Prenderà il via domani nelle Commissioni riunite Affari costituzionali e Trasporti, Poste e Telecomunicazioni della Camera l’analisi dello schema di Decreto del presidente del Consiglio dei ministri in materia di Perimetro di Sicurezza Nazionale Cibernetica. L’atto normativo, atteso per lo scorso mese di marzo, come anticipato da Formiche.net, ha dovuto attendere il parere della Sezione Consultiva per gli Atti Normativi del Consiglio di Stato, comunicato in data 26 maggio 2020. Pertanto, dopo alcune modifiche al testo, lo schema di decreto è pronto per cominciare domani il suo iter parlamentare, che, nel migliore dei casi, dovrebbe concludersi nel mese di luglio.
Seppure il documento sia ovviamente ancora soggetto a variazioni, considerata la portata delle richieste che ne deriveranno per le aziende e le pubbliche amministrazioni e i tempi particolarmente stringenti per attuarle, si ritiene utile compiere fin da ora una prima analisi del testo, che – come si vedrà – già in questa versione fa comunque chiarezza su molti aspetti metodologici e procedurali finora non ancora conosciuti.
I DESTINATARI DEL DPCM
Stando al contenuto attuale della bozza, lo schema di decreto del presidente del Consiglio dei ministri, in maniera coerente con quanto previsto dalla normativa di riferimento vigente, ha come obiettivo principale quello di rendere vincolanti le previsioni del Perimetro nei confronti di due macrocategorie ben delineate.
La prima è quella dei soggetti che esercitano una funzione essenziale dello Stato, ovvero coloro a cui l’ordinamento attribuisce compiti rivolti ad assicurare la continuità dell’azione di governo e degli organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionale, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario, e dei trasporti.
La seconda è quella dei soggetti che prestano un servizio essenziale per gli interessi dello Stato, ovvero qualsiasi soggetto, pubblico o privato, che presti un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato. In particolare, saranno considerati come tali quei soggetti che pongano in essere (1) attività strumentali all’esercizio di funzioni essenziali dello Stato; (2) attività necessarie per l’esercizio e il godimento dei diritti fondamentali; (3) attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica; (4) attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.
I SETTORI INTERESSATI
Pertanto, fatto salvo il principio di gradualità previsto dalla normativa di riferimento vigente e la possibilità in futuro di estendere il campo di applicazione anche ad altri settori al momento non ricompresi, i soggetti inizialmente inclusi all’interno del Perimetro saranno anzitutto quelli appartenenti al settore governativo, identificati – almeno in questa prima fase – esclusivamente nelle amministrazioni che compongono il Comitato interministeriale per la sicurezza della repubblica (Cisr), ovvero la presidenza del Consiglio, il ministero degli Affari esteri e della Cooperazione internazionale, il ministero dell’Interno, il ministero della Difesa, il ministero della Giustizia, il ministero dell’Economia e delle Finanze, il ministero dello Sviluppo economico.
A quello governativo, però, si devono aggiungere anche i settori della Difesa (la cui responsabilità sarà del ministero della Difesa), dello spazio e aerospazio (presidenza del Consiglio dei Ministri), dell’energia (ministero dello Sviluppo economico), delle telecomunicazioni (ministero dello Sviluppo economico), dell’economica e finanza (ministero dell’Economia e delle Finanze), dei trasporti (ministero dei Trasporti), dei servizi digitali (ministero dello Sviluppo Economico, in raccordo con la struttura della presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione), degli enti previdenziali e del lavoro (ministero del Lavoro), nonché delle tecnologie critiche previste dall’art. 4, par. 1, lett. b), del Regolamento (Ue) 2019/452 del Parlamento europeo e del Consiglio del 19 marzo 2019, qualora relative ad altri settori non richiamati espressamente dalla norma (la cui responsabilità sarà della struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione, in raccordo con il ministero dello sviluppo Economico e con il ministero dell’Università e della Ricerca).
CHI CONTROLLA
Sulla base di questo schema applicativo, la bozza del decreto in materia di Perimetro fa sì che, per quanto attiene al settore governativo, ciascuno dei ministeri facenti parte del Cisr debba individuare, all’interno delle proprie attività o delle attività riconducibili alla propria sfera di competenza, le amministrazioni o gli enti che esercitano funzioni essenziali dello Stato o che svolgono servizi essenziali la cui interruzione o compromissione possa arrecare un pregiudizio per la sicurezza nazionale. Per tutti gli altri settori, invece, il ministero competente – in raccordo con gli altri ministeri eventualmente indicati – dovrà preoccuparsi di individuare anche i soggetti, pubblici o privati, che erogano, all’interno del settore di competenza, un servizio essenziale per il mantenimento delle attività civili, sociali o economiche fondamentali per gli interessi dello Stato.
