A due mesi dal semestre di test del Perimetro di sicurezza nazionale cibernetica, esce in Gazzetta Ufficiale il Dpr sulle procedure di verifica degli acquisiti. L’avvocato Mele (Gianni & Origoni): “È senz’altro una delle parti a più alto impatto per i processi aziendali”
Il Perimetro di sicurezza nazionale cibernetica sta prendendo forma in vista di un importante appuntamento: quello del 23 giugno prossimo quando, come annunciato da Roberto Baldoni, vicedirettore generale del Dipartimento per le informazioni della sicurezza, inizieranno i sei mesi di test sull’architettura predisposta quasi due anni fa, con il decreto-legge 105 del 21 settembre 2019, e a cui stanno lavorando oltre 200 tra tecnici e giuristi.
IL DPR IN GAZZETTA UFFICIALE
A distanza di due mesi esatti da quella data, il 23 aprile, è stato pubblicato in Gazzetta Ufficiale il decreto del Presidente della Repubblica numero 54 del 5 febbraio 2021 (controfirmato dall’ex presidente del Consiglio Giuseppe Conte e dai ministri del suo esecutivo, quello giallorosso). Vengono definite le procedure, le modalità e i termini da seguire ai fini delle valutazioni da parte del Centro di Valutazione e Certificazione nazionale, istituito presso il ministero dello Sviluppo economico, e i Centri di Valutazione del ministero dell’Interno e del ministero della Difesa; i criteri di natura per l’individuazione delle categorie a cui si applica la procedura di valutazione; le procedure, le modalità e i termini con cui le autorità competenti effettuano le attività di verifica e ispezione ai fini dell’accertamento del rispetto degli obblighi stabiliti.
LE PROCEDURE DI VERIFICA
Il Dpr, già analizzato su Formiche.net nelle scorse settimane, si compone di quattro capi e 20 articoli. Ecco i passaggi di verifica previsti: dopo che il soggetto nel Perimetro comunica l’intenzione a procedere con l’acquisizione, viene avviata l’analisi che si conclude con l’individuazione di test e condizioni da includere nei bandi di gara o nei contratti; si avvia l’attività di preparazione all’esecuzione dei test per la quale non sono previsti termini, riguardando un’attività che il fornitore deve porre in essere per rendere possibile l’esecuzione dei test e pertanto indipendente dal Cvcn e dai Cv; si eseguono i test. I termini per la prima e la terza fase confermano quelli stabiliti dal decreto legge, pari rispettivamente a 45 giorni (prorogabili una sola volta di quindici giorni in casi di particolare complessità) e 60 giorni.
IL COMMENTO DI MELE (GIANNI & ORIGONI)
“Va in Gazzetta Ufficiale il regolamento di una parte fondamentale della costituzione del Perimetro”, spiega Stefano Mele, partner dello studio legale Gianni & Origoni e presidente della commissione Sicurezza cibernetica del Comitato atlantico italiano, a Formiche.net. “Il Dpr è teso a delineare le regole che definiranno un cambiamento radicale nei processi di acquisizione di beni, sistemi o servizi Ict da utilizzare nei beni Ict conferiti a Perimetro. Il regolamento dovrà essere completato con la pubblicazione in Gazzetta Ufficiale anche del Dpcm volto a individuare le categorie di reti, sistemi informativi e servizi informatici per le quali sarà necessario effettuare la notifica al Cvcn in caso di affidamento della fornitura di beni o servizi a terzi. Pertanto, questo Dpr risulta ancora ‘monco’. Oltre a ciò, ci si sarebbe aspettati la pubblicazione prima del Dpcm sulle misure di sicurezza che, infatti, contiene al suo interno anche disposizioni collegate all’odierno regolamento”, continua. Tuttavia, “il Dpr appena pubblicato è senz’altro una delle parti a più alto impatto all’interno dei processi aziendali in quanto richiede un ripensamento complessivo del processo di procurement di beni, sistemi e servizi Ict. Inoltre, è proprio sulla mancata attuazione del dettato di questo regolamento che il legislatore pone le sanzioni civili e penali più ampie e rilevanti”.
