Un anno dopo, si parte. Il perimetro di Sicurezza nazionale cibernetica scalda i motori. Lanciato con il “Decreto cyber” nell’autunno del 2019, concepito durante il primo Cdm del governo Conte bis, il cordone di sicurezza che dovrà schermare le aziende e le Pa italiane da intrusioni ostili inizia a prendere forma con la pubblicazione in Gazzetta ufficiale del primo Dpcm di attuazione.

Dentro, un lungo elenco di criteri con cui individuare la lista di soggetti, pubblici e privati, che saranno protetti dal perimetro. In poche parole, tutti i soggetti che svolgano funzioni con un impatto rilevante sulla sicurezza nazionale. L’elenco delle materie comprese è più ampio di quello racchiuso nella Direttiva Nis dell’Ue. Interno, difesa, spazio e aerospazio, energia e telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche (quelle ricomprese nel Regolamento UE 2019/452), enti previdenziali o del lavoro (art. 3).

Il tema delle telco è particolarmente sensibile. Come ribadito in questi mesi dal governo in tutti gli incontri con esponenti dell’amministrazione Usa, il perimetro cyber è la “fiche” che l’Italia vuole giocare per rassicurare l’alleato sull’uso della tecnologia cinese, a partire da quella targata Huawei nella rete 5G.

Questo è il primo provvedimento normativo di attuazione del perimetro cyber, cui ne dovranno seguire altri tre. Se questo detta criteri e condizioni per spiegare chi è compreso nel perimetro, il secondo avrà un impatto ancora più decisivo, perché indicherà cosa dovranno fare i soggetti, ovvero quali misure tecniche dovranno prendere per rendere sicura la loro tecnologia.

“Finalmente prende il via il primo tassello di attuazione del perimetro di sicurezza nazionale cibernetica, il ventaglio di soggetti che riceveranno a breve la comunicazione di essere stati inclusi sarà presumibilmente ampliato nei prossimi anni – commenta con Formiche.net Stefano Mele, partner dello studio legale Carnelutti e presidente della Commissione cibernetica del Comitato atlantico italiano – saranno esplicitati i soggetti operanti nel settore governativo, all’interno delle amministrazioni del Cisr (Comitato interministeriale per la sicurezza della Repubblica, ndr), così come soggetti pubblici o privati operanti in settori di attività contigui”.

Oltre ai criteri, il primo Dcpm spiega come dovranno rispondere i soggetti inclusi nel perimetro qualora si verifichi un incidente o un’aggressione. Entro sei ore, dovranno rivolgersi al Csirt (Computer security incident response team) istituito presso il Dis nel maggio scorso. Un tempo di reazione, nota Repubblica, ben più rapido di quello previsto dalla Direttiva Nis, 24 ore. Se l’incidente è grave, subentra il Nucleo per la sicurezza cibernetica presieduto dal vicedirettore del Dis con delega al cyber Roberto Baldoni, in coordinamento con la presidenza del Consiglio.

Una volta avvisati di far parte dell’elenco (che rimane segreto), i soggetti devono mettere in atto una serie di adempimenti. Il primo: predisporre con cadenza annuale un elenco delle reti, dei sistemi informativi, dei servizi informatici così come dell’architettura e la componentistica tech. Entro sei mesi dalla comunicazione, gli elenchi devono essere inviati a Palazzo Chigi (nel caso dei soggetti pubblici) o al Mise (nel caso dei privati).

Ma nel Dpcm c’è di più. Significativa, nota Mele, la creazione “di un tavolo interministeriale per l’attuazione del perimetro cyber, cioè un organo di supporto al Cisr tecnico per attuare in maniera veloce e corretta tutto il complesso impianto normativo del perimetro”. A dirigerlo un vicedirettore generale del Dis (Baldoni) e “due rappresentanti per ciascuna amministrazione del Cisr, più uno per ogni agenzia, Aise e Aisi, e due degli altri ministeri di volta in volta chiamati a partecipare alle riunioni” (art. 6).

Il perimetro cyber, insomma, muove i primi passi. Nel suo primo anno di concepimento, ha già incassato un endorsement importante, quello del Nis cooperation group europeo, e resta un’esperienza peculiare nel panorama comunitario. Certo, la costruzione è in ritardo. I linfonodi del sistema, i Cvcn (Centri di valutazione e certificazione nazionale), ovvero i team di ingegneri dello Stato che dovrà passare al vaglio la componentistica tech, software e hardware di aziende e Pa, sono ancora da assemblare. Complice il coronavirus, i bandi e i colloqui sono andati avanti a rilento. E se la tabella di marcia segnava la primavera del 2021 per il lancio del perimetro, le indiscrezioni degli addetti ai lavori sono meno ottimiste: la messa a sistema non ci sarà prima della fine del prossimo anno.