La crisi di governo e le consultazioni incrociano la strada che porta all’approvazione del decreto del Presidente della Repubblica chiamato ad attuare il Perimetro di sicurezza nazionale cibernetica sulle “forniture di beni, sistemi e servizi (information and communication tecnology)”, introdotto con il decreto legge 105/2019 convertito con modificazioni dalla legge 133 del 18 novembre 2019.

LE TEMPISTICHE

Come anticipato oggi dal Sole 24 Ore, il Dpr è pronto ma attende il prossimo Consiglio dei ministri. Infatti, scrive il quotidiano finanziario, “è stato calendarizzato per il prossimo pre-consiglio dei ministri, una riunione in sede tecnica tra gli uffici legislativi dei dicasteri”. Dunque, il prossimo consiglio dei ministri dovrebbe dare il via libera al Dpr. A due condiziono. La prima: che venga riconosciuto come parte degli “affari correnti” come ha indicato nella direttiva emanata dal presidente del Consiglio dimissionario, Giuseppe Conte. La seconda: che ci sia tempo, nel mezzo delle consultazioni, per un Consiglio dei ministri.

IL RUOLO DEL CVCN

Il decreto del ministro dello Sviluppo economico del 15 febbraio 2019 ha istituito il Centro di valutazione e certificazione nazionale (Cvcn) con l’obiettivo di mitigare il rischio cyber attraverso la certificazione e la valutazione di prodotti e servizi Ict impiegati da realtà nazionali strategiche nell’ambito delle proprie reti e sistemi informativi, il cui malfunzionamento, interruzione, anche parziali, o utilizzo improprio possano arrecare danno alla sicurezza nazionale. Con l’entrata in vigore della legge 133 del 2019, il Cvcn è chiamato a valutare le forniture di specifiche categorie di beni, sistemi e servizi Ict che i soggetti “perimetro” intendono acquisire per impiegarli su reti, sistemi e servizi inclusi nel perimetro. In particolare, il Cvcn può – entro 45 giorni dalla ricezione della comunicazione, prorogabili di 15 giorni, una sola volta, in caso di particolare complessità – effettuare verifiche preliminari e imporre condizioni e test di hardware e software. Il Cvcn è anche coinvolto nel vaglio delle forniture di tecnologie 5G extra-Ue rientranti nella disciplina Golden Power, per la valutazione degli elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano.

VERIFICHE IN TRE PASSAGGI

Il Dpr, visionato anche da Formiche.net, è stato curato dai tecnici del dicastero dello Sviluppo economico ed è composto di quattro capi e 20 articoli. Il quarto disciplina il “procedimento di verifica e valutazione” condotte dal Cvcn con riferimento ai soggetti pubblici e privati o dai Centri di valutazione del ministero della Difesa e del ministero dell’Interno per le acquisizioni rispettivamente destinate alle proprie reti, sistemi informativi e servizi informatici. “La prima fase si avvia con l’analisi della comunicazione trasmessa dal soggetto incluso nel perimetro e si conclude con l’individuazione di test e condizioni da includere nei bandi di gara o nei contratti”, si legge. “Una volta noto il fornitore e l’oggetto in modo univoco, la seconda fase prevede l’attività di preparazione all’esecuzione dei test per la quale non sono previsti termini, riguardando un’attività che il fornitore deve porre in essere per rendere possibile l’esecuzione dei test e pertanto indipendente dal Cvcn e dai cv. Infine, la terza fase comprende l’esecuzione dei test e decorre dalla data in cui siano terminate le attività propedeutiche all’esecuzione dei test”. I termini per la prima e la terza fase confermano quelli stabiliti dal decreto legge, pari rispettivamente a 45 giorni (prorogabili una sola volta di quindici giorni in casi di particolare complessità) e 60 giorni. Il comma 3 individua i casi di particolare complessità e il comma 5 ribadisce, ai sensi del decreto legge, che decorsi i termini del presente articolo senza una pronuncia del Cvcn o dei Cv, i soggetti inclusi nel perimetro possono proseguire l’esecuzione del contratto. L’articolo 9 del regolamento prevede che gli oneri per la valutazione sono in capo alle imprese.

I PROSSIMI PASSAGGI

Come ricorda Il Sole 24 Ore, sono ancora diversi i provvedimenti attuativi del Perimetro di sicurezza nazionale cibernetica. Il primo Dpcm, pubblicato in Gazzetta Ufficiale il 21 ottobre, elencava i criteri di individuazione dei soggetti pubblici e privati inclusi nella cintura di sicurezza. Il secondo Dpcm è stato firmato il 25 novembre scorso dal presidente Conte: come raccontato su Formiche.net, contiene la lista degli oltre 100 soggetti, tra pubblici e privati, protetti. Il regolamento sul procurement sicuro e i Cvcn è in corso. Si lavora anche su quelli sulle notifiche e sui laboratori.

L’APPREZZAMENTO ALL’ESTERO

Il Perimetro di sicurezza nazionale cibernetica si sta articolando sotto il coordinamento del Dipartimento informazioni e sicurezza presso la presidenza del Consiglio (Dis) e in particolare del vicedirettore professor Roberto Baldoni, il cyber-zar italiano. E all’estero sta suscitando interesse, in particolare tra gli Stati membri dell’Unione europea, e apprezzamento. Dall’europeo Nis Cooperation Group ma anche dagli Stati Uniti, che prima con Donald Trump oggi con Joe Biden stanno mettendo in campo una strategica per affrontare le minacce cibernetiche anche di concerto con i loro alleati. A partire dai rischi legati all’utilizzo di quei fornitori “di tecnologie 5G extra-Ue” (come le cinesi Huawei e Zte contro cui più di un anno fa si è schierato il Copasir, dopo gli avvertimenti dell’intelligence italiana ma non solo) di cui è chiamato a occuparsi il Cvcn. È sufficiente rileggere quanto dichiarato recentemente a Formiche.net da un alto funzionario del dipartimento di Stato, che ha definito il Perimetro e il rafforzamento del Golden Power “strumenti efficaci per proteggere gli interessi dei consumatori italiani ora e in futuro”.