Confermato, nei contenuti anticipati il 15 luglio da questa testata, il disegno di legge sul nuovo Perimetro di sicurezza nazionale cibernetica approvato oggi in Consiglio dei ministri. Si tratta di un testo che, ha spiegato l’esecutivo in una nota diramata al termine del vertice, “introduce disposizioni volte ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento o interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.
IL DDL IN SINTESI
Per farlo, il ddl (qui il testo completo dello schema di disegno di legge ottenuto da Formiche.net), che a breve passerà all’esame delle Camere (e sul quale la comunità degli esperti di sicurezza chiede di far presto, assieme alla conversione del decreto sul Golden Power rafforzato), prevede, tra l’altro “la definizione delle finalità del Perimetro e delle modalità di individuazione dei soggetti pubblici e privati che ne fanno parte, nonché delle rispettive reti, dei sistemi informativi e dei servizi informatici rilevanti per le finalità di sicurezza nazionale cibernetica per i quali si applicano le misure di sicurezza e le procedure introdotte”; la “istituzione di un meccanismo teso ad assicurare un procurement più sicuro per i soggetti inclusi nel Perimetro che intendano procedere all’affidamento di forniture di beni e servizi Ict destinati a essere impiegati sulle reti, sui sistemi e per i servizi rilevanti”, la “individuazione delle competenze del ministero dello sviluppo economico – per i soggetti privati inclusi nel Perimetro – e dell’Agenzia per l’Italia Digitale (Agid) – per le amministrazioni pubbliche”; la “istituzione di un sistema di vigilanza e controllo sul rispetto degli obblighi introdotti”; lo “svolgimento delle attività di ispezione e verifica da parte delle strutture specializzate in tema di protezione di reti e sistemi nonché, per quanto riguarda la prevenzione e il contrasto del crimine informatico, delle Amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti”.
SOGGETTI E MISURE
In pratica, i soggetti pubblici e privati che faranno parte del perimetro cyber (realtà che assicurano attraverso reti e sistemi informatici l’erogazione di servizi essenziali per gli interessi del Paese) – secondo il testo – saranno identificati “entro sei mesi dalla data di entrata in vigore della legge”.
Sempre in sei mesi, l’organismo tecnico di supporto al Cisr (il Comitato Interministeriale per la Sicurezza della Repubblica, composto dal presidente del Consiglio e dai ministri di Affari esteri, Interno, Difesa, Giustizia, Economia e finanze e Sviluppo economico, con il direttore generale del Dis al quale sono assegnate le funzioni di segretario del Comitato) e Agid definiranno i criteri in base ai quali i soggetti predisporranno e aggiorneranno “con cadenza almeno annuale un elenco – poi diffuso agli organismi di competenza – delle reti, dei sistemi informativi e dei servizi informatici” sensibili “di rispettiva pertinenza, comprensivo della relativa architettura e componentistica”.
Entro dodici mesi, saranno essere definite invece le procedure secondo cui i soggetti individuati notificheranno (in modo semplificato se già sottoposti, ad esempio, agli obblighi imposti dalla Direttiva europea Nis) gli incidenti informatici allo Csirt italiano (che dovrà inoltrare tempestivamente le notifiche al Dis, anche per le attività demandate al Nucleo per la sicurezza cibernetica; sarà il Dis, poi, a assicurare la trasmissione delle notifiche sia all’Organo del ministero dell’Interno per la sicurezza e la regolarità dei servizi di telecomunicazione – ovvero la Polizia Postale – e all’Agid se provenienti da un soggetto pubblico, sia al Mise se effettuate da un privato). Sempre entro un anno è prevista la definizione delle misure – elaborate secondo gli ambiti di competenza delineati dalla legge, il Mise, e Agid, d’intesa con i ministeri della Difesa e dell’Interno e il Dis, sentito il ministero dell’Economia e delle Finanze, relative a: politiche di sicurezza; gestione del rischio; prevenzione, mitigazione e gestione di incidenti; struttura organizzativa in materia di sicurezza; protezione fisica e logica; protezione dei dati; integrità delle reti e dei sistemi informativi; continuità operativa; gestione operativa; monitoraggio, test e controllo; formazione e consapevolezza; affidamento di forniture di beni, sistemi e servizi Ict, anche mediante definizione di caratteristiche e requisiti di carattere generale. Entrambi i passaggi si concretizzeranno poi con Dpcm applicativi proposti dal Cisr.
