1Con l’oramai nota approvazione di uno specifico disegno di legge, avvenuta da parte del Consiglio dei Ministri lo scorso venerdì 19 luglio, l’Italia ha formalmente introdotto il concetto di “perimetro nazionale di sicurezza cibernetica”: una serie di disposizioni tecniche ed organizzative volte ad innalzare ulteriormente, ed anzi a completare, il quadro relativo alla protezione delle funzioni essenziali dello Stato contro la crescente minaccia cyber.
Questo provvedimento riveste infatti una natura essenzialmente complementare a quanto già messo in campo negli scorsi anni dal nostro Paese in termini di sicurezza cibernetica nazionale: ad iniziare dalla istituzione nell’oramai lontano 2013 del Quadro Strategico Nazionale e del Piano Operativo, passando per la riorganizzazione dell’Architettura nazionale per la protezione dello spazio cibernetico avvenuta nel 2017, e giungendo infine al recepimento avvenuto nel 2018 (con nessuna significativa modifica o integrazione rispetto al testo comunitario) della Direttiva Nis.
Il complesso puzzle della cyber security nazionale è ora sostanzialmente completo, essendone stati posati tutti i capisaldi tra loro interrelati. Conviene dunque dapprima scorrerli rapidamente per chiarirne meglio il senso dello scenario complessivo, prima di passare ad una breve analisi del provvedimento; il quale risulta peraltro di poco agevole lettura proprio per via dei numerosi e densi riferimenti incrociati alla fitta selva di norme precedenti su cui si incastona.
LA CYBER SECURITY DEL SISTEMA-PAESE
Il primo passo verso un sistema unitario ed integrato di sicurezza cibernetica nazionale fu l’emanazione, con atto del governo Monti, dei due documenti programmatici e di indirizzo denominati Quadro Strategico e Piano Operativo. Questi avevano delineato gli obiettivi chiave da perseguire nel breve e nel medio periodo, nonché assegnato ruoli e responsabilità iniziali per l’istituzione di una solida iniziativa nazionale in termini di protezione cibernetica coordinata.
Successivamente l’Architettura nazionale, emanata dal governo Gentiloni, ridefiniva la corrispondente catena di comando e controllo nonché i relativi processi di governo, razionalizzando l’assetto della cyber security nazionale ed assegnandone definitivamente la governance al comparto intelligence rappresentato dal Dipartimento delle informazioni per la sicurezza (Dis). Chiariva inoltre compiti e relazioni delle molteplici strutture operative che, cooperando tra loro e con il Dis per il tramite del Nucleo per la sicurezza cibernetica (Nsc), concorrono a costituire l’articolato sistema di monitoraggio, allerta e reazione ad eventuali crisi cibernetiche.
Su questa complessa macchina organizzativa si è quindi recentemente calato il mandato della Direttiva europea sulla sicurezza delle reti e dei sistemi informativi (cosiddetta “Direttiva Nis”), una normativa fortemente voluta dalla Commissione sin dal 2013 ma formalmente approvata ed emanata solo nel 2016. Scopo della direttiva era quello di innalzare, in modo coordinato ed armonico in tutto lo spazio Ue, la sicurezza cibernetica di quegli operatori pubblici e privati che, utilizzando infrastrutture Ict, garantiscono l’erogazione di tutti quei servizi dai quali tutti dipendiamo e di cui la società civile non può più fare a meno: non solo dunque i “classici” trasporti, acqua, energia; ma anche sanità, servizi bancari e dei mercati finanziari, e naturalmente i servizi infrastrutturali collegati alle tecnologie dell’informazione e della comunicazione. In altre parole, ciò che un tempo si chiamavano “infrastrutture critiche” e che oggi nel linguaggio Nis (non solo per motivi cosmetici, ma proprio per un sostanziale allargamento del concetto ad ulteriori tipologie di servizio rispetto al passato) vengono meglio definiti come “operatori di servizi essenziali” (Ose).
Va ricordato con l’occasione che l’Italia ha utilizzato la norma di recepimento della Direttiva Nis anche per apportare qualche ulteriore aggiustamento all’Architettura nazionale: laddove ad esempio si riconduce la responsabilità della ricezione e della gestione delle segnalazioni di incidente da parte degli Operatori ad una struttura centrale unificata, lo Csirt Italiano, che è già stato formalmente costituito ed opera (pur se in regime transitorio in attesa dell’emanazione dei previsti decreti attuativi) mediante trasferimento delle funzioni sinora svolte dai due preesistenti Cer governativi istituiti nel 2014, ossia il Cert Nazionale (attivo presso il Ministero dello sviluppo economico) che traguarda la sicurezza di imprese e cittadini, ed il Cert-PA (attivo presso l’Agenzia per l’Italia Digitale) che traguarda la sicurezza della Pubblica Amministrazione.