LE SANZIONI PREVISTE
Le sanzioni amministrative – “salvo che il fatto costituisca reato” – in caso di mancato adempimento degli obblighi previsti (tra cui l’inosservanza delle misure di sicurezza, l’impiego di prodotti e servizi in violazione delle condizioni poste, la mancata collaborazione per l’effettuazione delle attività di test e il mancato adempimento delle prescrizioni) possono arrivare fino a 1,8 milioni di euro come previsto dal decreto-legge 105 del 21 settembre 2019. L’impiego di prodotti e di servizi in assenza della comunicazione o del superamento dei test o in violazione delle condizioni previste comporta, oltre alle sanzioni, “l’applicazione della sanzione amministrativa accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione”. Inoltre, “è punito con la reclusione da uno a tre anni” chiunque “fornisce informazioni, dati o elementi di fatto non rispondenti al vero” per “ostacolare o condizionare l’espletamento dei procedimenti” o delle attività ispettive e di vigilanza.
LO STATO DELL’ARTE DEL PERIMETRO
Si tratta del secondo di cinque decreti attuativi previsti per l’implementazione del Perimetro a finire in Gazzetta Ufficiale. A ottobre è stato pubblicato il primo, il Dpcm che definisce le regole del Perimetro e stabilisce i parametri con cui sono individuati i soggetti “perimetrati” (la lista degli oltre 100 è contenuta in un altro Dpcm). A breve, probabilmente nel mese di maggio, è attesa la pubblicazione del secondo Dpcm, quello su notifiche e misure di sicurezza, che ha da poco ricevuto le raccomandazioni di Camera e Senato ed è ora alla Corte dei Conti. Poi toccherà agli ultimi due: il terzo, cioè quello citato dall’avvocato Mele in precedenza; il quarto con i criteri per l’accreditamento dei laboratori competenti per le verifiche delle condizioni di sicurezza nell’ambito dell’approvvigionamento di prodotti, processi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici.
LA RETE EUROPEA
Il Perimetro rappresenta un insieme di asset Ict che potranno supportare dei programmi per lo sviluppo di prodotti e soluzioni specifiche per la sicurezza cibernetica, come ha spiegato recentemente il vicedirettore Baldoni. Tra queste, il Centro di competenza per la cybersecurity europea di Bucarest, il cui consiglio direttivo si è riunito la scorsa settimana per definire i dettagli del regolamento europeo che entrerà in vigore a partire da giugno e istituirà la rete dei centri di competenza nazionali che dovrà essere collegata con il quartier generale in Romania.
LA PROPOSTA GABRIELLI
Come già evidenziato su Formiche.net, una via d’uscita l’ha indicata il nuovo sottosegretario di Stato con delega alla Sicurezza, Franco Gabrielli. “La necessità di creare un approccio olistico alla cybersecurity rispecchia anche l’agenda europea che, tra le altre cose, prevede la creazione di centri di competenza nazionali di cybesecurity che dovranno coordinarsi con il centro di competenza europeo da poco istituito a Bucarest”, hanno evidenziato su queste pagine il prefetto Adriano Soi e Luigi Martino. Dunque, da una parte un centro di competenza privato ma di operatività nel mondo dell’intelligence e destinato solo a ricerca e sviluppo degli investimenti tech. Dall’altra una nuova agenzia per la cybersicurezza, anch’essa fuori del sistema Dis, che risponda al presidente del Consiglio lavorando in raccordo con il centro.
VERS UN CENTRO CYBER ITALIANO
Dopo il naufragio della proposta di Istituto italiano di cybersicurezza, inserito dal governo Conte bis nella manovra di bilancio ma sacrificato dopo le tensioni nella maggioranza, ora il prefetto Gabrielli ha tenuto a rassicurare il Copasir che il Parlamento verrà aggiornato costantemente sugli sviluppi.