IL RUOLO E I COMPITI DEL CVCN
In questo processo, oltre all’intelligence, un ruolo centrale, verrà recitato dal Centro di Valutazione e Certificazione Nazionale, il Cvcn, istituito presso il Mise. I soggetti ricadenti nel perimetro che intenderanno procedere all’affidamento di forniture di beni, sistemi e servizi Ict destinati a essere impiegati sulle reti, sui sistemi informativi per l’espletamento dei servizi informatici essenziali – prosegue il testo – dovrà darne comunicazione al Centro che, oltre a contribuire all’elaborazione delle relative misure di sicurezza, “sulla base di una valutazione del rischio, anche in relazione all’ambito di impiego e in un’ottica di gradualità”, potrà, “entro 30 giorni, imporre condizioni e test di hardware e software; in tale ipotesi, i relativi bandi di gara o contratti vengono integrati di clausole che subordinano l’affidamento della fornitura o del servizio al rispetto delle condizioni e all’esito favorevole dei test disposti dal Cvcn” (un compito da svolgere anche avvalendosi di laboratori accreditati dallo stesso Centro secondo criteri stabiliti da un decreto del presidente del Consiglio dei ministri, adottato – si spiega – entro dodici mesi dalla data di entrata in vigore della presente legge).
Per quanto riguarda invece le forniture di beni, sistemi e servizi Ict da impiegare su reti, sistemi informativi e servizi informatici del ministero della Difesa, individuati come spiegato in precedenza, il dicastero di Via XX Settembre procederà, “nell’ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, in coerenza con quanto previsto dalla presente legge, attraverso un proprio Centro di valutazione in raccordo con AgID e Ministero dello sviluppo economico per i profili di rispettiva competenza”.
I soggetti individuati quali fornitori dovranno assicurare al Cvcn e, limitatamente agli ambiti di specifica competenza, al Centro di valutazione operante presso il ministero della Difesa, la propria collaborazione per l’effettuazione delle attività di test sostenendone gli oneri. In caso di mancata collaborazione, entrambi i centri dovranno segnalarlo al Mise o a Agid (responsabili delle attività ispettive), a seconda che il soggetto interessato dalla fornitura sia privato o pubblico. Per servizi connessi alla funzione di prevenzione, accertamento e repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato, le attività di ispezione e verifica saranno svolte, invece, “dalle strutture specializzate in tema di protezione di reti e sistemi, nonché in tema di prevenzione e di contrasto del crimine informatico, delle amministrazioni da cui dipendono le Forze di polizia e le Forze armate”, che ne comunicheranno poi gli esiti all’Agid per i profili di competenza”.
Infine, il Centro – previo conforme avviso dell’organismo tecnico di supporto al Cisr – potrà anche elaborare e adottare schemi di certificazione cibernetica, laddove, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale nel quinto dominio.
LE SANZIONI
Per i soggetti pubblici e privati ricadenti nel perimetro, non attenersi alle regole non sarà a costo zero, perché “salvo che il fatto costituisca reato”, specifica la bozza di schema del Ddl, in caso di violazione delle disposizioni si applicheranno specifiche sanzioni amministrative pecuniarie indicate come di seguito.
Per il mancato adempimento degli obblighi di predisposizione e di aggiornamento (almeno una volta l’anno) dell’elenco di reti, sistemi informativi e dei servizi informatici sensibili di propria pertinenza si applicherà “una sanzione da 200 mila a euro 1 milione e 200 mila euro”.
Per la mancata o tardiva notifica di incidenti informatici, per l’inosservanza delle misure di sicurezza, per la mancata collaborazione con i Centri e per il mancato adempimento delle prescrizioni si pagheranno “dai 250mila a 1 milione e 500mila euro”.
Ancora più salato – “tra i 300mila e 1 milione e 800mila euro” – sarà il conto per la mancata comunicazione ai Centri di voler procedere all’affidamento di forniture di beni, sistemi e servizi Ict per i servizi identificati come essenziali, e per l’impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici cruciali non ottemperando alle condizioni, ovvero in assenza del superamento dei test.
