Perimetro Cibernetico

 

Lo Stato italiano decide di proteggere alcuni propri operatori, sia pubblici che privati, in virtù della “sicurezza nazionale cibernetica”. Le guerre informatiche combattute nello spazio cibernetico sono effettivamente uno dei maggiori rischi per le democrazie occidentali, che si trovano spesso impreparate, rispetto ai conflitti tradizionali di natura militare o commerciale. Per questo il 13 novembre 2019 è stato approvato il testo relativo al Decreto-legge 105/2019, che disegna l’architettura delle competenze e della burocrazia, quindi il “fronte di difesa” delle guerre informatiche, sia per i soggetti pubblici sia per quelli privati. La Legge prevede perfino che, in presenza di rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, di sistemi o di servizi, il Presidente del Consiglio dei Ministri abbia il potere di eliminareove indispensabile e per il tempo strettamente necessario” lo specifico fattore di rischio.

[Quali sono le minacce che richiedono il “perimetro di sicurezza cibernetico”? – nell’intervista di seguito]

Ecco le scadenze previste dalla Legge, i Ministeri competenti, altri enti responsabili ed eventuali sanzioni, per capire chi verrà incluso nel perimetro di sicurezza e secondo quali criteri verranno stipulati i contratti di fornitura di beni, di servizi e di sistemi ICT.

 

Le scadenze

4 mesi dall’emanazione del Decreto-legge 105/2019

•   per individuare le realtà incluse nel perimetro di sicurezza, individuate dal Presidente del Consiglio dei Ministri.

•    per predisporre i criteri per l’elenco delle reti, dei sistemi informativi e dei servizi informatici sensibili di pertinenza delle realtà interessate – a cura del DIS (Dipartimento delle informazioni per la sicurezza della Repubblica), in collaborazione con un rappresentante della Presidenza del Consiglio dei Ministri.

6 mesi dall’emanazione del Decreto-legge 105/2019

•   per trasmettere gli elenchi sopracitati – quelli dei soggetti pubblici alla Presidenza del Consiglio dei Ministri e quelli privati al MISE (Ministero dello Sviluppo economico) – che verranno poi inoltrati al DIS e all’organo deputato dal Ministero dell’Interno per la sicurezza e la regolarità dei servizi di telecomunicazione.

 

10 mesi dall’emanazione del Decreto-legge 105/2019

•   per la notifica da parte dei soggetti presenti negli elenchi di eventuali incidenti informatici al CSIR (Comitato Interministeriale per la sicurezza della Repubblica), che le inoltrerà al DIS. Quest’ultimo le trasmetterà al Ministero dell’Interno per la sicurezza e la regolarità dei servizi di telecomunicazione, oltre che alla Presidenza del Consiglio dei Ministri (se soggetti pubblici) o al Ministro dello Sviluppo Economico (se soggetti privati). La Presidenza del Consiglio e il MISE svolgeranno anche delle ispezioni per quanto riguarda l’elenco e le attività di notifica.
[Cosa si intende per “incidenti informatici”? – nell’intervista di seguito]

•   per definire le misure di sicurezza, attività a cura del MISE e la Presidenza del Consiglio, assieme ai ministeri della Difesa, dell’Interno, dell’Economia e al DIS.

•   per definire le procedure, le modalità ed i termini coi quali i soggetti rientranti nel “perimetro di sicurezza cibernetica” procederanno all’affidamento di beni, servizi e sistemi ICT – con seguente comunicazione al CVCN, il Centro di Valutazione e Certificazione nazionale istituito presso il MISE.

 

Occorre ricordare che le “misure di sicurezza” decise entro 10 mesi vanno garantite anche dalle organizzazioni facenti parte dell’elenco di soggetti individuati dalla Direttiva NIS (prevista dal quadro normativo del Decreto Legislativo 65/2018). Si tratta di operatori di servizi essenziali e fornitori di servizi digitali, presi in considerazione in un’ottica di implementazione e di continuo miglioramento dello spazio cibernetico nazionale.

Inoltre, è previsto che vengano messe in atto misure aggiuntive, volte assicurare livelli di sicurezza equivalenti a quelli previsti dal recente Decreto, per i contratti già autorizzati con decreto del Presidente del Consiglio dei ministri, avvalendosi del “Golden Power”, adottati in data anteriore all’entrata in vigore dell’attuale normativa. Questo qualora tali contratti risultino attinenti alle reti, ai sistemi informativi e ai servizi informatici e ricompresi nel perimetro di sicurezza nazionale cibernetica.

[Cosa è il Golden Power? – nell’intervista di seguito]

 

Le Valutazioni

Il CVCN (Centro di Valutazione e Certificazione nazionale) effettuerà la valutazione del rischio, in relazione all’ambito di impiego, per l’affidamento di beni, servizi e sistemi ICT. Sulla base di tale valutazione il CVCN potrà imporre, entro un termine di 45 giorni – prorogabile di 15 giorni una sola volta in caso di particolare complessità – dalla comunicazione al suddetto Centro, condizioni e test sugli hardware e sui software oggetto della fornitura. Sarà richiesta da parte dei fornitori piena collaborazione con il centro di valutazione del MISE (Sviluppo Economico) e con quello del MID (Difesa), oltre che l’onere del costo delle attività di controllo.

