Home » News » Attualità

Perimetro Sicurezza Nazionale Cibernetica e Agenzia Nazionale CyberSicurezza

Perimetro Sicurezza Nazionale Cibernetica e Agenzia Nazionale CyberSicurezza

Perimetro di Sicurezza Nazionale Cibernetica e Agenzia Nazionale CyberSicurezza sono i temi al centro dell’approfondimento a cura dell’Avvocato Domenico Vozza, Compliance Privacy, Security & Cybersecurity Senior Consultant, di IFI Advisory.

Vozza, con la sua consueta sapiente ed attenta verve, ne esamina lo stato dell’arte e gli adempimenti degli enti pubblici e privati coinvolti, fornendo una lettura di una disciplina complessa ed evidenziando i tratti salienti di una nuova struttura di tutela delle reti e dei sistemi informativi.

Buona lettura!

la Redazione

La Legge di conversione del Decreto Legge 82/2021 recante “disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la Cybersicurezza Nazionale”, in vigore dal 05 agosto 2021, è destinata a rappresentare uno dei più imponenti provvedimenti legislativi posti a tutela della sicurezza nazionale e dell’intera collettività dello Stato nel vedersi garantire la  corretta e costante erogazione dei servizi essenziali.

Proprio in tale contesto, nell’ultimo biennio, ha visto la luce il Decreto Legge 105 del 2019, conv. Legge 133/2019 – meglio conosciuto come “decreto perimetro” – al quale hanno fatto seguito i tre dei quattro  DPCM (Decreto Presidente del Consiglio dei Ministri) di attuazione.

Fatta questa breve introduzione normativa, con un cenno all’antesignano Decreto Legislativo 65/2018 (di recepimento della Direttiva UE 2016/1148 c.d. Direttiva NIS), nel quale si stabiliscono  “misure  volte  a  conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello  comune  di sicurezza nell'Unione Europea”  e si definiscono i  requisiti e i compiti dei gruppi di intervento per la sicurezza informatica in caso di incidenti (CSIRT), (vgs allegato I al D.Lgs 65/2018), nonché gli adempimenti e le conseguenze sanzionatorie in caso di violazioni in capo ai fornitori di servizi essenziali (indicati negli allegati II e III al D.Lgs cit.), mi occuperò precipuamente del  Decreto 105, dal quale sono stati implementati i più importanti strumenti di cybersecurity di cui oggi, anche se con estremo ritardo, non si fa che parlare.

In particolare, mi riferisco alla definizione di perimetro di sicurezza nazionale cibernetica da intendere come un’area delimitata nella quale confluiscono reti, sistemi informativi  e servizi  informatici  delle amministrazioni pubbliche, degli enti e degli operatori pubblici  e privati aventi una sede nel  territorio  nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero  la prestazione  di  un  servizio  essenziale  per  il  mantenimento   di attività  civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio,  possa  derivare  un  pregiudizio  per  la sicurezza nazionale, dei quali occorrerà assicurare un  livello  elevato  di  sicurezza.

Ciò posto e in considerazione della necessaria nota di aggiornamento al decreto perimetro (riportata in nota 1)[1], uno dei primi elementi essenziali da tener ben evidenti è l’inclusione in tale perimetro degli operatori pubblici e privati interessati. Infatti, già diversi enti/società pubblici e privati, alla data del 22/12/2020 – con l’entrata in vigore del primo DPCM 131/2020 di attuazione – sono stati interessati da una nota del Dipartimento delle Informazioni per la Sicurezza (DIS) con la quale sono stati informati dell’inclusione nel citato perimetro. L’elenco degli enti interessati e destinatari della citata nota è stato inoltre implementato con il secondo DPCM 81/2021, in virtù del quale sono state altresì definite 223 funzioni essenziali a cui far riferimento per l’inserimento nel perimetro dei citati operatori e nei confronti dei quali incombono oggi obblighi di notifica di incidenti informatici e adempimenti di adozione di misure di sicurezza puntualmente definite nel DPCM 81 cit.[2]

In tale ultimo contesto, le comunicazioni di adozione delle misure di sicurezza di cui all’allegato B al DPCM 81 dovranno essere tempestivamente trasmesse dal DIS (organo ricevente)  all’Agenzia Nazionale Cybersecurity (immaginando già operativa ad oggi la struttura dell’Agenzia a ciò deputata)  ai fini dello svolgimento delle attività di verifica e ispezione, fatta eccezione per quelle comunicazioni concernenti i  beni  ICT [3operanti in strutture deputate allo svolgimento di compiti di  prevenzione  e repressione dei reati, alla  tutela  dell'ordine  e  della  sicurezza pubblica, alla difesa civile e alla difesa e sicurezza militare dello Stato, in relazione ai quali  le  attività  di  ispezione  e  verifica  sono svolte dalle strutture specializzate delle amministrazioni da cui dipendono le  Forze  di  Polizia  e  le  Forze Armate (CV) [4], in tema di  protezione  di  reti  e  sistemi, nonché, nei casi in cui siano espressamente previste dalla legge, in tema di prevenzione e di contrasto  del  crimine  informatico.

