Dopo mesi di tentennamenti, l’Italia compie un deciso scatto in avanti nel rafforzamento delle reti 5G e di sistemi e servizi informatici rilevanti per le finalità di sicurezza nazionale. Lo fa grazie a un nuovo decreto approvato oggi in Consiglio dei Ministri, una misura attesa che sul piano domestico eleverà i controlli anche sulle apparecchiature adottate dalle telco, mentre su quello internazionale rappresenta un segnale (tardivo ma concreto) di grande attenzione nei confronti di Washington, che da tempo avverte circa quelli che considera i pericoli connessi all’adozione di tecnologia dei colossi cinesi Huawei e Zte.

IL PERCORSO

Frutto di un percorso articolato partito mesi fa, il nuovo decreto legge recante “disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica” – del quale uscita e testo erano stati anticipati su queste colonne – ricalca nella quasi totalità i contenuti del disegno di legge sul perimetro licenziato dallo scorso esecutivo gialloverde e del decreto legge sul Golden Power non convertito e dunque decaduto giorno 9 settembre.
Agire in fretta, ha più volte raccontato Formiche.net in queste settimane, era divenuta una scelta obbligata. La mancata conversione del decreto che allungava i tempi di notifica e di istruttoria anche per l’applicazione dei poteri speciali anche per le reti e il contestuale lungo percorso che avrebbe atteso il disegno di legge sul perimetro hanno spinto il governo in carica a muoversi su due fronti. Il primo: esaminare subito la questione nel suo primo Cdm, deliberando l’esercizio dei poteri speciali su alcune delle notifiche presentate dalle telco in relazione ai contratti di fornitura stipulati con fornitori di tecnologia 5G, tra i quali figurano anche le cinesi Huawei e Zte. Ma la misura non risolveva strutturalmente il problema.
Di qui la necessità di procedere subito con nuovo decreto legge che potesse elevare in un colpo solo la sicurezza delle reti e dei sistemi più sensibili agendo su diverse criticità, includendo l’esercizio dei poteri speciali anche per le reti esplicitamente citato (e la cui disciplina potrebbe essere ulteriormente rafforzati in sede di conversione di legge da parte del Parlamento).

I CONTENUTI

I soggetti pubblici e privati che faranno parte del perimetro cyber (realtà che assicurano attraverso reti e sistemi informatici l’erogazione di servizi essenziali per gli interessi del Paese) – secondo il testo – dovrebbero essere identificati “entro quattro mesi (prima erano sei, ndr)dalla data di entrata in vigore della legge”.
Sempre in quattro mesi (sei in precedenza), l’organismo tecnico di supporto al Cisr (il Comitato Interministeriale per la Sicurezza della Repubblica, composto dal presidente del Consiglio e dai ministri di Affari esteri, Interno, Difesa, Giustizia, Economia e finanze e Sviluppo economico, con il direttore generale del Dis al quale sono assegnate le funzioni di segretario del Comitato) e la presidenza del Consiglio dei ministri (nel disegno di legge era l’Agid) dovrebbero definire i criteri in base ai quali i soggetti predisporranno e aggiorneranno “con cadenza almeno annuale un elenco – poi diffuso agli organismi di competenza – delle reti, dei sistemi informativi e dei servizi informatici” sensibili “di rispettiva pertinenza, comprensivo della relativa architettura e componentistica”.
Entro dieci mesi (dodici nel ddl), dovrebbero essere definite invece le procedure secondo cui i soggetti individuati notificheranno gli incidenti informatici allo Csirt italiano. Sempre entro dieci mesi (anch’essi dodici in precedenza) è prevista la definizione delle misure volte a garantire gli elevati livelli di sicurezza previsti per i soggetti identificati -, relative a: politiche di sicurezza; gestione del rischio; prevenzione, mitigazione e gestione di incidenti; struttura organizzativa in materia di sicurezza; protezione fisica e logica; protezione dei dati; integrità delle reti e dei sistemi informativi; continuità operativa; gestione operativa; monitoraggio, test e controllo; formazione e consapevolezza; affidamento di forniture di beni, sistemi e servizi Ict, anche mediante definizione di caratteristiche e requisiti di carattere generale.
In questo processo, oltre all’intelligence, un ruolo centrale, secondo la bozza, verrà recitato dal Centro di Valutazione e Certificazione Nazionale, il Cvcn, istituito presso il Mise, chiamato a controllare tecnicamente gli apparati e dare prescrizioni.
Chi non rispetterà quanto previsto dalle nuove norme – che finanziano anche le nuove strutture e il personale necessario – andrà incontro a pesanti sanzioni e, in alcuni casi, anche alla reclusione.

I PROSSIMI PASSI

Ora, naturalmente, gli occhi saranno puntati sui prossimi passi. Il decreto entrerà in vigore immediatamente dopo l’approdo in Gazzetta Ufficiale, ma gli effetti prodotti dalla normativa sono provvisori, perché il testo perderà efficacia se il Parlamento non lo convertirà in legge entro 60 giorni dalla sua pubblicazione.

Condividi tramite