Perimetro di Sicurezza Nazionale Cibernetico

L’importanza del Perimetro di Sicurezza Nazionale Cibernetico per la competitività delle aziende Italiane

20 ottobre 2021

di Gianluca CATTANI, Fabio MULAZZANI, Massimiliano VEGNI

L’importanza del Perimetro di Sicurezza Nazionale Cibernetico per la competitività delle aziende Italiane

Il Perimetro di Sicurezza Nazionale Cibernetico, rappresenta per il nostro Paese una innovazione epocale nella normativa di settore ed una opportunità unica per accrescere la competitività delle imprese strategiche del nostro paese.

La sicurezza cibernetica è uno dei fondamentali ambiti sui quali il Piano nazionale di ripresa e resilienza (PNRR) si è concentrato.

La sicurezza cibernetica rappresenta infatti il primo dei 7 investimenti della Digitalizzazione della PA, pilastro principale della componente 1 “Digitalizzazione, innovazione e sicurezza nella PA” compresa nella Missione 1 “Digitalizzazione, innovazione, competitività, cultura e turismo”.

Per dare un breve quadro delle fonti normative sulla materia, il primo tassello a livello europeo è stato dato dalla direttiva (UE) 2016/1148 del 6 luglio 2016 (c.d. direttiva NISNetwork and Information Security“) con la finalità precipua di assicurare un “livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea“. La direttiva NIS è stata attuata in Italia attraverso il decreto legislativo n. 65 del 18 maggio 2018, a cui è seguito il decreto legge n. 105 del 2019 (convertito e modificato poi in parte dalla Legge 18 novembre 2019, n. 133) che ha formalmente istituito, tra le altre cose, un perimetro di sicurezza nazionale cibernetica.

In attuazione del decreto legge n. 105 sopra ricordato, sono stati emanati il DPCM 30 luglio 2020, n. 131, che ha fornito i criteri per l’individuazione dei soggetti inclusi nel Perimetro Nazionale di Sicurezza Cibernetica.

In maniera molto sintetica e generale può rientrare nel Perimetro di Sicurezza Nazionale Cibernetica qualunque soggetto pubblico o privato che fornisca un “servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato”. Al riguardo può considerarsi essenziale un servizio che ponga in essere:

  • attività strumentali all’esercizio di funzioni essenziali dello Stato;
  • attività necessarie per l’esercizio e il godimento dei diritti fondamentali;
  • attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica;
  • attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore di rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.

I soggetti suddetti sono individuati quindi tra gli operatori dei vari settori, tra cui, spazio e aerospazio, energia, telecomunicazioni, trasporti, interno, difesa, economia e finanza, servizi digitali, tecnologie critiche, enti sanitari e previdenziali. Gli stessi, entro sei mesi dalla ricezione della comunicazione che li inserisce nel perimetro devono comunicare le reti, i sistemi informativi ed i servizi informatici (beni ICT) che sono impiegati rispettivamente per l’erogazione delle funzioni e dei servizi essenziali dello Stato inclusi nel perimetro.

Si alza, quindi, ulteriormente il livello di resilienza cibernetica degli attori maggiormente sensibili ai fini della sicurezza nazionale. Dal 24 giugno, il perimetro di sicurezza nazionale cibernetica è iniziato ad essere “operativo” nei confronti dei soggetti inseriti il 22 dicembre scorso. Questi ultimi saranno, quindi, tenuti ad applicare le misure di sicurezza legislativamente previste e a notificare allo CSIRT italiano gli incidenti che si dovessero manifestare. La lista delle misure di sicurezza e la tassonomia degli incidenti per cui il soggetto è tenuto a notificare sono state pubblicate venerdì 11 Giugno 2021, in Gazzetta Ufficiale n. 138. Per permettere una adeguata organizzazione ai soggetti inclusi nel perimetro per ottemperare alle procedure di notifica di incidenti, queste ultime procederanno in via sperimentale fino al 31 Dicembre 2021. Questo nuovo DPCM oltre a prevedere la notifica obbligatoria degli incidenti gravi e meno gravi individuati nell’allegato A (gravi entro un’ora per quelli più gravi ed entro 6 ore per quelli meno gravi). È previsto un periodo di notifica sperimentale fino al 31.12.2021 e un sistema di notifiche volontarie per quegli incidenti al di fuori di quelli descritti in allegato A. Inoltre il DPCM prevede, come detto, l’obbligo di adottare determinate misure e standard di sicurezza per i beni ICT notificati. Tali misure di sicurezza devono essere adottate entro due mesi per quei beni indicati in allegato C al decreto ed entro 6 mesi per quelli indicati in allegato B.

