Come ha dichiarato di recente il Ministro Luciana Lamorgese: “In questa nuova arena digitale, non ci possiamo permettere nessun anello debole: è sufficiente una singola vulnerabilità perché tutto il sistema diventi permeabile alla minaccia. La condivisione di competenze, risorse, informazioni e best practices rafforza, in progressione esponenziale, la capacità di tutelare le nostre collettività”.
Un importante passo avanti è stata quindi la pubblicazione in Gazzetta Ufficiale, lo scorso 21 ottobre, del DPCM 30 luglio 2020, n. 131 (qui il testo completo) con cui viene sancita la creazione del Perimetro di Sicurezza Nazionale, una strategia volta a proteggere le infrastrutture critiche del Paese dagli attacchi informatici, ossia, il “sistema unico di difesa digitale” messo in piedi dal governo. Sulla carta è ora tutto pronto: si tratterà però di rendere esecutive le azioni successive e per farlo vanno ancora ben strutturate le risposte.
Il Decreto assolve alcuni compiti, mentre per altri sono già previsti leggi successive (saranno in tutto 4 entro 1 anno). Innanzi tutto, stabilisce i criteri tramite i quali i ministeri individuano i soggetti che svolgono funzioni essenziali per lo Stato. Nell’elenco, che resterà riservato, dovrebbero essere inseriti circa 150 operatori. Questi dovranno stilare entro 6 mesi l’elenco di hardware e network utilizzati per poi sottoporli alla verifica del Centro di valutazione e certificazione nazionale (CVCN, istituito presso il MISE) in modo da prevenire eventuali vulnerabilità. Inoltre, per completare il Perimetro e incentivare i privati, un ulteriore contributo potrà arrivare dal Recovery Fund: sarebbero richiesti almeno 2,5 miliardi di euro.
La priorità nell’identificazione degli operatori, si spiega nell’articolo 3 del Dpcm, andrà a questi settori:
- interno;
- difesa;
- spazio e aerospazio;
- energia;
- telecomunicazioni;
- economia e finanza;
- trasporti;
- servizi digitali;
- tecnologie critiche;
- enti previdenziali/lavoro.
L’approccio introdotto già dal DL 105 (Decreto-Legge 21 settembre 2019, n. 105, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica convertito, con modificazioni, nella legge 18 novembre 2019, n. 133) richiede a ogni partecipante al Perimetro di Sicurezza Nazionale di utilizzare analisi di rischio e di impatto sulla sicurezza dei propri sistemi e reti, identificando e mantenendo una corretta postura di sicurezza e l’adozione di standard Ue e internazionali. Per ogni soggetto sono anche previsti obblighi di notifica degli incidenti e sanzioni in caso di inadempienze.
Quindi ciascuno dei 150 operatori se colpito da un’intrusione informatica, dovrà comunicarlo obbligatoriamente al CSIRT (Computer Security Incident Response Team – Italia), il gruppo istituito presso il DIS e attivo dallo scorso maggio 2020. Inoltre, dovrà farlo entro sei ore (e non entro 24 come previsto dalla direttiva Nis). Dopo le verifiche, potrà scattare l’intervento del Nucleo per la sicurezza cibernetica, presieduto da Roberto Baldoni, che propone al Presidente del Consiglio risposte e coordina il ripristino dei servizi (CSIRT: al via i lavori del team per le notifiche e la gestione degli incidenti cyber. 5 Maggio 2020).
Le misure di sicurezza (individuate nel Comma 3 lettera b e attinenti a: “Politiche di sicurezza, alla struttura organizzativa e alla gestione del rischio; mitigazione e gestione degli incidenti e alla loro prevenzione, anche attraverso la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza”) saranno:
- protezione fisica e logica e dei dati;
- integrità delle reti e dei sistemi informativi;
- gestione operativa, ivi compresa la continuità del servizio;
- monitoraggio, test e controllo;
- formazione e consapevolezza;
- affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale.”
Le nuove disposizioni sul Perimetro di sicurezza nazionale si applicheranno anche ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G. Nel dettaglio la nuova normativa si applicherà alle imprese operanti nel 5G già soggette all’obbligo di notifica previsto dalla legge sul golden power. Il Governo potrà applicare i poteri speciali della golden power non solo sulle reti 5G ma anche sulle forniture ad alta intensità tecnologica funzionali alla loro realizzazione. Previsto quindi un obbligo di notifica entro 10 giorni dalla conclusione di un contratto o di un accordo di fornitura: sulla base della informativa il Governo potrà decidere se esercitare il potere di veto o chiedere l’adempimento di specifiche prescrizioni,
Un altro punto fondamentale del DPCM (art. 6) è infine l’istituzione di un tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica a supporto del CISR (Comitato interministeriale per la sicurezza della Repubblica). Il “Tavolo” sarà presieduto da un vice direttore generale del DIS e composto da due rappresentanti di ciascuna amministrazione CISR (e cioè la Presidenza del Consiglio dei ministri e i Ministeri di cui all’art. 5 della legge 3 agosto 2007, n. 1249), da un rappresentante dell’Agenzia informazioni e sicurezza esterna (AISE) e da uno dell’Agenzia informazioni e sicurezza interna (AISI), nonché da due rappresentanti degli altri Ministeri di volta in volta interessati.
In conclusione, l’Italia ha fatto un importante passo avanti e si sta allineando con quello che fanno i Partner internazionali sul fronte della risposta Paese alle minacce cyber: alla prova dei fatti però servirà avere strutture ben finanziate, operative e capaci di rispondere velocemente, perchè come noto gli attaccanti non perdono tempo e le minacce alle infrastrutture critiche nazionali sono sempre maggiori. Per la messa a sistema di tutto l’impianto, probabilmente dovremo aspettare ancora molto tempo.