L’avvio del perimetro cibernetico come scudo nazionale a tutela delle amministrazioni e delle imprese

La Presidenza del Consiglio dei Ministri con specifico regolamento individua i criteri dei soggetti che rientrano nel perimetro cibernetico ossia nel sistema di difesa nazionale, istituisce le strutture di supporto e approfondisce il profilo della comunicazione degli attacchi cyber entro sei ore dall’evento.

Il decreto 30 luglio 2020, n. 131 del Presidente del Consiglio dei ministri, pubblicato sulla Gazzetta Ufficiale n. 261 del 21 ottobre 2020, ad oggetto il Regolamento in materia di perimetro di sicurezza nazionale cibernetica , è stato predisposto ai sensi dell’articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, che reca disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica. L’articolo 1, comma 1, del citato decreto-legge n. 105/2019 istituisce il Perimetro di sicurezza nazionale cibernetica e demanda ad un d.P.C.M. l’individuazione delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, inclusi nel medesimo perimetro e tenuti al rispetto delle misure e degli obblighi previsti dal medesimo articolo 1 comma 2, lett. a . Il successivo comma 18 del medesimo articolo esplicita che gli eventuali adeguamenti alle prescrizioni di sicurezza definite ai sensi dell’articolo 1 delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici di cui al comma 2, lettera a , sono effettuati con le risorse finanziarie disponibili a legislazione vigente. Il Perimetro di sicurezza nazionale cibernetica è previsto al fine di assicurare la sicurezza di reti, sistemi informativi e servizi informatici necessari allo svolgimento di funzioni o alla prestazione di servizi, dalla cui discontinuità possa derivare un pregiudizio alla sicurezza nazionale . La Presidenza del Consiglio con lo specifico regolamento in esame individua il percorso e le scadenze in materia . Si tratta di un primo decreto che sarà seguito da successivi tre decreti pianificati nei prossimi mesi che specificheranno misure di sicurezza e procedure nel caso di attacchi informatici. Il regolamento in esame individua i soggetti che esercitano funzioni essenziali e servizi essenziali, i settori di attività e descrive le modalità e criteri procedurali di individuazione dei soggetti inclusi nel perimetro. Il presente regolamento prevede l’istituzione di un elenco riservato delle organizzazioni che fanno parte del perimetro circa 150 operatori . Il regolamento descrive criteri per la predisposizione e l'aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici. Nel perimetro cibernetico sono ricomprese due macrocategorie di soggetti la prima categoria ricomprende i soggetti che esercitano una funzione essenziale dello Stato, di seguito funzione essenziale, laddove l'ordinamento gli attribuisca compiti rivolti ad assicurare la continuità dell'azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l'ordine pubblico, l'amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti. La seconda macrocategoria ricomprende i soggetti che sono inclusi nel perimetro i soggetto pubblico o privato, presta un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, di seguito servizio essenziale, laddove ponga in essere attività strumentali all'esercizio di funzioni essenziali dello Stato attività necessarie per l'esercizio e il godimento dei diritti fondamentali attività necessarie per la continuità degli approvvigionamenti e l'efficienza delle infrastrutture e della logistica attività di ricerca e attività relative alle realtà produttive nel campo dell'alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell'autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale. Ai fini dell'inclusione nel perimetro, sono oggetto di individuazione, in applicazione del criterio di gradualità di cui all'articolo 1, comma 2, del decreto-legge, in via prioritaria, fatta salva l'estensione ad altri settori in sede di aggiornamento, i soggetti operanti nel settore governativo, concernente, nell'ambito delle attività dell'amministrazione dello Stato, le attività delle amministrazioni CISR, nonché gli ulteriori soggetti, pubblici o privati, operanti nei seguenti settori di attività , ove non ricompresi in quello governativo a interno b difesa c spazio e aerospazio d energia e telecomunicazioni f economia e finanza g trasporti h servizi digitali i tecnologie critiche, di cui all'articolo 4, paragrafo 1, lettera b , del Regolamento UE 2019/452 del Parlamento europeo e del Consiglio del 19 marzo 2019, con esclusione di quelle riferite ad altri settori di cui al presente articolo l enti previdenziali/lavoro. Con riferimento ad ogni singolo settore di attività elencato è, poi, indicata l’amministrazione pubblica di riferimento articolo 3, comma 2 . Il regolamento prevede che le sopra citate amministrazioni di riferimento, in relazione ai settori di