Dagli obblighi di notifica degli incidenti alle misure di sicurezza da adottare. È in Gazzetta il secondo Dpcm del Perimetro di sicurezza nazionale cibernetica. Ecco tutto quello che bisogna sapere. L’analisi di Stefano Mele, partner di Gianni & Origoni e responsabile del Dipartimento Cybersecurity Law
Con la pubblicazione del Dpcm 81/2021 nella Gazzetta Ufficiale di venerdì 11 giugno, il processo di attuazione della normativa sul Perimetro di Sicurezza Nazionale Cibernetica entra nel suo vivo.
Questo regolamento, infatti, da un lato definisce gli obblighi di notifica degli incidenti – di qualsivoglia natura – aventi un impatto sulle reti, i sistemi informativi e i servizi informatici deputati allo svolgimento di una funzione essenziale per gli interessi dello Stato o all’erogazione di un servizio essenziale, dall’altro obbliga gli operatori pubblici e privati inclusi in questa normativa all’adozione di una fitta trama di misure di sicurezza basate principalmente sul Cybersecurity Framework del National Institute of Standards and Technology (Nist) americano.
Analizzando le novità che riguardano gli obblighi di notifica degli incidenti, balza agli occhi anzitutto come, a dispetto del contenuto delle bozze circolate prima della pubblicazione in Gazzetta Ufficiale (i.e. Atto del Governo n. 240 del gennaio 2021), nel testo definitivo il legislatore abbia concesso agli attori pubblici e privati coinvolti nel Perimetro un periodo di sperimentazione di 6 mesi.
Gli obblighi di notifica degli incidenti, infatti, saranno pienamente operativi solo dal 01 gennaio 2022. Tuttavia, specifica il legislatore, dalla data di trasmissione dell’elenco dei beni Ict e fino al 31 dicembre 2021, i soggetti inclusi nel Perimetro dovranno comunque notificare ogni incidente subito sui beni Ict, ma in via appunto meramente sperimentale, ovvero per “rodare” il meccanismo previsto dal governo. Ciò con l’ovvia conseguenza che nessuna sanzione potrà essere comminata all’interno di questo periodo di prova.
Inoltre, da una prima lettura di questi articoli del regolamento, emergere anche una puntualizzazione di non poco conto, tesa a venire incontro alle numerose richieste da parte degli attori inclusi nel Perimetro di poter comunicare gli incidenti subiti solo quando si sia davvero consapevoli di quanto accaduto.
In tal senso, allora, se l’interpretazione risulterà corretta, non può che essere accolta con un plauso la decisione del legislatore di prevedere che i termini di notifica decorreranno dal momento in cui il soggetto attaccato sia venuto a conoscenza, a seguito delle evidenze ottenute, di un incidente riconducibile a una delle tipologie individuate nel regolamento. Da ciò, infatti, pare potersi desumere che gli obblighi di notifica degli incidenti – entro 1 ora o 6 ore – cominceranno a decorrere dal momento in cui, a seguito delle evidenze ottenute, il soggetto attaccato abbia reale consapevolezza che l’incidente subito appartenga a una delle due categorie previste nelle tabelle n. 1 o n. 2 dell’Allegato A al Dpcm 81/2021.
Infine, risulta essere ben centrata anche la giustissima previsione di prevedere l’obbligo condivisione degli incidenti solo nel caso in cui l’autorità giudiziaria non abbia comunicato la sussistenza di specifiche esigenze di segretezza investigativa. Tema, questo, completamente ignorato nelle precedenti bozze del decreto.
Sul versante delle misure di sicurezza, invece, tra le novità evidenziabili, si registra anzitutto un’estensione a 30 mesi – rispetto ai 24 mesi della prima bozza – delle tempistiche di adozione di quanto previsto nella categoria B dell’appendice 2 dell’allegato B al regolamento (per intenderci, le misure di sicurezza più “complesse”).