LA PROTEZIONE DEGLI INTERESSI DELLO STATO
Questo è dunque lo scenario sul quale si viene oggi a incastonare la nuova definizione di “Perimetro di sicurezza nazionale”, il quale si differenzia dall’omologo “perimetro Nis” in quanto comprende e riguarda tutti quei servizi (e i relativi operatori che li erogano) che risultano essenziali ai fini della sicurezza non dei mercati, dei cittadini o della società in genere, che è appunto l’ambito indirizzato dalla Nis, bensì dello Stato in sé.
Si tratta di una distinzione apparentemente sottile ma in realtà profonda e fondamentale: mentre infatti l’obiettivo della Direttiva Nis è quello di rafforzare la resilienza dei servizi “civili”, quelli cioè i cui malfunzionamenti potrebbero causare disagi o danni alla popolazione o al tessuto produttivo, l’obiettivo del Perimetro è quello di identificare e tutelare tutti quei servizi, e relativi operatori sia privati che pubblici, che svolgono un ruolo cruciale “per gli interessi dello Stato” (Art. 1), ed i cui malfunzionamenti potrebbero dunque creare gravi pregiudizi per la sicurezza nazionale.
Con l’istituzione del Perimetro nazionale si chiude dunque un cerchio rimasto aperto, in quanto gli obblighi di innalzamento della sicurezza dei servizi vengono ora estesi anche a tutti quegli operatori che, pur non essendo formalmente ricompresi tra gli Ose censiti secondo i criteri standard stabiliti a livello europeo dalla Direttiva Nis, purtuttavia svolgono un ruolo cruciale per la sicurezza stessa del Paese. Si potrebbe definire il “complemento ad uno” della Nis, in quanto traguarda le minacce che potrebbero colpire il cuore e gli interessi vitali dell’Italia operando ai danni di tutti quei soggetti pubblici e privati che, pur non essendo tecnicamente soggetti alla Nis, nondimeno dovrebbero garantire livelli ancora più elevati di protezione delle proprie attività.
Il primo passo verso l’attuazione del Perimetro, così come stabilito dall’Articolo 1 del testo licenziato dal Consiglio dei Ministri, consta dunque in una attenta ricognizione di quali e quanti siano tali soggetti. Si possono infatti dare due casi: tra loro potrebbero esservi operatori già censiti fra gli Ose ai sensi della Nis, in quanto i servizi che essi erogano alla società generale sono comunque già cruciali anche per lo Stato; e potrebbero esservi soggetti non compresi fra gli operatori censiti ai sensi della Nis, in quanto i loro servizi non riguardano la società in genere ma solo attività dello Stato. La norma stabilisce che il censimento dei soggetti da ricomprendere nel Perimetro, siano essi pubblici o privati, andrà svolto entro sei mesi dalla sua entrata in vigore; le modalità e i criteri con cui effettuarlo saranno regolati da un apposito Dpcm di futura emanazione.
Il secondo passo prevede che i soggetti così identificati predispongano e mantengano aggiornato l’elenco dei propri servizi critici per lo Stato, corredato di tutte le informazioni architetturali e tecniche necessarie a qualificarli nella loro natura e implementazione. Entro sei mesi gli operatori individuati dovranno comunicare tali elenchi al Ministero dello sviluppo economico, se privati, e all’Agenzia per l’Italia Digitale, se pubblici; a loro volta Il MiSE e l’AgID inoltreranno tali elenchi al Dis per le proprie valutazioni. Anche i dettagli operativi di tale operazione, quali ad esempio le modalità di rappresentazione e comunicazione, dovranno essere stabiliti mediante il medesimo Dpcm di cui al punto precedente.
