Avv. Francesca De Carlo
E’ stato pubblicato in Gazzetta Ufficiale1 ed è entrato in vigore lo scorso 5 novembre, il D.P.C.M. 30 luglio 2020 n. 131 recante il Regolamento in materia di Perimetro di sicurezza nazionale cibernetica2.
Si tratta del primo di quattro decreti attuativi, il quale definisce le regole e i parametri con cui sono individuati i soggetti che si occupano di funzioni vitali per l’Italia, soggetti individuati tra gli operatori di vari settori: dall’interno, alla difesa, dai trasporti, ai servizi digitali.
Ognuno di loro è tenuto all’osservanza delle indicazioni di protezione mediante l’analisi dei rischio e di impatto sulla sicurezza dei propri sistemi. Lo scopo del perimetro è quello di assicurare la sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale.
Esso risulta composto, dunque, da soggetti privati e da soggetti pubblici che esercitano funzioni essenziali dello Stato o assicurano un servizio essenziale alle attività fondamentali per l’interesse dello Stato stesso.
In particolare3, viene precisato che:
- “un soggetto esercita una funzione essenziale dello Stato, di seguito funzione essenziale, laddove l’ordinamento gli attribuisca compiti rivolti ad assicurare la continuità dell’azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità del sistema economico e finanziario e dei trasporti”;
- “un soggetto, pubblico o privato, presta un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, di seguito servizio essenziale, laddove ponga in essere: attività strumentali all’esercizio di funzioni essenziali dello Stato; attività necessarie per l’esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica; attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale”.
L’elenco dei soggetti inclusi nel Perimetro, approvato dal CISR, Comitato interministeriale per la sicurezza della Repubblica4, è periodicamente aggiornato dal presidente del Consiglio e, a norma del Regolamento, qualora uno dei soggetti presenti nell’elenco, dovesse rimanere vittima di un attacco cyber, lo stesso sarà obbligato ad informare, entro sei ore al massimo, il CSIRT (Computer Security Incident Response Team-Italia) e il gruppo di esperti istituito presso il DIS ( Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei Ministri).
Nel caso di violazione molto grave, verrà attivato il Nucleo Per la Sicurezza Cibernetica (NCS) che ha il compito di proporre al presidente del Consiglio una possibile risposta all’attacco e coordinare il ripristino del servizio.
Vengono, poi, individuati alcuni compiti del Centro di valutazione e certificazione nazionale (CVCN), con riferimento all’approvvigionamento di prodotti, processi, servizi di tecnologie dell’informazione e della comunicazione (ICT) e associate infrastrutture, nel caso in cui siano destinati a reti, sistemi informativi, sistemi informatici ricompresi nel perimetro di sicurezza nazionale cibernetica.
Infine, è stata disposta l’istituzione di un Centro di valutazione (CEVA), presso il Ministero dell’Interno il quale, unitamente a quello istituito presso il Ministero della Difesa, risulta accreditato presso il Centro di valutazione e certificazione nazionale (CVCN).
Il decreto prevede anche un sistema sanzionatorio piuttosto articolato per i casi di violazione degli obblighi previsti ed individua le autorità competenti all’accertamento delle violazioni e all’irrogazione delle sanzioni.
Scarica il DPCM 30 luglio 2020, n. 131
1 Del 21 ottobre 2020, n.261.
2 Ai sensi dell’articolo 1, comma 2, del D.L. 21 settembre 2019, n. 105, convertito, con modificazioni, dalla L. 18 novembre 2019, n. 133.
3 Articolo 2 del Regolamento.
4 All’art. 6, il Regolamento istituisce un tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica, a supporto del CISR. Il tavolo sarà presieduto da un vice direttore generale del DIS e composto da due rappresentanti di ciascuna amministrazione CISR, da un rappresentante dell’Agenzia informazioni e sicurezza esterna (AISE) e da uno dell’Agenzia informazioni e sicurezza interna (AISI), nonché da due rappresentanti degli altri Ministeri, di volta in volta interessati.