Inoltre, è stato pubblicato nella Gazzetta Ufficiale n. 140 del 14 giugno 2021 il D.L. 14 giugno 2021, n. 82 con Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale, decreto che era stato approvato lo scorso 10 giugno 2021. Lo scopo del provvedimento legislativo è quello di fronteggiare il rischio cibernetico che oggi rappresenta uno dei principali rischi per la sicurezza nazionale.

La cybersecurity, infatti, rappresenta un elemento indefettibile per lo sviluppo dell’economia rappresentando un fattore fondamentale per lo sviluppo e la crescita del paese.

Presso la Presidenza del Consiglio dei Ministri viene istituito il Comitato interministeriale per la cybersicurezza. Il Comitato ha, quindi, il compito di affiancare l’opera del Consiglio dei Ministri nelle scelte strategiche, ma anche quello di suggerire all’esecutivo le azioni da intraprendere nell’attuazione di politiche tese a garantire la sicurezza nazionale.

Oltre al Comitato interministeriale per la Cybersecurity il decreto all’art. 8 prevede l’istituzione del Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri, per la gestione della prevenzione di eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento. Tale ente è istituito presso l’Agenzia per la cybersicurezza, la quale costituisce la principale novità del Decreto in esame.

L’art. 7 del D.L. 82/2021 istituisce, infatti, l’Agenzia Nazionale per la sicurezza cibernetica, ente di diritto pubblico. L’Agenzia è l’Autorità nazionale competente in materia di sicurezza cibernetica per le finalità di cui al decreto legislativo NIS, ed è l’ente competente per le funzioni ispettive e per le irrogazioni delle sanzioni previste nel decreto attuativo della direttiva europea. L’agenzia diventa altresì l’Ente deputato al rilascio delle certificazioni come previsto dal Regolamento Europeo 2019/881 che prevede l’obbligo per gli Stati membri di nominare l’autorità nazionale di certificazione a cui sono attribuiti una serie di poteri minimi, tra cui quelli istruttori, ispettivi e sanzionatori (Art. 58 del predetto regolamento). Il Decreto, poi, individua l’Agenzia come l’Ente di riferimento in materia di sicurezza cibernetica al quale passano le numerose competenze prima attribuite ad altri organi e in particolare quelle che erano state attribuite a:

  • al Ministero dello Sviluppo Economico in materia di sicurezza cibernetica;
  • al DIS (Dipartimento delle informazioni per la sicurezza);
  • alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica;
  • all’Agenzia dell’Italia digitale.

Tra i compiti affidati alla nuova agenzia rientrano lo sviluppo di politiche di prevenzione, analisi e monitoraggio dei pericoli, la redazione del piano annuale di sicurezza cibernetica nazionale, la promozione di un quadro giuridico e normativo di riferimento, la partecipazione a esercitazioni nazionali e internazionali per testare l’adeguatezza delle misure di sicurezza, lo svolgimento di funzioni consultive, il coordinamento della cooperazione internazionale in funzione di sicurezza cibernetica, la collaborazione con il mondo accademico e della ricerca.

Si tratta dunque di una normativa innovativa che si prefigge di prevenire con mezzi adeguati il rischio cyber, anche attraverso la segregazione e compartimentalizzazione dei sistemi e delle reti informatiche e più in generale di quelli che la normativa in questione denomina come beni ICT.

Tutte le attività di compliance, affinché siano efficaci, richiedono la redazione di programmi di prevenzione e risk management, aggiornamenti periodici degli stessi, corsi di formazione per il personale, training specifici, e attività pratiche come ad esempio il red teaming, con simulazioni di attacchi cibernetici reali posti in essere all’insaputa dell’utente. Tali attività devono poi essere affiancate e supportate da una effettiva sensibilizzazione del management e delle funzioni apicali dell’azienda, che devono assicurare budget congrui rispetto all’importanza delle attività di prevenzione necessarie a fronteggiare i rischi cibernetici. Va ricordato al riguardo che la violazione di tali normative è reato presupposto ai sensi del D.lgs. 231/2001 e la compliance cyber deve quindi necessariamente integrarsi con quella volta al contrasto degli illeciti in ambito aziendale.

