Perimetro Sicurezza Nazionale Cibernetica e Agenzia Nazionale CyberSicurezza
Perimetro di Sicurezza Nazionale Cibernetica e Agenzia Nazionale CyberSicurezza sono i temi al centro dell’approfondimento a cura dell’Avvocato Domenico Vozza, Compliance Privacy, Security & Cybersecurity Senior Consultant, di IFI Advisory.
Vozza, con la sua consueta sapiente ed attenta verve, ne esamina lo stato dell’arte e gli adempimenti degli enti pubblici e privati coinvolti, fornendo una lettura di una disciplina complessa ed evidenziando i tratti salienti di una nuova struttura di tutela delle reti e dei sistemi informativi.
Buona lettura!
la Redazione
La Legge di conversione del Decreto Legge 82/2021 recante “disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la Cybersicurezza Nazionale”, in vigore dal 05 agosto 2021, è destinata a rappresentare uno dei più imponenti provvedimenti legislativi posti a tutela della sicurezza nazionale e dell’intera collettività dello Stato nel vedersi garantire la corretta e costante erogazione dei servizi essenziali.
Proprio in tale contesto, nell’ultimo biennio, ha visto la luce il Decreto Legge 105 del 2019, conv. Legge 133/2019 – meglio conosciuto come “decreto perimetro” – al quale hanno fatto seguito i tre dei quattro DPCM (Decreto Presidente del Consiglio dei Ministri) di attuazione.
Fatta questa breve introduzione normativa, con un cenno all’antesignano Decreto Legislativo 65/2018 (di recepimento della Direttiva UE 2016/1148 c.d. Direttiva NIS), nel quale si stabiliscono “misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione Europea” e si definiscono i requisiti e i compiti dei gruppi di intervento per la sicurezza informatica in caso di incidenti (CSIRT), (vgs allegato I al D.Lgs 65/2018), nonché gli adempimenti e le conseguenze sanzionatorie in caso di violazioni in capo ai fornitori di servizi essenziali (indicati negli allegati II e III al D.Lgs cit.), mi occuperò precipuamente del Decreto 105, dal quale sono stati implementati i più importanti strumenti di cybersecurity di cui oggi, anche se con estremo ritardo, non si fa che parlare.
In particolare, mi riferisco alla definizione di perimetro di sicurezza nazionale cibernetica da intendere come un’area delimitata nella quale confluiscono reti, sistemi informativi e servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, dei quali occorrerà assicurare un livello elevato di sicurezza.
Ciò posto e in considerazione della necessaria nota di aggiornamento al decreto perimetro (riportata in nota 1)[1], uno dei primi elementi essenziali da tener ben evidenti è l’inclusione in tale perimetro degli operatori pubblici e privati interessati. Infatti, già diversi enti/società pubblici e privati, alla data del 22/12/2020 – con l’entrata in vigore del primo DPCM 131/2020 di attuazione – sono stati interessati da una nota del Dipartimento delle Informazioni per la Sicurezza (DIS) con la quale sono stati informati dell’inclusione nel citato perimetro. L’elenco degli enti interessati e destinatari della citata nota è stato inoltre implementato con il secondo DPCM 81/2021, in virtù del quale sono state altresì definite 223 funzioni essenziali a cui far riferimento per l’inserimento nel perimetro dei citati operatori e nei confronti dei quali incombono oggi obblighi di notifica di incidenti informatici e adempimenti di adozione di misure di sicurezza puntualmente definite nel DPCM 81 cit.[2]
In tale ultimo contesto, le comunicazioni di adozione delle misure di sicurezza di cui all’allegato B al DPCM 81 dovranno essere tempestivamente trasmesse dal DIS (organo ricevente) all’Agenzia Nazionale Cybersecurity (immaginando già operativa ad oggi la struttura dell’Agenzia a ciò deputata) ai fini dello svolgimento delle attività di verifica e ispezione, fatta eccezione per quelle comunicazioni concernenti i beni ICT [3] operanti in strutture deputate allo svolgimento di compiti di prevenzione e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica, alla difesa civile e alla difesa e sicurezza militare dello Stato, in relazione ai quali le attività di ispezione e verifica sono svolte dalle strutture specializzate delle amministrazioni da cui dipendono le Forze di Polizia e le Forze Armate (CV) [4], in tema di protezione di reti e sistemi, nonché, nei casi in cui siano espressamente previste dalla legge, in tema di prevenzione e di contrasto del crimine informatico.
