Il Governo, col DPCM 30 luglio 2020, ha dettagliato le specifiche e gli ambiti di attività dei soggetti inclusi nel Perimetro di sicurezza cibernetica nonché le modalità di elaborazione, aggiornamento e comunicazione degli elenchi dei beni ICT. Un passaggio fondamentale per garantire un’efficace protezione del sistema-Paese.

Le misure contenute nel DPCM 30 luglio 2020 – Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell’articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 – ci pongono all’avanguardia nel tema della sicurezza cibernetica e ci posizioniamo tra coloro che ispirano altri Paesi, europei ed extra europei.

Esaminiamole nel dettaglio.

Definizione dei Principali Concetti dell’impianto Normativo

Il DPCM è stato pubblicato nella Gazzetta Ufficiale del 21 ottobre 2020, n. 131 e entrerà in vigore il 5 novembre 2020.

Tale Decreto, come previsto dall’art. 1 comma 2 del Perimetro, definisce le modalità e i criteri di individuazione dei soggetti, pubblici e privati, inclusi nel Perimetro di sicurezza nazionale cibernetica nonché i criteri con cui tali soggetti predispongono e aggiornano l’elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza. All’interno dello stesso, inoltre, vengono definite le modalità di trasmissione dei suddetti elenchi.

L’art.1 del nuovo DPCM definisce, per la prima volta, alcuni concetti fondamentali in ottica di sicurezza informatica per quanto concerne il Perimetro di sicurezza nazionale cibernetica.

Nello specifico, sulla base delle considerazioni espresse dal Consiglio di Stato nel mese di maggio 2020, vengono chiariti diversi elementi centrali per l’esecuzione di quanto disposto dall’impianto normativo: a titolo di esempio sono stati dettagliati i concetti di “rete”, “sistema informativo” e “servizio informatico” nonché quelli di “bene ICT” e di “architettura e componentistica”. Se i concetti di “rete” e “sistema informativo” sono stati mutuati dal Decreto Legislativo n. 65 del 2018 (NIS), la definizione dei restanti si pone come un elemento innovativo cruciale per un’efficace comprensione delle intenzioni del Legislatore relativamente all’oggetto di analisi del Perimetro nazionale.

Di particolare interesse risulta essere la definizione di “bene ICT” inteso come “insieme di reti, sistemi informativi e servizi informatici, o parti di essi, di qualunque natura”. Tale concetto si configura come elemento di sintesi sul quale sono previste due attività centrali del DPCM riguardo ai criteri per la predisposizione e l’aggiornamento degli elenchi (art. 7): le valutazioni di impatto sugli incidenti e l’individuazione delle dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, ivi compresi quelli utilizzati per fini di manutenzione e gestione.

Individuazione dei Settori di Attività Inclusi nel Perimetro

Il DPCM circoscrive l’ambito di applicazione del Perimetro, in questa prima fase, a soggetti che operano nel settore governativo con riferimento alle attività delle amministrazioni CISR nonché a ulteriori soggetti, pubblici e privati, coinvolti nei seguenti settori (ove non ricompresi in quello governativo): a) interno; b) difesa; c) spazio e aerospazio; d) energia; e) telecomunicazioni; f) economia e finanza; g) trasporti; h) servizi digitali; i) tecnologie critiche; l) enti previdenziali/lavoro.

Per l’individuazione e l’elencazione dei soggetti, pubblici e privati, inclusi nel Perimetro appartenenti ai suddetti settori viene individuata una specifica Amministrazione pubblica competente (es. Ministero dello sviluppo economico; Ministero dell’economia e delle finanze).

Per il settore governativo tali attività sono demandate alle amministrazioni CISR, ciascuna nell’ambito di rispettiva competenza.

Il DPCM estrinseca il concetto di sicurezza nazionale che riguarda la disponibilità, l’integrità e la confidenzialità dei dati in esso inclusi, ma anche la continuità dei servizi caratterizzanti il perimetro stesso. Non riguarda quindi solo il concetto di continuità del sistema Paese, come le infrastrutture critiche definite nella direttiva 114/08, o quello di emersione del fenomeno della “in-sicurezza” cibernetica, come gli operatori di servizi essenziali definiti nella direttiva 1148/16 detta NIS, ma abbraccia il più ampio concetto della garanzia di sicurezza cibernetica e continuità del servizio per tutti quei servizi e quindi quegli operatori che costituiscono il substrato di essenza del Paese e le sue caratteristiche di interesse strategico nazionale.

Identificazione delle Modalità e dei Criteri per l’Individuazione dei Soggetti Inclusi nel Perimetro

Le Amministrazioni cui è demandata l’individuazione dei soggetti da includere nel Perimetro sono tenute, innanzitutto, a identificare le funzioni e i servizi essenziali erogati da ciascun soggetto che dipendono da reti, sistemi informativi o servizi informatici, la cui interruzione o compromissione possa arrecare un pregiudizio per la sicurezza nazionale.

È interessante il fatto che la valutazione di impatto dalla quale deriva l’identificazione delle funzioni e dei servizi fondamentali inerenti al perimetro sia associata alla copertura del servizio, alla tipologia degli utenti e ad eventuali livello di servizio garantiti, nonché ai danni economici che ne deriverebbero.

Il processo di individuazione comprende anche una valutazione sugli effetti negativi dell’interruzione della funzione o del servizio essenziale e della compromissione, in termini di perdita di disponibilità, integrità e riservatezza dei dati e delle informazioni. Inoltre, è previsto un ulteriore elemento di valutazione, che riguarda le tempistiche di mitigazione, ovvero una stima dei tempi di ripristino necessari per ristabilire l’erogazione della funzione/servizio in condizioni di sicurezza, sia integralmente, sia “temporaneamente, con modalità prive di supporto informatizzato ovvero anche parzialmente da altri soggetti”. Quest’ultima possibilità si ricollega ai criteri di alternativa intrasettoriale tra vari operatori e di fungibilità intersettoriale e può preludere a valutazioni preventive anche sull’uso delle risorse rimanenti in caso di scarsità dovuta a crisi, brevi o prolungate.

Leggi l’articolo completo