Il testo prosegue spiegando che in caso “di inottemperanza alle condizioni o in assenza dell’esito favorevole dei test (…), la stipula del contratto non produce effetto ed è fatto divieto alle parti di darvi, anche provvisoriamente, esecuzione. La violazione di tale divieto comporterà, per coloro che abbiano disposto l’affidamento del contratto, l’incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle società aventi ad oggetto, anche se non principale, attività afferenti alle tecnologie dell’informazione e della comunicazione, per un periodo di tre anni a decorrere dalla data di accertamento della violazione”.
Mentre “chiunque, tenuto ad effettuare le comunicazioni richieste nell’espletamento dei procedimenti” indicati, “ovvero delle attività ispettive e di vigilanza previste (…), fornisce informazioni e dati non rispondenti al vero ovvero espone fatti parimenti non rispondenti al vero, allo scopo di ostacolare o condizionare l’espletamento dei medesimi procedimenti o attività, ovvero allo stesso scopo omette di comunicare informazioni, dati o fatti necessari per tali procedimenti o attività, è punito con la pena della reclusione da uno a cinque anni e all’ente, responsabile (…) si applica la sanzione pecuniaria fino a 400 quote”.
LA DOTAZIONE FINANZIARIA
Mentre per gli eventuali adeguamenti alle prescrizioni delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici saranno “effettuati con le risorse finanziarie disponibili a legislazione vigente”, per “la realizzazione, l’allestimento e il funzionamento del Cvcn, si legge poi nella Relazione illustrativa del provvedimento, “è autorizzata la spesa di 3,2 milioni di euro per l’anno 2019 e di 2,850 milioni di euro per ciascuno degli anni dal 2020 al 2023 e di 0,750 milioni di euro annui a decorrere dall’anno 2024″.
Previsti anche interventi per far fronte ad esigenze di personale specializzato per lo svolgimento delle funzioni del Centro presso il Mise e dell’Agid.
In particolare il dicastero dello Sviluppo economico “è autorizzato ad assumere a tempo indeterminato (…) un contingente massimo di 57 unità reclutate dal Dipartimento della funzione pubblica (…) nel limite di spesa annua di euro 1.002.000 per l’anno 2019 ed euro 3.005.000 annui a decorrere dall’anno 2020; fino al completamento di tali procedure”, il Mise, “fatte salve le esigenze connesse alle operazioni condotte dalle Forze armate per la difesa nazionale anche nell’ambito dell’Alleanza atlantica, può avvalersi, per le esigenze del Cvcn di un contingente di personale non dirigenziale appartenente alle pubbliche amministrazioni (…) con esclusione” di alcune categorie, “per un massimo del 40% delle unità di personale” necessario. Nei limiti complessivi della stessa quota il Mise “può avvalersi in posizione di comando di personale con qualifiche o gradi non dirigenziali del comparto sicurezza-difesa fino a un massimo di 20 unità”.
Agid, invece, per lo svolgimento delle nuove funzioni “è autorizzata ad assumere con contratti di lavoro a tempo indeterminato, in aggiunta alle ordinarie facoltà assunzionali e con corrispondente incremento della dotazione organica, un contingente massimo di 10 unità di personale (…) a decorrere dall’anno 2020 fino al completamento di tali procedure”. Anch’essa, fatte salve le medesime esigenze già citate, “può avvalersi, entro il limite del 40% delle unità previste dal medesimo comma, di personale non dirigenziale appartenente alle pubbliche amministrazioni”.
Il reclutamento del personale avverrà “mediante uno o più concorsi pubblici”.
In particolare, rilevano gli esperti, non sfugge un tema riguardante le retribuzioni del nuovo personale che sembrano essere, secondo il testo del ddl, non equiparate a quelle del settore informatico privato (il che potrebbe causare, in assenza di ulteriori interventi, qualche difficoltà di reclutamento).
La complessiva copertura finanziaria degli oneri per la realizzazione del Cvcn e per il personale citato, conclude la relazione, sarà di “4,373 milioni di euro per l’anno 2019, 6,367 per ciascuno degli anni dal 2020 al 2023, e 4,267 euro annui a decorrere dall’anno 2024″.