ACQUISIZIONE DEI BENI ICT [5] 
Ulteriore tassello da tener ben evidente è rappresentato dalle implicazioni in tema di acquisizione dei beni ICT da parte degli operatori rientranti nel perimetro di sicurezza cibernetica.

È stabilito, infatti, nel decreto perimetro, che gli operatori che  intendano  procedere  – anche per il tramite delle centrali di committenza  alle  quali  essi sono tenuti a fare ricorso – all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati  sulle  reti,  sui sistemi informativi e per l'espletamento dei servizi  informatici  appartenenti  a  categorie  individuate, sulla base di criteri di natura tecnica, devono darne comunicazione al Centro di  Valutazione e Certificazione Nazionale  (CVCN),  istituito  presso  il  Ministero  dello  Sviluppo Economico, destinato a passare sotto la competenza dell’Agenzia Nazionale per la Cybersicurezza; in tale comunicazione  occorrerà esporre  anche  la  valutazione  del rischio riferito all'oggetto della  fornitura e all'ambito di impiego.

È proprio il caso di affermare che tale disciplina impatterà significativamente su tutta la filiera dei beni ICT, a partire dai produttori e a giungere a chi dovrà acquistare tali beni per porli in uso nelle proprie strutture interconnesse in reti e sistemi informativi. Infatti, ricevuta la comunicazione, entro quarantacinque  giorni  prorogabili di ulteriori quindici, una sola volta e in caso di particolare complessità,  il  CVCN   può   effettuare   verifiche preliminari ed imporre condizioni e tests di hardware e softwares da compiere anche in collaborazione con  i  soggetti  rientranti nell’ambito del perimetro di sicurezza nazionale. Solo allorquando il CVCN non esprima una propria pronuncia in merito, si potrà proseguire nella procedura di affidamento. 

Pertanto, in ipotesi di imposizione di condizioni e tests di hardware e software, i relativi bandi di gara e contratti dovranno contenere clausole sospensive, ovvero risolutive, che condizionano il contratto al rispetto delle condizioni e all'esito favorevole  dei  tests  disposti dal CVCN. I tests, il cui periodo massimo di conduzione non potrà superare i sessanta giorni, sia in caso di superamento con esito favorevole, sia al decorrere del periodo massimo appena menzionato, determineranno il proseguimento della procedura di affidamento.

PESANTI CONSEGUENZE IN IPOTESI DI VIOLAZIONI
Avviandomi alla conclusione, voglio altresì rappresentare le pesanti conseguenze in ipotesi di violazioni alla complessa normativa sopra indicata, che sarà destinata ad impattare significativamente sulle decisioni organizzative del Management degli operatori coinvolti nel processo di adeguamento delle articolazioni interne.

Per gli operatori privati, in particolare, oltre alla generale disciplina del codice civile [6], si dovrà procedere alla necessitata implementazione del Modello di Organizzazione, Gestione e Controllo – c.d. Modello 231 – per evitare che conseguenze sanzionatorie per violazioni di carattere penale poste in essere dagli organi di vertice o da chi opera in nome e per conto,  possano far sorgere anche in capo agli enti/società una responsabilità amministrativa e l’irrogazione in capo ad essi di pesanti sanzioni pecuniarie, oltre che interdittive e cautelari tali da pregiudicarne pesantemente l’operatività.

Infine, da non sottovalutare il danno reputazionale che deriva da violazioni alle norme in materia di cybersecurity, sia per gli amministratori, sia per l’ente/società coinvolta in fatti illeciti che possono riguardare ipotesi di reato o violazioni di carattere amministrativo, di cui la normativa illustrata è davvero intrisa.

Di queste tematiche mi occuperò in un prossimo mio articolo dedicato agli illeciti e alle sanzioni nel mondo Cybersecurity.

