skip to Main Content

Cybersecurity, il testo del regolamento del perimetro di sicurezza nazionale

Data Act

Come individuare amministrazioni pubbliche, enti e operatori pubblici e privati inclusi nel perimetro di sicurezza nazionale cibernetica? La valutazione spetta a Centro di valutazione e certificazione nazionale (CVCN), Centri di valutazione (CV) e Laboratori accreditati di prova (LAP)

La nuova normativa in materia di cybersecurity è entrata in vigore alla fine dell’anno scorso ed è frutto dell’acceso dibattito nazionale ed internazionale in merito alla sicurezza informatica, anche alla luce dei recenti fatti relativi ad attacchi informatici che hanno colpito il nostro Paese. La Legge n. 133 del 2019 si inserisce all’interno del quadro normativo che comprende la tutela delle informazioni sensibili per il funzionamento della Repubblica, la possibilità che lo Stato imponga veti o condizioni all’acquisto di soggetti stranieri in settori considerati strategici e la normativa sulla sicurezza delle reti. Il DL avrà effetto anche nei confronti di soggetti non rientranti nel perimetro di sicurezza cibernetica nella misura in cui si tratterà di soggetti che intrattengono rapporti con gli attori perimetrati. È ancora presto forse per determinare quale sarà l’impatto operativo della nuova normativa all’interno del mercato dell’Information Communication Technology (ICT). Tuttavia, sembra plausibile che il DL sia destinato ad avere effetti sull’intero comparto tecnologico nazionale e che tutti gli operatori saranno, in diversa misura, chiamati a confrontarsi con le sue disposizioni.

PERIMETRO DI SICUREZZA NAZIONALE, COSA DICE LA RELAZIONE ILLUSTRATIVA

La relazione illustrativa dello schema di decreto del Presidente della Repubblica recante attuazione dell’articolo 1, comma 6, del DL in questione (il DL del 21 settembre 2019 n. 105 è stato convertito con modificazioni dalla legge del 18 novembre 2019 n. 133) spiega che “in considerazione dell’accresciuta esposizione alle minacce cibernetiche si è imposta nell’agenda nazionale ed internazionale la necessità di sviluppare, in tempi brevi, idonei e sempre più stringenti meccanismi di tutela”. Il DL del 2019 ha istituito il perimetro di sicurezza nazionale cibernetica, “con il fine di assicurare la sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale dello Stato o la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, o dall’utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.

LE FASI PREVISTE

L’attuazione della disciplina del perimetro di sicurezza cibernetica è articolata in due fasi: definire le modalità e i criteri per procedere all’individuazione dei soggetti (amministrazioni pubbliche, enti e operatori pubblici e privati) inclusi nel perimetro di sicurezza nazionale cibernetica; definire i criteri con i quali i soggetti inclusi nel perimetro predispongono e aggiornano l’elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza. Lo schema di DPCM è adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR). Tale disposizione prevede che lo schema sia trasmesso anche al Comitato parlamentare per la sicurezza della Repubblica (Copasir).

IL CONTENUTO E LE DISPOSIZIONI GENERALI

La proposta si compone di 4 Capi. Il Capo I “Disposizioni generali” è diviso in due articoli. L’art. 1 “Definizioni” riguarda l’ambito del DL. In particolare, sono definiti i soggetti individuati per le attività di valutazione e di test: il Centro di valutazione e certificazione nazionale (CVCN), i Centri di valutazione (CV) e i Laboratori accreditati di prova (LAP). Inoltre, viene definita la Centrale di committenza per il cui tramite un soggetto pubblico incluso nel perimetro può effettuare acquisizioni di beni, sistemi e servizi ICT. L’art. 2 “Ambito di applicazione” precisa che scopo del decreto è dare attuazione all’articolo 1 attraverso la definizione delle procedure, modalità e termini per stabilire criteri di natura tecnica per l’individuazione delle categorie.

LA PROCEDURA DI VALUTAZIONE

Il Capo II “Procedura di valutazione del CVCN e dei CV” si compone di nove articoli, dall’articolo 3 all’articolo 12. L’art. 3 “Comunicazione di affidamento” precisa i contenuti della comunicazione e le relative modalità di trasmissione al CVCN o ai CV, con la quale i soggetti inclusi nel perimetro manifestano l’intenzione di acquisire beni, sistemi e servizi ICT. L’art. 4 “Procedimento di verifica e valutazione” sintetizza le tre fasi di verifica condotte dal CVCN e dai CV, dettagliate nei successivi articoli (artt. 5-7). La prima fase si avvia con l’analisi della comunicazione trasmessa dal soggetto incluso nel perimetro e si conclude con l’individuazione di test e condizioni da includere nei bandi di gara o nei contratti. La seconda fase prevede l’attività di preparazione all’esecuzione dei test che il fornitore deve porre in essere ed è indipendente dal CVCN e dai CV. Infine, la terza fase comprende l’esecuzione dei test e decorre dalla data in cui siano terminate le attività propedeutiche all’esecuzione dei test.

