È legge il decreto sulla cyber security. La Camera ha approvato in via definitiva il provvedimento.
CHE COSA CAMBIA
Con il provvedimento nasce il Perimetro di sicurezza nazionale cibernetica, che introduce nuovi obblighi per soggetti pubblici e privati che saranno definiti con futuri Dpcm; un Centro di valutazione e certificazione nazionale (Cvcn) con poteri anche sulle forniture Ict; e un rafforzamento della normativa sui poteri speciali previsti dal Golden power, anche sul 5G. Una misura, questa, particolarmente apprezzata oltreoceano (l’inquilino della Casa Bianca Donald Trump l’ha elogiata durante la recente visita del presidente della Repubblica Sergio Mattarella), dove da tempo si chiede di aumentare il livello di attenzione sulle nuove reti e, in particolare, di tenervi fuori – per possibili rischi di spionaggio – i colossi cinesi che le forniscono, Huawei e Zte.
LE MODIFICHE DI PALAZZO MADAMA
Rispetto al testo approvato in prima lettura alla Camera, la sola modifica apportata a Palazzo Madama aveva dotato anche il Viminale di un proprio Centro di valutazione accreditato per reti e forniture Ict di competenza, anche se i compiti di certificazione restano in capo al Cvcn del Mise. Nessuna modifica è giunta in terza lettura alla Camera, dove l’opposizione si è astenuta dal votarlo.
IL CSIRT
Il decreto interviene anche sulle procedure di segnalazione degli incidenti su reti, sistemi informativi e sistemi informatici rientranti nel perimetro di sicurezza nazionale cibernetica: i relativi soggetti (amministrazioni pubbliche, nonché enti oppure operatori nazionali, pubblici e privati) devono notificare l’incidente al Gruppo di intervento per la sicurezza informatica in caso di incidente (Csirt) italiano. Il Csirt procede poi a inoltrare tempestivamente tali notifiche al Dipartimento delle informazioni della sicurezza (Dis).
Solo pochi giorni fa, in applicazione di quanto previsto dalla Direttiva Nis – il provvedimento che ha affrontato per la prima volta a livello europeo il tema della cyber security, definendo le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi – è stato pubblicato in Gazzetta Ufficiale il decreto del Presidente del Consiglio dei Ministri recante disposizioni sull’organizzazione e il funzionamento del Computer Security Incident Response Team – Csirt italiano. Il provvedimento ha istituito il Csirt appunto presso il Dis della Presidenza del Consiglio dei Ministri, con il compito di definire le procedure tecniche per la prevenzione e la gestione degli incidenti informatici; ricevere le notifiche di incidente; fornire al soggetto che ha effettuato la notifica le informazioni per facilitare la gestione efficace dell’evento; informare gli altri Stati membri dell’Ue eventualmente coinvolti dall’incidente; garantire la collaborazione nella rete di Csirt, attraverso l’individuazione di forme di cooperazione appropriate, lo scambio di informazioni e la condivisione di best practices. Viene così a comporsi un altro tassello importante dell’Architettura Nazionale Cyber che, con la collocazione del Csirt presso il Dis, favorirà una più efficace gestione tecnica degli incidenti a livello nazionale e internazionale, grazie alle sinergie garantite dalle altre funzioni già assicurate dal Dipartimento in tale ambito, quali, il “punto di contatto unico nazionale Nis” per la gestione operativa di incidenti transfrontalieri, il “Nucleo per la Sicurezza Cibernetica (Nsc)” per la gestione operativa di incidenti che hanno un impatto sulla sicurezza nazionale, e le attivazioni che ora deriveranno dal cosiddetto “Perimetro di sicurezza nazionale cibernetica”. Il Decreto individua altresì le tempistiche per una piena operatività del Csirt. Entro 120 giorni il Dis, il Ministero dello Sviluppo Economico e l’AgID sottoscriveranno appositi accordi per assicurare il trasferimento delle funzioni del Cert nazionale e del Cert-PA al Csirt italiano che, per lo svolgimento dei propri compiti, si avvarrà dell’AgID ai sensi del decreto legislativo Nis. Le disposizioni del decreto istitutivo del Csirt entreranno in vigore entro 180 giorni.