Il terzo passo, da completarsi entro un anno dall’entrata in vigore della norma, riguarda invece e finalmente gli aspetti realmente operativi della gestione della sicurezza all’interno del Perimetro: ovvero la definizione e l’attuazione delle “misure atte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici” di competenza dei soggetti identificati, nonché le modalità e le procedure secondo cui costoro dovranno notificare alle autorità di sicurezza gli eventuali incidenti rilevanti cui dovessero andare soggetti. Sarà un ulteriore emanando Dpcm a stabilire i dettagli attuativi, ma alcuni capisaldi sono già fissati nel Ddl testé approvato: ad esempio è stabilito che il flusso da seguire nella notifica degli incidenti prevede che l’operatore comunichi direttamente con lo Csirt Italiano, ossia la struttura già incaricata di ricevere le segnalazioni di incidenti ai sensi della Direttiva Nis; questo inoltrerà la segnalazione al Dis, che a sua volta interesserà per competenza il Ministero dello sviluppo economico o l’Agenzia per l’Italia Digitale se il soggetto segnalante è, rispettivamente, privato o pubblico.
Analogamente è già stata assegnata la responsabilità relativa all’elaborazione delle misure di sicurezza cui gli operatori dovranno ottemperare: questa ricade sul Ministero dello sviluppo economico e sull’Agenzia per l’Italia Digitale, che dovranno tuttavia sviluppare le misure d’intesa con il Ministero della difesa, il ministero dell’interno e il Dis, sentito il ministero dell’economia e delle finanze. Tali misure dovranno inoltre prendere in esame tutti gli aspetti rilevanti del ciclo di vita della gestione della sicurezza, partendo dall’analisi del rischio per finire alla formazione e sensibilizzazione del personale. Nel caso particolare, ma non infrequente, in cui un soggetto appartenente al Perimetro sia anche un Ose già soggetto ai vincoli della Direttiva Nis, esso dovrà continuare ad adottare tutti i provvedimenti ed i comportamenti stabiliti da tale norma, aggiungendovi on top gli eventuali ulteriori requisiti che verranno emanati nell’ambito delle specifiche esigenze del Perimetro.
Un ulteriore aspetto rilevante che viene indirizzato dalla norma è quello che traguarda la fornitura di beni, sistemi e servizi Ict destinati ad essere impiegati su reti e sistemi informativi essenziali per lo Stato e/o per erogare servizi critici per lo Stato. In questo caso il soggetto che intende procedere all’affidamento della fornitura dovrà tempestivamente e preventivamente informare il Centro di valutazione e certificazione nazionale (Cvcn) recentemente istituito presso il ministero dello sviluppo economico il quale, se lo riterrà opportuno sulla base di una propria analisi del rischio, potrà imporre la verifica tecnica delle componenti hardware e software della fornitura alle proprie condizioni. Gli schemi impiegati per la valutazione e la certificazione della sicurezza cibernetica dei prodotti e servizi critici saranno sviluppati dallo stesso Cvcn, qualora gli standard di riferimento già esistenti dovessero essere giudicati non adeguati alle esigenze di tutela del Perimetro.
LE STRUTTURE INTERESSATE E I POTERI ASSEGNATI
Come emerge chiaramente da quanto sinora esposto, per l’attuazione del Perimetro il Dpcm fa perno soprattutto su due strutture, cui assegna nuovi ruoli e responsabilità chiave complementari: il Ministero dello sviluppo economico, al quale viene data la giurisdizione su tutte le attività nelle quali è coinvolto il settore privato; e l’Agenzia per l’Italia Digitale, alla quale viene data la giurisdizione su tutte le attività nelle quali è coinvolto il settore pubblico. È attorno ad esse, che cooperano reciprocamente e con le altre strutture della sicurezza nazionale, che ruota la complessa organizzazione funzionale del Perimetro.
Per consentire dunque a tali strutture di svolgere in modo compiuto ed efficace i propri compiti, il Dpcm assegna loro un ampio ventaglio di nuovi poteri. In primis tali strutture, ciascuna per il proprio ambito di competenza, sono incaricate di esercitare le funzioni di vigilanza e controllo sull’operato dei soggetti identificati nell’ambito del Perimetro, i quali devono ottemperare alle prescrizioni ricevute e sono passibili di ricevere sanzioni sia amministrative che penali in caso contrario. Ad entrambe le strutture sono quindi dati poteri di ispezione e verifica nei confronti dei soggetti identificati, in particolare per quanto riguarda le attività connesse alla tenuta e comunicazione degli elenchi delle reti e dei servizi. Ed infine ad entrambe le strutture sono dati poteri di accertamento delle violazioni e di irrogazione delle eventuali sanzioni amministrative corrispondenti.