Esemplificando, quindi, il ministero della Difesa, per quanto di propria competenza e nell’ambito delle sue attività governative, da un lato si dovrà preoccupare di individuare le strutture e gli enti che fanno capo all’amministrazione militare, dall’altro, nell’ambito della sua responsabilità del settore difesa, dovrà individuerà i soggetti, pubblici o privati, che svolgono attività strumentali all’esercizio di funzioni essenziali dello Stato (in questo caso della difesa dello Stato).
I CRITERI DI INDIVIDUAZIONE
Per far ciò, la bozza di decreto del presidente esemplifica anche i criteri di individuazione dei soggetti da includere all’interno del Perimetro. In particolare, l’analisi dovrà partire anzitutto dall’individuazione di un (potenziale) pregiudizio alla sicurezza nazionale, definito come il danno o pericolo di danno all’indipendenza, all’integrità o alla sicurezza della Repubblica e delle istituzioni democratiche poste dalla Costituzione a suo fondamento, ovvero agli interessi politici, militari, economici, scientifici e industriali dell’Italia, conseguente all’interruzione o alla compromissione di una funzione essenziali dello Stato o di un servizio essenziale.
Detto pregiudizio dovrà essere declinato attraverso l’applicazione di alcuni specifici criteri, sempre previsti dalla bozza di normativa, tenuto conto della rilevanza di ciascuno di essi in relazione agli specifici settori di attività del soggetto. In particolar modo, quindi, quanto agli effetti di un’interruzione della funzione essenziale o del servizio essenziale, dovrà essere tenuta in considerazione la sua estensione territoriale, il numero e la tipologia degli utenti potenzialmente interessati, i livelli di servizio garantiti (se previsti), le possibili ricadute economiche (ove applicabili) e ogni altro elemento ritenuto rilevante.
Si prevede, poi, che vengano presi in considerazione anche gli effetti della compromissione dello svolgimento della funzione essenziale o del servizio essenziale, valutando le conseguenze della perdita di disponibilità, integrità o riservatezza dei dati e delle informazioni trattate per il loro svolgimento, avuto riguardo alla tipologia e alla quantità degli stessi, alla loro sensibilità e allo scopo cui sono destinati. Infine, le amministrazioni dovranno valutare anche la possibile mitigazione dell’interruzione o della compromissione dello svolgimento della funzione essenziale o del servizio essenziale. In tal senso, occorrerà compiere una valutazione in relazione sia al tempo necessario per ripristinarne lo svolgimento in condizioni di sicurezza, che alla possibilità che lo svolgimento della funzione essenziale o del servizio essenziale possano o meno essere assicurati, anche temporaneamente, con modalità prive di supporto informatizzato o anche parzialmente da altri soggetti.
L’ELENCO
Dunque, ciascuna amministrazione dovrà individuare le funzioni essenziali e i servizi essenziali per i quali, in caso di interruzione o compromissione, il pregiudizio per la sicurezza nazionale sarà ritenuto massimo e le possibilità di mitigazione minime, graduandoli in una scala crescente e associandoli ai soggetti che li svolgono o erogano. L’elenco, così strutturato, ricomprenderà – almeno in questa prima fase attuativa – solo quei soggetti titolari delle funzioni essenziali o dei servizi essenziali la cui interruzione delle attività comporterà il loro mancato svolgimento.
Questo elenco, inoltre, dovrà essere sottoposto al Cisr che, anche grazie all’azione di supporto del neo-costituendo “Tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica”, avrà il compito di formare e aggiornare nel tempo un elenco generale, adottando un ulteriore decreto del presidente del Consiglio, di natura non regolamentare, entro trenta giorni dalla data di entrata in vigore del decreto in commento.
IL LAVORO DEL DIS
La comunicazione di avvenuta iscrizione nell’elenco dei soggetti inclusi nel perimetro sarà effettuata dal Dipartimento delle Informazioni per la Sicurezza (Dis), che informerà anche tutte le amministrazioni. Il medesimo organo dovrà comunicare l’avvenuta iscrizione del soggetto anche alla struttura della Presidenza del Consiglio competente per l’innovazione tecnologica e la digitalizzazione, per i soggetti pubblici, e al Mise per i soggetti privati.