Finalità di questo mio scritto è stata quella di illustrare nei lineamenti generali una complessa disciplina – nata in ritardo e a fasi alterne – evidenziando i punti salienti di una nuova struttura di tutela delle reti e dei sistemi informativi basata su misure di cyber intelligence (incardinata nei compiti istituzionali dei Servizi di Sicurezza), cyber defence (affidata alla neonata Agenzia Nazionale per la Cybersicurezza) e di prevenzione e repressione di reati (di esclusiva competenza delle Forze di Polizia).

a cura di Domenico Vozza  ,
Compliance Privacy, Security & Cybersecurity Senior Consultant,
IFI Advisory

[1] Il D.L. 14 giugno 2021, n. 82 ha disposto (con l'art. 16, comma  5) che “Nel decreto-legge perimetro  ogni  riferimento  al  Dipartimento delle informazioni per la sicurezza, o al DIS, ovunque ricorra, è da intendersi riferito all'Agenzia per  la  Cybersicurezza  Nazionale  e ogni riferimento  al  Nucleo  per  la  sicurezza  cibernetica  è  da intendersi riferito al Nucleo per la Cybersicurezza”.   Ha inoltre disposto (con l'art. 16, comma 6, lettera  a)  che  nel presente decreto-legge ogni riferimento al Ministero  dello  Sviluppo Economico e alla  Presidenza  del  Consiglio  dei  Ministri,  ovunque ricorra, è da intendersi riferito all'Agenzia per la  Cybersicurezza Nazionale.

  [2] L’allegato A al DPCM 81/08 definisce la Tassonomia degli incidenti; l’all. B, invece, elenca le Misure di sicurezza le cui modalità e termini di adozione sono riportate nell’art. 8 DPCM cit. In particolare, per le misure di sicurezza appartenenti alla  categoria  A  di cui all'appendice n. 2 dell'allegato B, entro sei mesi dalla data  di trasmissione  degli  elenchi  dei  beni  ICT  ….omississ…..,  ovvero, qualora la trasmissione sia avvenuta in una data antecedente a quella di entrata in vigore del presente  regolamento (26/06/2021),  entro  sei  mesi  da quest'ultima data. Per le misure di sicurezza appartenenti alla  categoria  B  di cui all'appendice n. 2 dell'allegato B, entro trenta mesi dalla  data di trasmissione degli  elenchi  dei  beni  ICT  ….omississ……,  ovvero, qualora la trasmissione sia avvenuta in una data antecedente a quella di entrata in vigore del presente regolamento (26/06/2021), entro trenta  mesi  da quest'ultima data; l’allegato C riporta le  Misure minime di sicurezza per la tutela delle informazioni, la cui adozione entro deve essere assicurata entro sessanta  giorni  dalla  data  di  entrata  in  vigore  del  presente regolamento.

  [3] Bene  ICT  (Information  and  Communication  Technology),  un insieme di reti, sistemi informativi e servizi informatici,  o  parti di essi, incluso nell'elenco  definito sulla base di un'analisi del rischio  e  di  un criterio di  gradualità  che  tenga  conto  delle  specificità  dei diversi settori di attività.

   [4 ]A tal proposito occorre puntualizzare sui termini CVCN, CV e LAP: Centro di Valutazione e Certificazione Nazionale, presso l’Agenzia per la Cybersicurezza Nazionale; Centro di Valutazione istituito presso il Ministero dell’Interno e il Ministero della Difesa; Laboratorio Accreditato di Prova, indipendente dai soggetti inclusi nel perimetro e dai fornitori che ha ottenuto l’accreditamento dal CVCN.

  [5] Con il terzo DPCM datato 15/06/2021 e pubblicato in Gazzetta Ufficiale n. 198 del 19/08/2021, si avvia a definizione l’intero pacchetto dei decreti attuativi di cui alla disciplina sulla cybersecurity nazionale. In particolare, tale provvedimento del Capo del Governo, Individua le categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica. Tali categorie sono soggette ad aggiornamento, con decreto del Presidente del Consiglio dei  Ministri,  con  cadenza almeno annuale, avuto riguardo all'innovazione  tecnologica,  nonché alla modifica dei criteri tecnici esplicitati all’art. 13 DPR 54/2021. Tale ultimo Decreto, molto importante per l’attività dei CVCN e CV, ha per oggetto: le procedure, le modalità ed i termini  da  seguire  ai  fini delle valutazioni da parte del CVCN e dei  CV,  ciascuno  nell'ambito delle rispettive competenze, in ordine all'acquisizione, da parte dei soggetti inclusi nel perimetro, di oggetti  di  fornitura  rientranti nelle categorie individuate; i  criteri  di  natura  tecnica  per  l'individuazione  delle categorie; le procedure, le modalità ed i termini con cui  le  Autorità competenti effettuano le attività di verifica e  ispezione  ai  fini dell'accertamento  del  rispetto   degli   obblighi   stabiliti   nel decreto-legge e nei decreti attuativi.

  [6] Si fa riferimento all’art. 2381 c.c. ad un fondamentale dovere del Consiglio di Amministrazione e/o dell’Amministratore Delegato alla valutazione dell'adeguatezza dell'assetto organizzativo, amministrativo e contabile della società.

Condividi questo articolo su:

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.