attività di competenza, identifichino le funzioni essenziali e i servizi essenziali di diretta pertinenza la cui interruzione o compromissione possa arrecare un pregiudizio per la sicurezza nazionale ed elenchino, altresì, i soggetti che tali funzioni e servizi svolgono. L’elenco dei soggetti è sottoposto al Comitato interministeriale per la sicurezza della Repubblica CISR che forma ed aggiorna un elenco generale adottando decreti del Presidente del Consiglio dei ministri, di natura non regolamentare articolo 5 . A supporto del CISR tecnico è istituito il Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica composto da rappresentanti delle amministrazioni pubbliche specificatamente individuati. Il Tavolo interministeriale si riunisce periodicamente, almeno una volta ogni 6 mesi, e alle sue riunioni possono essere chiamati a partecipare rappresentanti di altre pubbliche amministrazioni, nonché di enti e operatori pubblici e privati. La partecipazione alle riunioni del Tavolo interministeriale costituisce dovere d'ufficio e non sono, pertanto, dovuti gettoni di presenza, compensi, rimborsi spese o altri emolumenti comunque denominati articolo 6 . Si prevede che i soggetti inclusi nel perimetro di sicurezza nazionale cibernetica predispongano ed aggiornino periodicamente, almeno con cadenza annuale, l'elenco di beni ICT 6 di rispettiva pertinenza, che, se colpiti da incidente, causerebbero la compromissione dello svolgimento di funzioni o servizi essenziali articolo 7 . Come indicato nell’articolo 7 comma 1 del Regolamento, le aziende pubbliche e private inserite nel Perimetro di sicurezza nazionale cibernetica e quindi nella lista dei 150 soggetti che svolgono funzioni essenziali per lo Stato dovranno innanzitutto predisporre e aggiornare con cadenza almeno annuale l’elenco di beni ICT. In base alle definizioni dell’articolo 1 del regolamento per beni ICT si intende un insieme di reti, sistemi informativi e servizi informatici, o parti di essi, di qualunque natura considerato unitariamente ai fini dello svolgimento di funzioni essenziali dello Stato o per l'erogazione di servizi essenziali. I medesimi soggetti devono descrivere l’'architettura e la componentistica tech di tali beni ICT articolo 8 . L'elenco dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, comprensivi della descrizione dell'architettura e della componentistica dei beni ICT sono sottoposti ad idonee misure di sicurezza articolo 10 . Allo stesso modo articolo 8 del Regolamento , dovrà essere predisposto un elenco con la descrizione dell’architettura e della componentistica tech. Entro sei mesi dalla comunicazione di inserimento nel Perimetro di sicurezza nazionale cibernetica, entrambi questi elenchi devono essere inviati alla struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione nel caso dei soggetti pubblici o al Mise nel caso dei privati . Secondo il Regolamento, qualora uno di questi soggetti dovesse rimanere vittima di un attacco cyber sarà obbligato ad informare, entro 6 ore al massimo e non 24 come prevede invece la Direttiva NIS lo CSIRT Computer Security Incident Response Team – Italia , il gruppo di esperti istituito presso il DIS Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei Ministri . Nel caso di intrusione grave si attiverà il Nucleo per la sicurezza cibernetica , che propone al Presidente del Consiglio risposte adeguate e coordina il ripristino del servizio. Il regolamento in esame costituisce una tappa fondamentale per l’istituzione e attivazione del perimetro di sicurezza nazionale cibernetica e fornisce alle imprese e agli operatori la descrizione dei criteri per fare parte del perimetro. Le aziende , una volta inserite nell’elenco speciale hanno sei mesi di tempo per fornire al governo il censimento delle reti e degli hardware utilizzati che deve passare al vaglio del Centro di Valutazione e Certificazione nazionale, istituito presso il Mise per scoprire le vulnerabilità che gli hacker potrebbero sfruttare. L’intervento del Governo è apprezzabile alla luce dalla pandemia di COVID-19 che ha rallentato la creazione di uno scudo cyber a protezione della nazione e la formazione dei Centri di valutazione e certificazione nazionale CVCN . Resta il nodo scoperto e dolente della mancanza di fondi e risorse adeguate in materia rispetto da altri paesi dell’Unione ma il governo potrò avvalersi in questa materia del recovery fund. Il regolamento in esame sancisce l’inizio di un lungo percorso che durerà fino alla primavera 2021 e comporterà percorsi di training e aggiornamento del personale della pubblica amministrazione al fine di fare crescere la consapevolezza in materia di sicurezza informatica, priorità assoluta alla luce dell’aumento vertiginoso degli attacchi informatici durante la pandemia restano da informare e sensibilizzare i cittadini e gli utenti dei servizi.