delle attività ispettive), a seconda che il soggetto interessato dalla fornitura sia privato o pubblico. Per servizi connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato, le attività di ispezione e verifica dovrebbero essere svolte, invece, “dalle strutture specializzate in tema di protezione di reti e sistemi, nonché in tema di prevenzione e di contrasto del crimine informatico, delle amministrazioni da cui dipendono le Forze di polizia e le Forze armate”, che ne comunicheranno poi gli esiti all’Agid per i profili di competenza”.
Infine, il Centro – previo conforme avviso dell’organismo tecnico di supporto al Cisr – dovrebbe anche elaborare e adottare schemi di certificazione cibernetica, laddove, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale nel quinto dominio.
LE SANZIONI
Per i soggetti pubblici e privati ricadenti nel perimetro, non attenersi alle regole non sarà a costo zero, perché “salvo che il fatto costituisca reato”, specifica la bozza di schema del Ddl, in caso di violazione delle disposizioni si applicheranno specifiche sanzioni amministrative pecuniarie indicate nella bozza come di seguito.
Per il mancato adempimento dell’obbligo di redigere almeno una volta l’anno un elenco di reti, sistemi informativi e servizi informatici sensibili di propria pertinenza si applicherebbe “una sanzione da 200 mila a euro 1milione e 200 mila euro”.
Per la mancata o tardiva notifica di incidenti informatici, per l’inosservanza delle misure di sicurezza, per la mancata collaborazione con i Centri e per il mancato adempimento delle prescrizioni si potrebbero pagare “dai 250mila a 1 milione e 500mila euro”.
Ancora più salato – “tra i 300mila e 1 milione e 800mila euro” – sarebbe il conto per la mancata comunicazione ai Centri di voler procedere all’affidamento di forniture di beni, sistemi e servizi Ict per i servizi identificati come essenziali, e per l’impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici cruciali non ottemperando alle condizioni, ovvero in assenza del superamento dei test.
Il testo prosegue spiegando che in caso “di inottemperanza alle condizioni o in assenza dell’esito favorevole dei test (…), la stipula del contratto non produce effetto ed è fatto divieto alle parti di darvi, anche provvisoriamente, esecuzione. La violazione di tale divieto comporta, per coloro che abbiano disposto l’affidamento del contratto, l’incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle società aventi ad oggetto, anche se non principale, attività afferenti alle tecnologie dell’informazione e della comunicazione, per un periodo di tre anni a decorrere dalla data di accertamento della violazione”.
Mentre “chiunque, tenuto ad effettuare le comunicazioni richieste nell’espletamento dei procedimenti” indicati, “ovvero delle attività ispettive e di vigilanza previste (…), fornisce informazioni e dati non rispondenti al vero ovvero espone fatti parimenti non rispondenti al vero, allo scopo di ostacolare o condizionare l’espletamento dei medesimi procedimenti o attività, ovvero allo stesso scopo omette di comunicare informazioni, dati o fatti necessari per tali procedimenti o attività, è punito con la pena della reclusione da uno a cinque anni e all’ente, responsabile (…) si
applica la sanzione pecuniaria fino a 400 quote”.
LA DOTAZIONE FINANZIARIA
Mentre per gli eventuali adeguamenti alle prescrizioni delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici saranno “effettuati con le risorse finanziarie disponibili a legislazione vigente”, per “la realizzazione, l’allestimento e il funzionamento del Cvcn, si legge poi nella Relazione illustrativa del provvedimento, “è autorizzata la spesa di 3,2 milioni di euro per l’anno 2019 e di 2,850 milioni di euro per ciascuno degli anni dal 2020 al 2023 e di 0,750 milioni di euro annui a decorrere dall’anno 2024”.
Previsti anche interventi per far fronte ad esigenze di personale specializzato per lo svolgimento delle funzioni del Centro presso il Mise e dell’Agid.
In particolare il dicastero dello Sviluppo economico “è autorizzato ad assumere a tempo indeterminato (…) un contingente massimo di 57 unità reclutate dal Dipartimento della funzione pubblica (…) nel limite di spesa annua di euro 1.002.000 per l’anno 2019 ed euro 3.005.000 annui a decorrere dall’anno 2020; fino al completamento di tali procedure”, il Mise, “fatte salve le esigenze connesse alle operazioni condotte dalle Forze armate per la difesa nazionale anche nell’ambito dell’Alleanza atlantica, può avvalersi, per le esigenze del Cvcn di un contingente di personale non dirigenziale appartenente alle pubbliche amministrazioni (…) con esclusione” di alcune categorie, “per un massimo del 40% delle unità di personale” necessario. Nei limiti complessivi della stessa quota il Mise “può avvalersi in posizione di comando di personale con qualifiche o gradi non dirigenziali del comparto sicurezza-difesa fino a un massimo di 20 unità”.
Agid, invece, per lo svolgimento delle nuove funzioni “è autorizzata ad assumere con contratti di lavoro a tempo indeterminato, in aggiunta alle ordinarie facoltà assunzionali e con corrispondente incremento della dotazione organica, un contingente massimo di 10 unità di personale (…) a decorrere dall’anno 2020 fino al completamento di tali procedure”. Anch’essa, fatte salve le medesime esigenze già citate, “può avvalersi, entro il limite del 40% delle unità previste dal medesimo comma, di personale non dirigenziale appartenente alle pubbliche amministrazioni”.
Il reclutamento del personale “avviene mediante uno o più concorsi pubblici”.
La complessiva copertura finanziaria degli oneri per la realizzazione del Cvcn e per il personale citato, conclude la relazione, dovrebbe essere di “4,373 milioni di euro per l’anno 2019, 6,367 per ciascuno degli anni dal 2020 al 2023, e 4,267 euro annui a decorrere dall’anno 2024”.