ACQUISIZIONE DEI BENI ICT [5]
Ulteriore tassello da tener ben evidente è rappresentato dalle implicazioni in tema di acquisizione dei beni ICT da parte degli operatori rientranti nel perimetro di sicurezza cibernetica.
È stabilito, infatti, nel decreto perimetro, che gli operatori che intendano procedere – anche per il tramite delle centrali di committenza alle quali essi sono tenuti a fare ricorso – all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici appartenenti a categorie individuate, sulla base di criteri di natura tecnica, devono darne comunicazione al Centro di Valutazione e Certificazione Nazionale (CVCN), istituito presso il Ministero dello Sviluppo Economico, destinato a passare sotto la competenza dell’Agenzia Nazionale per la Cybersicurezza; in tale comunicazione occorrerà esporre anche la valutazione del rischio riferito all'oggetto della fornitura e all'ambito di impiego.
È proprio il caso di affermare che tale disciplina impatterà significativamente su tutta la filiera dei beni ICT, a partire dai produttori e a giungere a chi dovrà acquistare tali beni per porli in uso nelle proprie strutture interconnesse in reti e sistemi informativi. Infatti, ricevuta la comunicazione, entro quarantacinque giorni prorogabili di ulteriori quindici, una sola volta e in caso di particolare complessità, il CVCN può effettuare verifiche preliminari ed imporre condizioni e tests di hardware e softwares da compiere anche in collaborazione con i soggetti rientranti nell’ambito del perimetro di sicurezza nazionale. Solo allorquando il CVCN non esprima una propria pronuncia in merito, si potrà proseguire nella procedura di affidamento.
Pertanto, in ipotesi di imposizione di condizioni e tests di hardware e software, i relativi bandi di gara e contratti dovranno contenere clausole sospensive, ovvero risolutive, che condizionano il contratto al rispetto delle condizioni e all'esito favorevole dei tests disposti dal CVCN. I tests, il cui periodo massimo di conduzione non potrà superare i sessanta giorni, sia in caso di superamento con esito favorevole, sia al decorrere del periodo massimo appena menzionato, determineranno il proseguimento della procedura di affidamento.
PESANTI CONSEGUENZE IN IPOTESI DI VIOLAZIONI
Avviandomi alla conclusione, voglio altresì rappresentare le pesanti conseguenze in ipotesi di violazioni alla complessa normativa sopra indicata, che sarà destinata ad impattare significativamente sulle decisioni organizzative del Management degli operatori coinvolti nel processo di adeguamento delle articolazioni interne.
Per gli operatori privati, in particolare, oltre alla generale disciplina del codice civile [6], si dovrà procedere alla necessitata implementazione del Modello di Organizzazione, Gestione e Controllo – c.d. Modello 231 – per evitare che conseguenze sanzionatorie per violazioni di carattere penale poste in essere dagli organi di vertice o da chi opera in nome e per conto, possano far sorgere anche in capo agli enti/società una responsabilità amministrativa e l’irrogazione in capo ad essi di pesanti sanzioni pecuniarie, oltre che interdittive e cautelari tali da pregiudicarne pesantemente l’operatività.
Infine, da non sottovalutare il danno reputazionale che deriva da violazioni alle norme in materia di cybersecurity, sia per gli amministratori, sia per l’ente/società coinvolta in fatti illeciti che possono riguardare ipotesi di reato o violazioni di carattere amministrativo, di cui la normativa illustrata è davvero intrisa.
Di queste tematiche mi occuperò in un prossimo mio articolo dedicato agli illeciti e alle sanzioni nel mondo Cybersecurity.
