La strada è ancora lunga. Doveva entrare nel vivo questo martedì il perimetro di sicurezza nazionale cibernetica delineato dal decreto cyber (dl. 105/2019) lo scorso autunno. Il cordone di sicurezza, frutto di uno dei primi decreti del governo giallorosso a settembre, consiste in una serie di misure volte da una parte a richiedere la segnalazione di incidenti informatici agli operatori pubblici e privati essenziali per la sicurezza nazionale, dall’altra, in linea con quanto richiesto dal Cybersecurity act dell’Ue, interviene sulla verifica dei livelli di sicurezza cibernetica di prodotti e servizi utilizzati nei loro sistemi e nelle reti.

Centinaia di aziende attendevano ieri una comunicazione da Palazzo Chigi per capire se fossero o meno incluse all’interno del perimetro. Questa comunicazione, riferiscono fonti qualificate a Formiche.net, non è avvenuta. E nelle ultime ore molti dei soggetti coinvolti si chiedono quando potranno avere notizie certe dal governo.

Trasporti, energia, mercati finanziari, banche, sanità e acqua potabile, infrastrutture e fornitori di servizi digitali. La lista dei settori che attendono un cenno dall’esecutivo è lunga. Il ventaglio comprende quelli inclusi nella Direttiva Nis (Network and information security) recepita nel sistema italiano dal dl. 65/2018. Il decreto cyber però ha ampliato il range a nuove categorie. Due su tutte: le piccole e medie imprese e le pubbliche amministrazioni. Tutti questi operatori non sanno ancora oggi se rientrano o meno nel perimetro di sicurezza nazionale cibernetica.

La road map contenuta nel decreto prevedeva due tappe principali. Entro il 21 marzo 2020, cioè entro quattro mesi dall’entrata in vigore della legge di conversione del decreto cyber, un Dpcm, su proposta del Cisr (Comitato interministeriale per la sicurezza della Repubblica) e previo il parere delle Commissioni parlamentari, doveva elencare i criteri di fondo per individuare i soggetti da includere nel perimetro. Fra questi, ad esempio, la presenza di una sede sul territorio nazionale, o l’esercizio di una funzione essenziale dello Stato che dipenda da reti o servizi informatici.

Entro il 21 aprile, il governo doveva pubblicare un atto amministrativo, sottoposto, come nel caso della Direttiva Nis, a una classifica di segretezza, contenente la lista dei soggetti inclusi nel perimetro.

Né l’uno né l’altro documento sono stati pubblicati. Un intervento del legislatore a febbraio, forse non sufficientemente pubblicizzato, visti i dubbi degli operatori in queste ore, ha infatti allungato e non di poco i tempi procedurali. Si tratta di una modifica al decreto milleproroghe (d.l. 162/2019) contenuta nella legge di conversione (l. 8/2020) dello scorso 28 febbraio. Un comma aggiunto dall’articolo 27, comma 1, lettera n-bis del milleproroghe, specifica che “nei casi in cui sui decreti del Presidente del Consiglio dei ministri previsti dal presente articolo è acquisito, ai fini della loro adozione, il parere del Consiglio di Stato, i termini ordinatori stabiliti dal presente articolo sono sospesi per un periodo di quarantacinque giorni”.

Il parere del Consiglio di Stato, non previsto nel decreto cyber, aggiunge dunque altri 45 giorni di attesa. Senza contare eventuali risposte del legislatore ai rilievi del Consiglio, a questi vanno sommati altri 30 giorni, questi sì già previsti, entro i quali le Commissioni parlamentari competenti possono esprimere un parere (compreso un passaggio per conoscenza anche al Copasir), e al termine dei quali il Dpcm può comunque essere adottato (silenzio-assenso). Devono poi trascorrere altri 30 giorni perché il presidente del Consiglio adotti un atto amministrativo contenente la lista dei soggetti inclusi nel perimetro. In tutto, la procedura dura dunque almeno tre mesi e mezzo.

“Se tutto va bene, la lista si avrà per i primi di luglio” spiega un addetto ai lavori a Formiche.net. Da quel momento, le aziende e le pubbliche amministrazioni che riceveranno la comunicazione dal governo dovranno mettere in atto una serie di adempimenti. Non sono formalità da poco.

Chi rientra nel perimetro cyber deve infatti predisporre e aggiornare con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di pertinenza, comprensivi della relativa architettura e componentistica. Entro sei mesi dalla definizione dei criteri con cui aggiornare il novero delle reti, gli elenchi devono essere inviati alla presidenza del Consiglio nel caso di soggetti pubblici, al Mise nel caso di soggetti privati. Entrambi gli elenchi devono poi essere inoltrati da Palazzo Chigi al Dis (Dipartimento per l’Informazione e la Sicurezza) e al Viminale.

Ma fra gli obblighi degli operatori rientranti nel perimetro c’è anche quello di notificare al Csirt (Computer security incident response team) italiano gli incidenti aventi un impatto sulle reti, sui sistemi informativi e sui servizi informatici rientranti nel Perimetro di Sicurezza nazionale cibernetica; adottare le misure di sicurezza volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei sistemi informatici; e poi ancora, comunicare al Centro di valutazione e certificazione nazionale (Cvcn) l’intenzione di voler provvedere all’affidamento di forniture di beni, sistemi e servizi Ict destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici rientranti nel Perimetro di Sicurezza nazionale cibernetica.

Nonostante l’allungamento delle procedure dovuto all’intervento del legislatore, una precauzione, in particolare il passaggio al Consiglio di Stato, per premunirsi di fronte a eventuali ricorsi delle aziende, a Palazzo Chigi l’attenzione rimane altissima, così come al Dis. Restano delle oggettive complicazioni dovute alla situazione emergenziale del coronavirus. Difficile, ad esempio, concludere in fretta i colloqui per le personalità che comporranno i team dei Cvcn (tecnici, ingegneri, esperti cyber) mentre il Paese è ancora in quarantena.

Il dossier è caldissimo. Anche perché i settori in attesa dell’attuazione del perimetro sono gli stessi su cui interviene il nuovo golden power ampliato da Palazzo Chigi ai primi di aprile. Dal 5G al nuovo cloud, la definizione del perimetro cyber costruisce un cordone non solo intorno ai privati, ma anche alla Pubblica amministrazione, come ha più volte sottolineato il Copasir (Comitato parlamentare per la sicurezza della Repubblica), chiedendo di aumentare i controlli nei confronti di aziende straniere (è il caso, ad esempio, delle cinesi Huawei e Zte) determinate a partecipare alle gare per il 5G o la procedura di affidamento della rete Cloud della Pa.

“È assolutamente comprensibile che al momento ci sia anzitutto da gestire questa profonda crisi sanitaria”, commenta a Formiche.net Stefano Mele, partner dello Studio legale Carnelutti e presidente della Commissione sicurezza cibernetica del Comitato atlantico italiano.

“Al tempo di approvvigionamenti tecnologici urgenti da parte della Pa e con affidamento diretto, così come previsto dal decreto legge Cura Italia, e di dibattiti accesi sulla protezione dei dati personali dei cittadini che vengono conferiti all’interno delle strutture sanitarie pubbliche nazionali e, in un futuro molto prossimo, attraverso un app di tracciamento – aggiunge l’esperto – forse proprio l’attuazione della legge sul Perimetro di sicurezza nazionale cibernetica può rappresentare un tassello fondamentale per la cosiddetta “Fase 2″ e soprattutto per il futuro della sicurezza delle infrastrutture critiche nazionali e dei dati sensibili.”