A tal fine, un ruolo sempre più importante assumerà il CISO, che dovrà essere preferibilmente indipendente dall’IT aziendale, riportare ai vertici ed avere un proprio budget dedicato alla sicurezza cyber. Nei prossimi anni dovranno essere cresciute e formate queste professionalità che ancora scarseggiano nel nostro mercato e che costituiranno un interessante sbocco professionale per tanti giovani. Si tratta di competenze ibride tecnico/giuridiche, che devono gestire il processo e le formalità legali ma altresì essere padroni delle fondamentali conoscenze tecniche dei sistemi da proteggere.

Un altro aspetto giuridico di grande interesse sollevato da questa nuova normativa è quello con la filiera dei fornitori (cd. supply chain). I temi del controllo della filiera, della qualificazione dei fornitori, delle certificazioni, della gestione degli elementi di riservatezza (o addirittura classificazione) gettano nuovi interrogativi su come tali fattori possono influenzare l’approvvigionamento di beni e servizi e la gestione delle gare di appalto degli stessi.

L’ultima novità in materia è rappresentata dal DPCM del 15 giugno 2021, denominato “individuazione delle categorie di beni e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cybernetico” e pubblicato in Gazzetta Ufficiale il 19 agosto 2021.

I soggetti rientranti nel perimetro saranno quindi tenuti alla previa comunicazione dell’esigenza di stipulare un contratto di fornitura relativo ai beni, ai sistemi e ai servizi individuati agli organi nazionali competenti ( CVCN Centro di Valutazione e Certificazione Nazionale) o i CV (Centri di Valutazione).

L’individuazione delle categorie di beni e servizi interessate avviene sulla base dei criteri tecnici elencati all’art. 13 del D.P.R. 5 febbraio 2021, n.54, che fanno riferimento allo svolgimento o l’esecuzione di sei diverse funzioni (come quella di comando e controllo di una rete elettronica industriale o quella di monitoraggio e controllo di configurazione di una rete di comunicazione elettronica).

Attualmente il decreto individua quattro categorie, suscettibili di aggiornamento quanto meno annuale, per ciascuna delle quali è fornito un elenco di beni, sistemi e servizi che vi rientrano. Le quattro categorie sono:

  1. Componenti hardware e software che svolgono funzionalità e servizi di rete di telecomunicazione (accesso, trasporto, commutazione)
  2. Componenti hardware e software che svolgono funzionalità per la sicurezza di reti di telecomunicazione e dei dati da esse trattati
  3. Componenti hardware e software per acquisizione dati, monitoraggio, supervisione controllo, attuazione e automazione di reti di telecomunicazione e sistemi industriali e infrastrutturali
  4. Applicativi software per l’implementazione di meccanismi di sicurezza.

L’elenco fornito dal decreto rappresenta una importante svolta nello sviluppo della sicurezza cibernetica nazionale, ponendosi quale elemento necessario per l’effettiva applicazione della normativa.

I soggetti rientranti nel perimetro nazionale di sicurezza cibernetica saranno dunque tenuti ad un meticoloso controllo relativo alla qualificazione dei beni, dei sistemi e dei servizi oggetto dei propri contratti di fornitura al fine di adempiere agli obblighi di previa comunicazione cui sarebbero soggetti nel caso di corrispondenza a quelli elencati dal decreto.

La normativa sul Perimetro pone pertanto il nostro Paese all’avanguardia in materia di sicurezza e difesa cibernetica di settori vitali per l’intera nazione e la loro continuità operativa. Essa lancia nuove sfide per i compliance officer delle aziende italiane strategiche ma anche dei loro fornitori, chiamati, con l’uscita del decreto, ad adeguarsi alle nuove regole di ingaggio.  C’è un lavoro di adeguamento da fare e chi non resterà al passo rischia di perdere fette di mercato. Si aprono nuove sfide cyber per le imprese del XXI secolo che devono accettare a viso aperto questa sfida all’innovazione e alla multidisciplinarietà.

 

Intervento di:

Avv. Gianluca CATTANI  –  Partner dello studio legale Delfino e Associati Willkie Farr & Gallagher LLP

Dr. Fabio MULAZZANI  –  Founder Cyberskill S.r.l.

Ing. Massimiliano VEGNI  –  Founder Cyberskill S.r.l. e IT Systems S.r.l.



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *