In Cdm il decreto legislativo che adegua l’Italia alla normativa Ue sulla certificazione cyber. L’Agenzia di Baldoni diventa l’ente responsabile, i prodotti Tic dovranno avere un “bollino” di garanzia. Un tassello in più per mettere al sicuro la Pa da ingerenze esterne, dal 5G cinese ai software russi
Un “bollino” di sicurezza per la tecnologia. Al mosaico del governo Draghi per rafforzare la cybersicurezza italiana si aggiunge un nuovo tassello. Sul tavolo del Cdm di questo mercoledì è approdato lo schema di decreto legislativo sulla certificazione cyber per “le tecnologie dell’informazione e della comunicazione (Tic)”. Un provvedimento che adeguerà la normativa italiana a un regolamento adottato dall’Ue nel 2019 per la certificazione di prodotti, servizi e processi Tic.
In Italia come negli altri Paesi europei tutti i prodotti tecnologici e informatici, specialmente quelli utilizzati dalla Pa, devono rispondere a standard di sicurezza minimi prima di essere messi sul mercato. Non è sempre stato così: un tempo, fino ai primi anni 2000, la certificazione era limitata ai prodotti utilizzati nell’ambito della sicurezza nazionale e ai sistemi Ict che trattavano informazioni classificate. Oggi la digitalizzazione, reduce da una spinta senza precedenti per due anni di pandemia e restrizioni, ha esteso la superficie di rischio a diverse categorie di prodotti informatici.
Per “certificare” la sicurezza degli acquisti tech della Pa e di una lista di soggetti pubblici e privati che svolgono “servizi essenziali” è nato tre anni fa – primo atto del governo Conte-bis – il “perimetro cyber”, cioè la rete di controlli e verifiche dei Cvcn (centri di valutazione e certificazione nazionale) che farà da filtro di sicurezza per aziende e Pa incluse.
Con il nuovo decreto il governo indica ufficialmente l’Agenzia per la cybersicurezza nazionale (Acn), diretta da Roberto Baldoni e inaugurata un anno fa dal premier Mario Draghi e l’Autorità delegata Franco Gabrielli, come “Autorità nazionale di certificazione della cybersicurezza” al posto del Mise. Uno sviluppo naturale perché la neonata agenzia, ormai pienamente operativa, ha assunto il controllo del perimetro e funge da centro di raccordo italiano del Centro di competenza cyber europeo situato a Bucarest. Come nel caso delle mancate notifiche all’Acn di un incidente informatico che riguarda un soggetto del perimetro, anche nel caso di inosservanza degli obblighi per la gestione dei certificati europei di cybersicurezza saranno previste sanzioni, si legge nello schema di decreto.
Il “bollino” di garanzia conferito dall’Agenzia non è una semplice procedura burocratica. È infatti lo standard di riferimento alla base dello screening della sicurezza informatica da parte della Pa. Quando Palazzo Chigi esercita il golden power su acquisti che riguardano la rete 5G, può ad esempio emanare prescrizioni che richiedono al fornitore di turno di adeguarsi a un determinato livello di certificazione, pena l’uso del potere di veto. Un potere utilizzato ben tre volte da Draghi lo scorso anno, di cui due proprio per fermare la vendita di tecnologia 5G da parte di aziende cinesi (nello specifico: Huawei) ritenute non sicure.
L’attività dell’Acn come responsabile della certificazione dei prodotti Itc potrà toccare un’altra tipologia di prodotti informatici balzata agli onori delle cronache dopo la guerra russa in Ucraina. Si tratta dei software di sicurezza informatica (come gli antivirus) prodotti nella Federazione russa e oggi ritenuti non più affidabili per il rischio di interferenze delle autorità di Mosca. Una recente circolare dell’Agenzia, anticipata da Formiche.net, ha dato disposizioni ad aziende e Pa di rimuovere Kaspersky e i software russi.