Inoltre, la bozza di decreto prevede anche che i soggetti inclusi nel Perimetro predispongano e aggiornino, con cadenza almeno annuale, l’elenco dei beni Ict di rispettiva pertinenza, che, se colpiti da incidente, causerebbero la compromissione dello svolgimento di funzioni essenziali o di servizi essenziali. La norma – con una formulazione sicuramente migliorabile – definisce il bene Ict come l’insieme di reti, sistemi informativi e servizi informatici, o parti di essi, di qualunque natura, considerato unitariamente ai fini dello svolgimento di funzioni essenziali dello Stato o per l’erogazione di servizi essenziali.
L’ITER DI INDIVIDUAZIONE DEI BENI ICT
Anche in questo caso la bozza in esame prevede degli specifici criteri da seguire. In particolare, ricevuta questa comunicazione, i soggetti inclusi dovranno provvedere ad individuare i beni Ict necessari a svolgere la funzione essenziale o il servizio essenziale di pertinenza, valutando da un lato l’impatto di un incidente sul bene Ict, tanto in termini di limitazione dell’operatività del bene stesso, che di compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio. Dall’altro, inoltre, dovranno valutare anche le dipendenze con altri reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, ivi compresi quelli utilizzati per fini di manutenzione e gestione.
Inoltre, al fine di minimizzare il più possibile le reti, i sistemi e i servizi informatici che per le finalità di sicurezza nazionale saranno assoggettati nei fatti agli obblighi previsti dalla normativa sul Perimetro, il legislatore prevede anche che i soggetti inclusi nell’elenco potranno – già durante la sua prima predisposizione o comunque in sede di aggiornamento – individuare puntualmente solo le porzioni di beni (la norma parla di “parti minimali”) la cui compromissione comporti anche la compromissione del bene Ict posto alla base della funzione essenziale o del servizio essenziale.
Peraltro, in ossequio al più volte richiamato principio di gradualità, in fase di prima attuazione potranno essere conferiti anche solo i beni Ict che, in caso di incidente, causerebbero l’interruzione totale dello svolgimento della funzione essenziale o del servizio essenziale o una compromissione degli stessi con effetti irreversibili sotto il profilo dell’integrità o della riservatezza dei dati e delle informazioni.
LE COMUNICAZIONI ALL’INTELLIGENCE
Infine, per quanto attiene agli adempimenti di cui all’articolo l, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, istitutiva del Perimetro, ovvero quelli relativi all’obbligo di descrivere e comunicare l’architettura e la componentistica relativa ai beni Ict, ciò dovrà avvenire anzitutto conformemente al modello predisposto e periodicamente aggiornato dal Dis, che lo trasmetterà ai soggetti interessati, in cui verranno indicati tutti gli elementi utili per questa attività. Inoltre, al fine di rendere più sicura e fruibile la ricezione e soprattutto l’utilizzo di queste informazioni anche in un’ottica di prevenzione, preparazione e gestione di una crisi cibernetica, la loro comunicazione dovrà avvenire, entro sei mesi dal ricevimento della notizia di avvenuta iscrizione nell’elenco, unicamente attraverso la specifica piattaforma digitale costituita presso il Dis.
Questa stessa piattaforma dovrà essere utilizzata anche per comunicare l’elenco dei beni Ict redatto secondo le indicazioni in precedenza esplicitate.
A questa piattaforma accederanno anche la struttura della presidenza del Consiglio competente per l’innovazione tecnologica e la digitalizzazione e il Mise per lo svolgimento, nei confronti rispettivamente del settore pubblico e del settore privato, delle attività di ispezione e di verifica, nonché per i compiti di accertamento delle violazioni e per l’eventuale irrogazione di sanzioni amministrative.
I TEMPI (STRETTI) DI ATTUAZIONE PER AZIENDE E PA
Come evidenziato in fase introduttiva, il presente schema di Dpcm seppure ovviamente ancora soggetto a variazioni durante il suo iter parlamentare, reca fin da ora informazioni molto utili per tutte le aziende e le pubbliche amministrazioni sugli adempimenti che da qui a pochi mesi saranno chiamate – in tempi brevi – ad attuare. Il principale auspicio è che, al di là delle opportune (e inevitabili) limature e precisazioni di cui il testo allo stato attuale necessita, il perimetro possa prendere forma e sostanza nel minor tempo possibile, in quanto elemento ormai sostanziale e imprescindibile della nostra sicurezza nazionale.