[Una stima degli oneri – nell’intervista di seguito]

 

Eventuali sanzioni

In caso di inottemperanza delle condizioni di sicurezza richieste o in assenza dell’esito favorevole dei test disposti dal CVCN, i contratti di fornitura, anche se già sottoscritti, non produrranno effetti o cesseranno di produrli. È prevista una sanzione amministrativa per i soggetti esecutori di tali contratti, ossia l’impossibilità di assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di 3 anni dalla data di accertamento della violazione. Si aggiunge la reclusione da uno a cinque anni per le persone fisiche e una sanzione pecuniaria fino a quattrocento quote per l’ente, se verranno fornite informazioni, dati o elementi di fatto non rispondenti al vero (per quanto concerne l’aggiornamento degli elenchi, le attività ispettive o in generale il rispetto della scadenza per la fornitura dei dati). Infine, sono previste sanzioni nel caso di mancato adempimento degli obblighi esposti dal Decreto-legge che possono andare dai 200.000 a 1.800.000 euro.

 

Il nodo della rete 5G

Un ulteriore elemento che il CVCN dovrà valutare in forza della Legge sarà la presenza di fattori di vulnerabilità, i quali potrebbero compromettere l’integrità e la sicurezza delle reti, e dei dati che vi transitano. Sulla base di tale valutazione verranno esercitati i poteri speciali di cui all’articolo 1-bis del Decreto-legge 21/2012, meglio noto come “Golden Power”.

Si tratta di una questione sempre più cruciale visto l’avanzare delle infrastrutture 5G in Italia come negli altri paesi europei. Queste porteranno ad un aumento esponenziale dei dati “in viaggio” e conseguenti problemi di sicurezza nazionale, legati alle garanzie offerte da chi costruisce e gestisce le suddette infrastrutture.

 

 

Intervista a Francesco Capparelli

Chief Cyber Security Advisor di ICT Cyber Consulting SRL

 

  1. Quali sono le maggiori minacce per le quali ad un ente, privato o pubblico, conviene essere nel “perimetro di sicurezza”?

    Le minacce informatiche oggi affliggono tutte le aziende. Si dice che esistono solo due tipi di organizzazioni: quelle che sono state violate e quelle che non sanno di essere state violate. La sicurezza non è un processo acquistabile agevolmente, ma riguarda il miglioramento continuo, l’aggiornamento, la formazione. Una normativa che obblighi ad implementare misure di sicurezza tecniche e organizzative, pertanto, rende più sicuro il cittadino, che può contare sulla disponibilità dei servizi offerti dalle società sottoposte al provvedimento e può consentire alle stesse organizzazioni di pianificare con anticipo la gestione dei rischi legati alla sicurezza informatica. La pianificazione è fondamentale in questo contesto, in quanto spesso il budget aziendale dedicato alla sicurezza informatica aumenta solo in seguito ad incidenti che, molte volte, hanno conseguenze irrimediabili in termini di sanzioni e soprattutto di perdita reputazionale.

 

  1. Cosa si intende per “incidenti informatici” – da comunicare entro dieci mesi dall’emanazione del Decreto convertito in Legge, una volta individuate le realtà da annettere al perimetro e costituiti gli elenchi di soggetti pubblici e privati?

    La definizione di incidente informatico muta a seconda del contesto normativo e al campo di applicazione giuridico. Da un punto di vista tecnico devono essere elaborate le seguenti definizioni:

  • Un Evento è un cambiamento osservabile all’interno del comportamento abituale di un sistema o di un processo.
  • Un Alert è la notificazione dell’occorrenza di un particolare Evento o di una serie di eventi, generata da sistemi e/o persone deputati a segnalare eventi sospetti.
  • Un Incidente è un Evento che produce effetti negativi sulla confidenzialità, integrità o disponibilità dei dati all’interno di un’organizzazione e/o che impatti negativamente sui processi dell’organizzazione stessa.Nell’ambito del Regolamento Europeo 679/2016 meglio noto come GDPR, è importante sottolineare una particolare categoria di incidente informatico ossia la Violazione di dati personali (data breach): è un Incidente, che riguarda o coinvolge, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati dall’organizzazione.

 

  1. Di cosa si parla quando viene citato il termine Golden Power?

    Trattasi della facoltà dello Stato di esercitare un controllo su operazioni di particolare rilevanza, in questo caso relative alle tecnologie legate al 5G. Il controllo potrà estrinsecarsi tramite la parametrizzazione di determinate condizioni di acquisto o anche tramite la possibilità di porre veti nell’adozione di tecnologie e prodotti.

 

  1. I costi dei test di verifica – che il Centro di valutazione e certificazione nazionale (CVCN) potrebbe effettuare sulla fornitura di hardware e software – saranno a carico dei fornitori dei suddetti servizi. È possibile fare una stima dei costi al momento?

    Al momento non è possibile fare una stima dei costi. Ciò che preme sottolineare è che certamente i processi di verifica ex ante avranno un costo particolarmente inferiore rispetto alla gestione degli incidenti ex post.