Lo schema delle sanzioni amministrative previste in caso di violazioni o inadempienza da parte dei soggetti individuati è severo ed abbastanza articolato, comprendendo diverse fattispecie in funzione delle varie tipologie di prescrizioni. In generale gli importi delle sanzioni sono piuttosto elevati, andando da un minimo di 200.000 euro fino ad un massimo di 1.800.000 euro, sempre salvo che il fatto non costituisca reato. Sono inoltre stabilite pene reclusive (da uno a cinque anni) per i soggetti che ostacolino o condizionino in vario modo le attività di vigilanza o di comunicazione delle informazioni; ed è esplicitamente previsto, per i soggetti pubblici, che la violazione delle disposizioni previste dalla norma possa costituire causa di responsabilità disciplinare ed amministrativo-contabile.
A chiusura del quadro, in considerazione della numerosità e dell’onerosità di tutti i nuovi compiti assegnati al Ministero dello sviluppo economico ed all’Agenzia per l’Italia Digitale, la norma correttamente introduce espliciti rafforzamenti di entrambe le strutture in termini sia di organico che di budget: una misura assolutamente necessaria per consentire loro di far fronte in modo adeguato alle aumentate esigenze operative.
CHE COSA RIMANE DA FARE
Con questo importante provvedimento l’Italia chiude dunque il cerchio sulla sicurezza cibernetica nazionale estendendo alla protezione dello Stato e dei suoi interessi strategici garanzie equivalenti o superiori a quelle già stabilite mediante la Direttiva Nis per i servizi civili. Le funzioni e le attività del Perimetro si poggiano su un quadro oramai sostanzialmente consolidato di governance fatto di strutture, organizzazioni e processi già in esercizio, che risponde ad una catena di comando e controllo rodata, le cui funzioni vengono completate mediante l’attribuzione di nuovi compiti ed importanti poteri a due attori, il ministero dello sviluppo economico e l’Agenzia per l’Italia Digitale, che già svolgevano un ruolo fondamentale nell’ambito dell’Architettura nazionale, e divengono oggi organi cruciali per garantire la tutela delle funzioni essenziali dello Stato in un contesto unitario.
Cosa dunque rimane ancora da fare?
In primo luogo, ovviamente, il disegno di legge dovrà essere effettivamente emanato: il testo licenziato dal Consiglio dei ministri infatti, già oggetto di serrate contrattazioni in fase di sviluppo fra la parti coinvolte, potrebbe essere modificato in fase di approvazione. Ma anche i tempi di pubblicazione sono importanti, date le scadenze relativamente serrate degli adempimenti previsti. In primo luogo occorre dunque portare rapidamente a termine l’iter approvativo della norma senza ritardi o derive.
Ma ancora più importante è che all’istituzione del Perimetro il governo dia immediato seguito mediante la pronta emanazione dei due Dpcm attuativi da esso previsti, i quali dovranno dare a tutti gli attori coinvolti indicazioni chiare ed eseguibili riguardo aspetti operativi cruciali quali: le modalità di individuazione degli operatori ricompresi nel Perimetro; i criteri di tenuta e di comunicazione degli elenchi dei servizi critici; le modalità di comunicazione degli incidenti allo Csirt Italiano; le misure tecniche ed organizzative di sicurezza che gli operatori dovranno adottare. In assenza di indicazioni chiare e tempestive, infatti, la messa in moto di una macchina così articolata e complessa potrebbe soffrire di indebiti inceppamenti e ritardi, vanificando lo sforzo complessivo.
Rimane infine da sciogliere un nodo ancora precedente, rimasto in sospeso sin dall’emanazione della norma di recepimento della Direttiva Nis (decreto legislativo n. 65 del 18 maggio 2018), e relativo alla costituzione dello Csirt Italiano. Questo infatti, come inizialmente previsto da tale norma, sta tuttora operando in regime transitorio mediante la cooperazione funzionale fra il Cert Nazionale ed il Cert-PA, ma non è mai stato costituito come organismo autonomo ed unitario, dotato di una propria struttura operativa e di un proprio organico, in quanto non è ancora stato emesso il relativo Dpcm attuativo (atteso per lo scorso 5 novembre) che avrebbe dovuto indicare le modalità per la sua creazione, organizzazione interna e funzionamento. Dato che questa struttura, già cruciale nell’ambito della Direttiva Nis, dovrà garantire un’azione ancora più efficace nell’ambito del Perimetro, diventa essenziale che possa essere messa in grado di funzionare a pieno regime in tempi brevi.