Finalità di questo mio scritto è stata quella di illustrare nei lineamenti generali una complessa disciplina – nata in ritardo e a fasi alterne – evidenziando i punti salienti di una nuova struttura di tutela delle reti e dei sistemi informativi basata su misure di cyber intelligence (incardinata nei compiti istituzionali dei Servizi di Sicurezza), cyber defence (affidata alla neonata Agenzia Nazionale per la Cybersicurezza) e di prevenzione e repressione di reati (di esclusiva competenza delle Forze di Polizia).
a cura di Domenico Vozza ,
Compliance Privacy, Security & Cybersecurity Senior Consultant,
IFI Advisory
[1] Il D.L. 14 giugno 2021, n. 82 ha disposto (con l'art. 16, comma 5) che “Nel decreto-legge perimetro ogni riferimento al Dipartimento delle informazioni per la sicurezza, o al DIS, ovunque ricorra, è da intendersi riferito all'Agenzia per la Cybersicurezza Nazionale e ogni riferimento al Nucleo per la sicurezza cibernetica è da intendersi riferito al Nucleo per la Cybersicurezza”. Ha inoltre disposto (con l'art. 16, comma 6, lettera a) che nel presente decreto-legge ogni riferimento al Ministero dello Sviluppo Economico e alla Presidenza del Consiglio dei Ministri, ovunque ricorra, è da intendersi riferito all'Agenzia per la Cybersicurezza Nazionale.
[2] L’allegato A al DPCM 81/08 definisce la Tassonomia degli incidenti; l’all. B, invece, elenca le Misure di sicurezza le cui modalità e termini di adozione sono riportate nell’art. 8 DPCM cit. In particolare, per le misure di sicurezza appartenenti alla categoria A di cui all'appendice n. 2 dell'allegato B, entro sei mesi dalla data di trasmissione degli elenchi dei beni ICT ….omississ….., ovvero, qualora la trasmissione sia avvenuta in una data antecedente a quella di entrata in vigore del presente regolamento (26/06/2021), entro sei mesi da quest'ultima data. Per le misure di sicurezza appartenenti alla categoria B di cui all'appendice n. 2 dell'allegato B, entro trenta mesi dalla data di trasmissione degli elenchi dei beni ICT ….omississ……, ovvero, qualora la trasmissione sia avvenuta in una data antecedente a quella di entrata in vigore del presente regolamento (26/06/2021), entro trenta mesi da quest'ultima data; l’allegato C riporta le Misure minime di sicurezza per la tutela delle informazioni, la cui adozione entro deve essere assicurata entro sessanta giorni dalla data di entrata in vigore del presente regolamento.
[3] Bene ICT (Information and Communication Technology), un insieme di reti, sistemi informativi e servizi informatici, o parti di essi, incluso nell'elenco definito sulla base di un'analisi del rischio e di un criterio di gradualità che tenga conto delle specificità dei diversi settori di attività.
[4 ]A tal proposito occorre puntualizzare sui termini CVCN, CV e LAP: Centro di Valutazione e Certificazione Nazionale, presso l’Agenzia per la Cybersicurezza Nazionale; Centro di Valutazione istituito presso il Ministero dell’Interno e il Ministero della Difesa; Laboratorio Accreditato di Prova, indipendente dai soggetti inclusi nel perimetro e dai fornitori che ha ottenuto l’accreditamento dal CVCN.
[5] Con il terzo DPCM datato 15/06/2021 e pubblicato in Gazzetta Ufficiale n. 198 del 19/08/2021, si avvia a definizione l’intero pacchetto dei decreti attuativi di cui alla disciplina sulla cybersecurity nazionale. In particolare, tale provvedimento del Capo del Governo, Individua le categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica. Tali categorie sono soggette ad aggiornamento, con decreto del Presidente del Consiglio dei Ministri, con cadenza almeno annuale, avuto riguardo all'innovazione tecnologica, nonché alla modifica dei criteri tecnici esplicitati all’art. 13 DPR 54/2021. Tale ultimo Decreto, molto importante per l’attività dei CVCN e CV, ha per oggetto: le procedure, le modalità ed i termini da seguire ai fini delle valutazioni da parte del CVCN e dei CV, ciascuno nell'ambito delle rispettive competenze, in ordine all'acquisizione, da parte dei soggetti inclusi nel perimetro, di oggetti di fornitura rientranti nelle categorie individuate; i criteri di natura tecnica per l'individuazione delle categorie; le procedure, le modalità ed i termini con cui le Autorità competenti effettuano le attività di verifica e ispezione ai fini dell'accertamento del rispetto degli obblighi stabiliti nel decreto-legge e nei decreti attuativi.
[6] Si fa riferimento all’art. 2381 c.c. ad un fondamentale dovere del Consiglio di Amministrazione e/o dell’Amministratore Delegato alla valutazione dell'adeguatezza dell'assetto organizzativo, amministrativo e contabile della società.