ESITO DELLA VALUTAZIONE

L’art. 8 “Esito della valutazione e prescrizioni di utilizzo” stabilisce che sulla base del rapporto di prova il CVCN e i CV redigono il rapporto di valutazione contenente l’esito dei test. Il rapporto di valutazione è comunicato al soggetto incluso nel perimetro e al fornitore. L’art. 9 “Oneri economici a carico del fornitore” prevede che le spese siano a carico del fornitore per le attività di valutazione svolte dal CVCN e dai CV. L’art. 10 “Casi di deroga” conferma l’esclusione dal campo di applicazione del decreto e i casi in cui è considerato indispensabile procedere in sede estera, all’acquisizione di forniture di beni, sistemi e servizi ICT se acquisite e utilizzate nel Paese in cui i soggetti del perimetro operano, tramite uffici, sedi o filiali all’estero. L’art. 11 “Periodo transitorio” prevede che il CVCN e i CV individuino i test da eseguire secondo un approccio gradualmente crescente nelle verifiche di sicurezza. L’art. 12 “Casi particolari” precisa che la valutazione preventiva per l’esercizio dei poteri speciali è effettuata dal CVCN.

CATEGORIE E TIPOLOGIE DI BENI, SISTEMI E SERVIZI ICT

Il Capo III contiene l’art. 13 “Criteri tecnici per l’individuazione delle categorie”, che definisce i criteri tecnici per l’individuazione delle categorie di beni, sistemi e servizi ICT che sottostanno alla valutazione del CVCN e dei CV. Tali criteri si basano sull’esecuzione o svolgimento di funzioni ritenute fondamentali ai fini della sicurezza. Il Capo IV “Ispezioni e verifiche” si compone di sette articoli, dall’articolo 14 all’articolo 20. L’art. 14 “Oggetto delle verifiche e delle ispezioni” precisa che lo scopo di verifiche e ispezioni è di accertare l’adempimento da parte dei soggetti inclusi nel perimetro degli obblighi previsti dal Decreto Legge.

LE AUTORITÀ COMPETENTI

L’art. 15 “Autorità competenti” definisce le Autorità che possono effettuare le verifiche e le ispezioni. In particolare, per la PCM la struttura preposta è quella competente per l’innovazione tecnologica e la digitalizzazione. Per il MiSE invece la struttura preposta è quella competente in materia di tecnologie delle comunicazioni e di sicurezza informatica. Le Autorità nominano sia il personale incaricato delle verifiche e ispezioni che il responsabile del procedimento. L’art. 16 “Attività di verifica e ispezione” elenca i casi nei quali le Autorità competenti possono effettuare verifiche e ispezioni. I soggetti inclusi nel perimetro nominano un incaricato in possesso di professionalità e di competenze nella materia della sicurezza cibernetica, quale unico referente per le attività di verifica e ispezione, comunicandone il nominativo al responsabile del procedimento.

L’ATTIVITÀ DI VERIFICA

L’art. 17 “Attività di verifica” descrive come le verifiche siano effettuate mediante analisi e controllo documentale delle evidenze al fine di accertare l’adempimento degli obblighi previsti dal DL e dai relativi decreti attuativi. Qualora tali informazioni o documentazione, risultino incomplete o incongruenti, il responsabile del procedimento può richiedere chiarimenti e integrazioni entro 15 giorni dalla ricezione della richiesta. L’art. 18 descrive le modalità con cui sono effettuate le attività di ispezione e l’art. 19 “Esiti delle attività di verifica e ispezione” descrive la conclusione della procedura. L’art. 20 “Invarianza finanziaria”, infine, contiene la previsione che dall’attuazione del presente decreto non devono derivare nuovi o maggiori oneri per la finanza pubblica. Le amministrazioni pubbliche interessate vi provvedono con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.

Il CVCN avrà il compito di verificare le condizioni di sicurezza di prodotti, apparati e sistemi utilizzati per il funzionamento di reti e servizi strategici. È stato pubblicato in Gazzetta pochi giorni fa il bando per la selezione di 70 esperti in sicurezza informatica che andranno a formare i CVCN istituiti dalla Legge 133 sul perimetro cibernetico.

Qui il testo completo della relazione illustrativa

Qui lo schema di decreto del Presidente della Repubblica

ISCRIVITI ALLA NEWSLETTER
Back To Top