Nei giorni scorsi le commissioni Difesa di Camera e Senato, chiamate a esprimersi in sede consultiva, hanno dato il loro via libera (con rilievi) allo schema del secondo decreto del presidente del Consiglio dei ministri sul Perimetro di sicurezza nazionale cibernetica. Si tratta del regolamento “in materia di notifiche degli incidenti aventi impatto surreni, sistemi informativi e servizi informativi” che, come spiegato precedentemente su Formiche.net, ha già incassato il parere del Consiglio di Stato. Il Dpcm prevede che in caso di incidenti gravi (infezione, guasto, installazione, movimenti laterali e azioni sugli obiettivi) gli oltre 100 soggetti individuati nel Perimetro avranno un’ora per notificarlo al Csirt (Computer Security Incident Response Team) del Dis.

Il 9 febbraio scorso la commissione Difesa del Senato ha espresso osservazioni favorevoli con il seguente rilievo presentato dal relatore, il senatore pentastellato Fabrizio Ortis: “valuti il governo le misure necessarie, anche di carattere economico, per accompagnare adeguatamente la fase di implementazione dei nuovi adempimenti previsti dal provvedimento”. Il 18 febbraio, invece, la commissione Difesa della Camera ha dato giudizio favorevole deliberando, su proposte dal relatore, l’onorevole Roberto Rossini (anch’egli del Movimento 5 stelle), due rilievi: andrebbe valutata l’opportunità di “prevedere misure, anche di carattere economico, che rendano più agevole l’attuazione delle misure di sicurezza cibernetica disposte dallo schema di decreto in esame e, più in generale, dall’intero assetto normativo” del Perimetro; e di “defiscalizzare gli oneri relativi alla messa in sicurezza dei sistemi informatici delle imprese e dei privati, strumentali al miglioramento della sicurezza cibernetica, compresi gli investimenti in beni materiali e le spese per l’accesso a software, sistemi e servizi IT erogati in cloud o via piattaforma web nonché le soluzioni e i sistemi crittografici finalizzati alla sicurezza ed alla riservatezza delle comunicazioni”.

I rilievi accolgono le preoccupazioni economiche delle aziende interessate. Non hanno trovato spazio, invece, i timori relativi agli adempimenti. Tra i vari, come spiegava a Formiche.net l’avvocato Stefano Mele, “risultano troppo stringenti per operatori privati complessi come quelle inclusi all’interno del Perimetro” i 24 mesi previsti per la gestione dei dati che il regolamento prevede siano “conservati, elaborati, ovvero estratti esclusivamente mediante l’impiego di infrastrutture fisiche e tecnologiche, anche se esternalizzate (ad esempio tramite cloud computing) localizzate sul territorio nazionale”. Vedremo se le commissioni referenti riunite, Affari costituzionali e Trasporti (che intanto hanno sospeso e rimandato la formulazione del parere), recepiranno i rilievi e ne aggiungeranno altri.

Per completare il Perimetro, nato sotto la regia del Dipartimento informazioni e sicurezza presso la presidenza del Consiglio (Dis) allo scopo di mettere in sicurezza le infrastrutture nazionali per la telecomunicazione (soprattutto in vista della realizzazione della rete 5G), mancano ancora alcuni passaggi. Il primo Dpcm, che elencava i criteri di individuazione dei soggetti pubblici e privati inclusi nella cintura di sicurezza, è stato pubblicato in Gazzetta Ufficiale il 21 ottobre (soggetti individuati un mese più tardi con il Dpcm firmato il 25 novembre che contiene la lista segreta degli oltre 100 soggetti — pubblici e privati — protetti). Con il secondo avviato verso la pubblicazione in Gazzetta Ufficiale già nelle prossime settimane (vedremo se i rilievi delle commissioni porteranno a provvedimenti successivi), si attendono gli ultimi due: il terzo è relativo alle categorie per le quali sarà necessario effettuare la notifica al Centro di valutazione e certificazione nazionale (Cvcn); il quarto ai criteri per l’accreditamento dei laboratori competenti per le verifiche delle condizioni di sicurezza.