Dopo il parere del Consiglio di Stato il secondo Dpcm del “Perimetro cyber” prosegue il suo iter in Parlamento mentre la rete di controlli incassa l’endorsement Usa. Ecco il vademecum per le notifiche e le misure di sicurezza da prendere
Eppur si muove. La sicurezza cyber italiana fa un passo in avanti. Il secondo Dpcm attuativo del Perimetro di sicurezza nazionale cibernetica, cioè la rete di controlli di sicurezza dell’equipaggiamento tech della rete italiana introdotta dal “decreto cyber” un anno e mezzo fa, è stato incardinato alla Camera e Senato dopo aver incassato il parere favorevole del Consiglio di Stato.
Il cordone che dovrà proteggere la rete 5G italiana da intrusioni inizia a prendere forma. A dirigere i lavori c’è il Dis (Dipartimento per l’informazione e la sicurezza), con il vicedirettore con delega al cyber Roberto Baldoni. Il sistema di controlli dei Centri di valutazione e certificazione nazionale (Cvcn) si avvia alla sua fase conclusiva per entrare in azione, salvo imprevisti, entro la fine del 2021.
Si tratta del secondo regolamento per dare forma al perimetro. Se il primo Dpcm, pubblicato in Gazzetta ufficiale il 21 ottobre, elencava i criteri di individuazione dei soggetti pubblici e privati inclusi nella cintura di sicurezza, il secondo, per la prima volta pubblico, interviene sul sistema di notifica degli incidenti cyber e sulle misure di sicurezza da adottare per evitarli.
Gli incidenti cibernetici sono racchiusi in due tabelle. Dal momento in cui il titolare del bene Itc ne è “venuto a conoscenza”, ha rispettivamente sei ore di tempo per gli incidenti meno gravi e un’ora per quelli più gravi per avvisare il CSIRT italiano (Computer Security Incident Response Team), il team per la difesa cyber nazionale previsto dalla direttiva NIS e istituito presso il Dis (art. 2). La notifica, che può essere anche su base volontaria (art. 4), viene poi inoltrata dagli 007 alle autorità preposte: il Viminale e la presidenza del Consiglio per le notifiche di soggetti pubblici, il Mise per quelli privati.
Quanto alle misure di sicurezza, viene preso a riferimento il “Framework nazionale per la cybersecurity e la data protection” realizzato nel 2019 dal Centro di ricerca di cyber intelligence and information security (CIS) dell’Università Sapienza di Roma e dal Laboratorio nazionale di Cybersecurity del Consorzio interuniversitario nazionale per l’informatica (CINI), insieme al Dis e al Garante per la Privacy.
Fra le precauzioni raccomandate, ad esempio, l’adozione di un “piano aggiornato di verifica e test di sicurezza” o la “pianificazione aggiornata degli auditi di sicurezza previsti” e ancora “il registro degli audit di sicurezza effettuati”. I soggetti inclusi nel perimetro dovranno poi comunicare le misure adottate tramite la “piattaforma digitale istituita dal Dis” con il Dpcm 131/2020 (art. 9).
Il “perimetro cyber” è una peculiarità tutta italiana e, una volta in funzione, servirà a proteggere il 5G dalle intrusioni di attori maligni stranieri. È una delle garanzie che l’Italia ha messo sul piatto nel rapporto con gli Stati Uniti per passare al filtro la presenza di compagnie cinesi accusate di spionaggio, come Huawei e Zte, nella rete di ultima generazione.
La pandemia ne ha rallentato la costruzione, rimandando, ad esempio, il reclutamento degli ingegneri. Ma nel frattempo ha già incassato due endorsement di peso. Il primo da parte del Nis Cooperation Group europeo, il secondo da parte di Washington DC. In una recente dichiarazione a Formiche.net, un alto funzionario del Dipartimento di Stato americano ha definito il perimetro e il rafforzamento del golden power “strumenti efficaci per proteggere gli interessi dei consumatori italiani ora e in futuro”.