Il Consiglio dei ministri tenutosi venerdì ha dato il via libera al decreto attuativo rende operativo il Centro di valutazione e certificazione nazionale (Cvcn) e gli altri centri di valutazione (Cv) dei procedimenti di verifica e valutazione dei beni, sistemi e servizi di Information and Communication Technologies (Ict) che i soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica intendono acquisire, nel caso in cui da questi ultimi dipenda la fornitura di servizi essenziali ovvero l’esercizio di una funzione essenziale dello Stato.

Sta dunque prendendo forma il Perimetro, nato sotto la regia del Dipartimento informazioni e sicurezza presso la presidenza del Consiglio (Dis) e in particolare del vicedirettore professor Roberto Baldoni, per mettere in sicurezza le infrastrutture nazionali per la telecomunicazione (soprattutto in vista della realizzazione della rete 5G).

Come raccontavamo nei giorni scorsi su Formiche.net per il completamento del Perimetro (che ha incassato plausi europei e statunitensi) mancano alcuni provvedimento attuativi. Il primo Dpcm, pubblicato in Gazzetta Ufficiale il 21 ottobre, elencava i criteri di individuazione dei soggetti pubblici e privati inclusi nella cintura di sicurezza. Il 25 novembre è stato firmato il Dpcm che contiene la lista (segreta) degli oltre 100 soggetti — pubblici e privati — protetti. Dopo il via libera al decreto attuativo sopracitato, si lavora sui Dpcm sulle notifiche e sulle misure di sicurezza, a quello sulle categorie per le quali sarà necessario effettuare la notifica al Cvcn e a quello che stabilirà i criteri per l’accreditamento dei laboratori competenti per le verifiche delle condizioni di sicurezza.

Il regolamento “in materia di notifiche degli incidenti aventi impatto surreni, sistemi informativi e servizi informativi”, come spiegato da Formiche.net nei giorni scorsi e riportato oggi anche dal Sole 24 Ore, è in queste settimane la vaglio di Camera e Senato. È stato inviato da Palazzo Chigi con uno schema di Dpcm e dopo il parere e le revisioni delle commissioni parlamentari (già incassato il parere del Consiglio di Stato), il decreto riceverà il via libera dall’esecutivo.

Il regolamento prevede che in caso di incidenti gravi (infezione, guasto, installazione, movimenti laterali e azioni sugli obiettivi) i soggetti nel Perimetro avranno un’ora per notificarlo al Csirt (Computer Security Incident Response Team) del Dis. In casi meno gravi la denuncia dovrà avvenire entro sei ore. Dopo l’attacco l’ente deve definire e avviare i piani ddi attuazione e ripristino e trasmettere al Csirt una relazione tecnica, spiega il Sole 24 Ore. A meno che l’autorità giudiziaria non abbiamo comunicato esigenza di segretezza.

Secondo Andrea Chittaro, presidente di Aipsa (Associazione italiana professionisti security aziendale), il regolamento non è senza rischi: “L’intenzione è condivisibile ma il lavoro per le imprese sarà enorme”, ha spiegato al Sole 24 Ore. “Il rischio è di conferire tante informazioni poco vagliate. A discapito della qualità”.

Stefano Mele, partner dello studio legale Carnelutti e presidente della Commissione cibernetica del Comitato atlantico italiano, spiega a Formiche.net che “gli sforzi per gli operatori pubblici e privati derivanti dagli obblighi e dalle richieste del Perimetro rischiano di vanificare questo importantissimo obiettivo che il governo italiano deve assolutamente perseguire”. Infatti, “alcune misure di sicurezza previste dalla bozza di Dpcm avranno sulle 100 aziende più importanti per la nostra sicurezza nazionale un impatto difficilmente gestibile anche nell’arco dei 24 mesi previsti dall’attuale bozza dell’atto normativo”.

La principale preoccupazione tra le aziende, spiega Mele, riguarda la richiesta di gestione dei dati digitali “trattati mediante l’impiego di beni Ict o relativi al loro funzionamento, alla loro descrizione o alla loro sicurezza, anche parziale”, come si legge nella bozza. Infatti, è previsto che siano “conservati, elaborati, ovvero estratti esclusivamente mediante l’impiego di infrastrutture fisiche e tecnologiche, anche se esternalizzate (ad esempio tramite cloud computing) localizzate sul territorio nazionale”. “Probabilmente i 24 mesi previsti dall’attuale bozza del Dpcm risultano troppo stringenti per operatori privati complessi come quelle inclusi all’interno del Perimetro”, conclude Mele.