A novembre 2019 il Parlamento Italiano ha definitivamente approvato il Decreto Legge 105/2019 sul perimetro di sicurezza cibernetica nazionale. Le nuove norme hanno l’obiettivo di definire il perimetro e allo stesso tempo garantire un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici della PA ed in fine degli operatori di servizi essenziali (OSE).[1] Ciò avviene attraverso l’adozione di standard volti a minimizzare i rischi e le vulnerabilità, assicurando un esercizio quanto più sicuro degli strumenti offerti dalle nuove tecnologie ICT.
D.L. 105/2019: perimetro di sicurezza cibernetica nazionale
Il decreto, infatti, nasce dall’esigenza di prevenzione delle minacce cyber più evolute, mirando ad adeguare le norme nazionali all’attuale contesto tecnologico e alle normative comunitarie, come la Direttiva NIS. Differentemente dalla NIS, il perimetro sarà più restrittivo in quanto non si ragiona solo in termini di danni che un attacco informatico può causare alla fornitura di un servizio essenziale ma ai danni causati sopratutto dalla violazione della confidenzialità e dell’integrità di un asset. Ed è proprio in questi termini che verranno individuati i soggetti rientranti nel perimetro.
Tra le tematiche principali, affrontate dalle norme ritroviamo sicuramente le seguenti:
- la definizione delle finalità del perimetro e l’individuazione dei soggetti pubblici e privati che vi rientrano, nonché delle rispettive reti,sistemi informativi e servizi informatici rilevanti per la cyber security nazionale;
- il consolidamento del procurement per cui i soggetti inclusi nel perimetro e le centrali di committenza che intendano procedere alla fornitura di beni, sistemi e servizi ICT sono obbligati a darne comunicazione al Centro di Valutazione e Certificazione Nazionale (CVCN), allegando a quest’ultima la valutazione del rischio associata all’oggetto della fornitura e all’ambito di impiego;
- l’estensione dei poteri speciali esercitabili dal Governo nei settori ad alta intensità tecnologica, come i servizi strategici di comunicazione a banda larga basati sulla tecnologia 5G, in riferimento al decreto legge sul Golden Power.
Le ultime considerazioni dalla conferenza ITASEC 20
Nei giorni precedenti si è tenuta la più grande conferenza italiana dedicata alla cyber security, ITASEC20, nell’ambito della quale Roberto Baldoni, vicedirettore generale del DIS, ha spiegato l’evoluzione dei piani della cyber security strategy italiana per proteggere i soggetti impattati dalla normativa sul perimetro di sicurezza nazionale dai rischi di attacchi informatici.
Baldoni spiega, che una delle priorità è quella di analizzare asset e funzioni dello stato al fine di valutare l’impatto che potrebbero avere in caso di attacco informatico e di conseguenza stabilire chi ha la precedenza ad entrare nel perimetro, attraverso l’applicazione di un criterio di gradualità che parte dall’individuazione di un numero ragionevole di asset e soggetti ICT.
Infatti, già 9 sono i gruppi al lavoro, formati da circa 200 tecnici e giuristi di 20 amministrazioni, con lo scopo di individuare, in prima istanza, tali asset.
Oltre a ciò, ad opinione di Baldoni, occorre sviluppare una rete di laboratori di certificazione, non solo a supporto del MiSE, che ha il compito di effettuare, nei tempi previsti, le valutazioni tecnologiche che il Golden Power impone sulle tecnologie che sfruttano il 5G, ma anche per istituire delle vere e proprie task force di esperti che possano lavorare alla costruzione e all’interpretazione, di standard produttivi per l’high tech con l’obiettivo di poter realizzare una strategia di sicurezza nazionale, che permetta al nostro Paese di acquisire una autonomia digitale e individuare le tecnologie fondamentali da portare avanti per il nostro sviluppo.
Dunque il 2020 sarà l’anno della
costituzione di cyberteam, nei ministeri italiani, con competenze
trasversali che spaziano dal tecnico al giuridico. Ma non solo, come
sostiene Paolo Prinetto, professore del Politecnico di Torino e presidente del
Laboratorio nazionale di cyber security, espressione del Cini, tra le sfide più ardue vi è quella di mettere su dei Centri
di cyber security regionali per il supporto delle amministrazioni locali
insieme alla costituzione di veri e propri Cyber Range per addestrare i membri
delle task force. Oltre alla scommessa di portare in Italia il centro europeo
di ricerca e competenza sulla cyber security, previsto dalla Direttiva NIS.
Insomma
alla luce di quanto esposto dagli esperti di settore sarà fondamentale “arruolare”
delle persone con competenze professionali trasversali, in grado di orientarsi
e presidiare una materia multidisciplinare e in continua evoluzione come quella
della cyber security. Si spera che almeno in questo campo, per la sicurezza
del nostro Paese, non si adotti la consueta metodologia italiana delle
raccomandazioni di parenti, figli, amici e amanti, dando la possibilità agli
esperti in ambito di mettersi in gioco per la protezione concreta
dell’ecosistema nazionale. Consentendoci, inoltre, di poter sfruttare a nostro
vantaggio le nuove tecnologie che offrono innumerevoli opportunità