Viceversa, resta di 6 mesi l’arco temporale messo a disposizione dal legislatore per adeguarsi alle misure di sicurezza previste alla categoria A dell’appendice 2 dell’allegato B. In entrambi i casi, il termine comincerà a decorrere dalla data di trasmissione dell’elenco dei beni Ict comunicato in ottemperanza al dettato del Dpcm 131/2020.
Inoltre, se guardiamo alle numerosissime misure di sicurezza previste nell’allegato B al decreto, rispetto alle prime bozze, appare purtroppo solo parzialmente “alleggerito” l’obbligo di localizzazione in Italia dei dati digitali trattati mediante l’impegno dei beni Ict (misura 3.3.1).
Questa misura, infatti, nel corso degli ultimi mesi, ha generato una vera e propria levata di scudi in particolar modo da parte delle aziende private incluse nel Perimetro e dei loro fornitori di servizi, i quali lamentavano – e tuttora lamentano – l’imposizione di una richiesta particolarmente gravosa sul piano dell’impatto economico e, peraltro, non in linea con l’evoluzione del mondo dei servizi tecnologici.
La nuova formulazione della misura 3.3.1, però, prende in considerazione solo in parte queste esigenze, delineato un’impostazione tripartita.
Infatti, i dati digitali trattati mediante l’impiego di beni Ict, ivi compresi quelli relativi alla descrizione degli stessi beni, la cui compromissione sotto il profilo della disponibilità, integrità e riservatezza può avere un impatto sullo svolgimento delle funzioni o dei servizi essenziali per i quali il soggetto è stato incluso nel Perimetro, devono essere conservati, elaborati ovvero estratti esclusivamente mediante l’impiego di infrastrutture fisiche e tecnologiche, anche se esternalizzate (ad esempio, tramite cloud computing), localizzate sul territorio nazionale. In questa categoria il legislatore fa rientrare anche quelle deputate alle funzioni di business continuity.
Contestualmente, – ed è qui il primo “alleggerimento” – i dati digitali utilizzati dalle infrastrutture deputate alla sicurezza (quali, a titolo esemplificativo, i sistemi di controllo degli accessi), nonché le infrastrutture di disaster recovery, anche se esternalizzate (ad esempio, tramite cloud computing), devono essere localizzati sul territorio nazionale, salvo motivate e documentate ragioni di natura normativa o tecnica. In presenza di tali motivazioni, tuttavia, i predetti dati e infrastrutture non dovranno comunque essere localizzati al di fuori del territorio dell’Unione europea.
Infine, – ed è questo il secondo “alleggerimento” – qualora opportunamente cifrati, i dati digitali di backup, anche se esternalizzati (ad esempio, tramite cloud computing), possono essere conservati al di fuori del territorio nazionale, ma non al di fuori del territorio dell’Unione europea e le chiavi di cifratura devono essere comunque custodite all’interno del territorio nazionale. Le operazioni di cifratura e decrifratura devono comunque essere eseguite mediante infrastrutture localizzate sul territorio nazionale.
Complessivamente, quindi, seppure l’approccio della misura 3.3.1 possa risultare parzialmente comprensibile, trattandosi di un’esigenza di sicurezza nazionale, e possa essere senz’altro apprezzabile anche lo sforzo fatto dal legislatore per aprire in alcuni casi a soluzioni entro i confini dell’Unione europea, appaiono persistere ancora alcuni dubbi sulle richieste prodotte, che continuano a soffrire di alcune forzature che male sembrano sposarsi con un mercato tecnologico che si muove in senso diametralmente opposto e con la mancanza di soluzioni nazionali al passo con quelle prospettate dai principali attori internazionali.
In conclusione, nell’attesa che anche gli altri decreti vedano la luce da qui a pochi mesi, salvo per alcuni passaggi normativi, non si può che accogliere con favore anche questo secondo step di attuazione della normativa sul Perimetro di Sicurezza Nazionale Cibernetica, che inevitabilmente dovrà essere a breve rivisto per allinearlo con le novità dell’Agenzia per la Cybersicurezza Nazionale ormai in dirittura d’arrivo.