Articoli
04/05/2022
Corporate and Commercial

La cybersecurity in Italia in cinque contributi – Il perimetro di sicurezza nazionale cibernetica

Il quinto e ultimo contributo sulla normativa italiana in materia di cybersecurity. In questo contributo, il perimetro di sicurezza nazionale cibernetica e gli obblighi previsti a carico dei soggetti inclusi del perimetro relativi alla notifica degli incidenti e all’affidamento di forniture di beni, sistemi e servizi ICT.

Il perimetro di sicurezza nazionale cibernetica è stato istituito a opera dell’art. 1 (1) del Decreto Legge n. 105/2019 “al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di funzioni essenziali dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.

Il Decreto Legge in questione demanda a successivi Decreti del Presidente del Consiglio dei ministri il compito di definire:

a) i criteri e le modalità per l’individuazione dei soggetti inclusi nel perimetro nazionale di sicurezza cibernetica e le regole che disciplinano gli obblighi derivanti dall’appartenenza al perimetro di sicurezza nazionale;

b) le procedure di notifica degli incidenti verificatisi su reti, sistemi informativi e sistemi informatici inclusi nel perimetro e le relative misure di sicurezza;

c) le procedure, le modalità e i termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici individuati nell’elenco trasmesso alla Presidenza del Consiglio dei Ministri e al Ministero dello Sviluppo Economico.

Il Decreto Legge individua poi i compiti del Centro di Valutazione e Certificazione Nazionale (“CVCN”), con riferimento all’approvvigionamento di prodotti, processi, servizi di tecnologie dell’informazione e della comunicazione (ICT) e associate infrastrutture – qualora destinati a reti, sistemi informativi, sistemi informatici ricompresi nel perimetro di sicurezza nazionale cibernetica. Al CVCN è affidato il compito di assicurare la sicurezza (e l’assenza di vulnerabilità) di prodotti, hardware, software, destinati a essere impiegati sulle reti, sui sistemi informativi e servizi informatici dei soggetti inclusi nel perimetro.

Venendo ora all’esame dei decreti attuativi, il DPCM 30 luglio 2020, n. 131 (c.d. “DPCM 1”) ha dettato criteri e modalità procedurali per l’individuazione dei soggetti inclusi nel perimetro nazionale di sicurezza cibernetica e definito i criteri per la predisposizione e l’aggiornamento dell’elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza.

I soggetti inclusi nel perimetro sono individuati dall’art. 2 del DPCM 1 che distingue tra i soggetti che esercitano “funzioni essenziali” dello Stato e i soggetti che esercitano “servizi essenziali” per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato.

Nella prima categoria rientrano tutti quei soggetti a cui l’ordinamento attribuisce compiti volti ad assicurare la continuità dell’azione di Governo e degli organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia e la funzionalità dei sistemi economico e finanziario e dei trasporti.

Nella seconda categoria, invece, rientrano quei soggetti (pubblici o privati) che svolgono: attività strumentali all’esercizio di funzioni essenziali dello Stato; attività necessarie per l’esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica: attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.

Il successivo art. 3 definisce i settori di attività inclusi nel perimetro: in via prioritaria vi rientrano i soggetti operanti nel settore governativo, concernente le attività delle amministrazioni CISR (Comitato Interministeriale per la sicurezza della Repubblica); sono altresì inclusi ulteriori soggetti operanti nelle attività inerenti l’interno, la difesa, lo spazio e aerospazio, l’energia, le telecomunicazioni, l’economia e la finanza, i trasporti, i servizi digitali, le tecnologie critiche, gli enti previdenziali/lavoro.

L’elencazione dei soggetti inclusi nel perimetro è contenuta in un atto amministrativo, adottato su proposta del CISR dal Presidente del Consiglio dei ministri.

Il DPCM 14 aprile 2021, n. 81 (c.d. “DPCM 2”) definisce, invece, le modalità per la notifica degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici afferenti al perimetro nazionale di sicurezza cibernetica.

In particolare, l’art. 2 del DPCM 2 prevede l’obbligo, per i soggetti inclusi nel perimetro, di notificare gli incidenti di sicurezza aventi impatto sui beni ICT di rispettiva pertinenza.

La tassonomia degli incidenti è fornita dalle Tabelle 1 e 2 dell’allegato “A” al DPCM 2, che classificano gli eventi sulla base della loro gravità. Gli incidenti meno gravi sono elencati nella Tabella 1, e sono classificabili nelle seguenti categorie: i) infezione; ii) guasto; iii) installazione; iv) movimenti laterali; v) azioni sugli obiettivi, compresi i casi di esfiltrazione non autorizzata di dati. I casi più gravi sono invece individuati dalla Tabella 2, che individua le seguenti categorie: i) “azioni sugli obiettivi”, che ricomprendono i casi di inibizione delle funzioni di risposta, compromissione dei processi di controllo e disservizio intenzionale; ii) “disservizio”, che ricomprende i casi di violazione del livello di servizio atteso, definito dal soggetto incluso nel perimetro di sicurezza cibernetica ai sensi di quanto previsto nelle misure di sicurezza di cui all’allegato B, specie in termini di disponibilità del bene ICT, nonché i casi di violazione di dati corrotti o esecuzione di operazioni corrotte tramite il bene ICT e divulgazione non autorizzata di dati digitali relativi ai beni ICT.

La distinzione è funzionale alla diversa tempistica definita dal DPCM 2 per adempiere all’obbligo di notifica: gli incidenti indicati nella Tabella 1 devono essere notificati allo CSIRT entro sei ore, gli incidenti più gravi – indicati nella Tabella 2 – devono invece essere notificati entro il termine di un’ora, con decorrenza dal momento in cui i soggetti inclusi nel Perimetro ne siano venuti a conoscenza, anche mediante attività di monitoraggio, test e controllo.

La notifica al CSIRT avviene tramite appositi canali di comunicazione, secondo modalità rese disponibili sul sito web del CSIRT. Su richiesta specifica del CSIRT, il soggetto incluso nel perimetro provvede ad effettuare un aggiornamento della notifica, entro sei ore dalla richiesta.

Una volta definiti i piani di attuazione delle attività per il ripristino dei beni ICT impattati dall’incidente oggetto di notifica, il soggetto incluso nel perimetro che ha proceduto ad effettuare la notifica deve darne comunicazione tempestiva allo CSIRT e trasmette, su richiesta dello CSIRT ed entro trenta giorni, una relazione tecnica che illustra gli elementi significativi dell’incidente, tra cui le conseguenze dell’impatto sui beni ICT derivanti dall’incidente e le azioni intraprese per porvi rimedio, salvo che l’autorità giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa.

I soggetti inclusi nel perimetro possono anche notificare, su base volontaria, gli incidenti relativi ai beni ICT non indicati nelle tabelle di cui all’Allegato A o gli incidenti indicati in dette tabelle ma relativi a reti e sistemi non ICT.

L’organo deputato alla gestione delle notifiche ricevute dallo CSIRT è il Dipartimento delle informazioni per la sicurezza (DIS) che provvede a trasmetterle alle autorità competenti (all’organo del Ministero dell’Interno per la sicurezza e la regolarità dei servizi di telecomunicazione; alla struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione, nel caso in cui le notifiche provengano da un soggetto pubblico; al Ministero dello sviluppo economico, qualora le notifiche provengano da un soggetto privato; alla competente Autorità NIS se la notifica è effettuata da soggetti rientranti nel perimetro applicativo della normativa NIS).

Il DPCM 2 individua altresì le misure di sicurezza che i soggetti inclusi nel perimetro sono tenuti ad adottare rispetto ai beni e servizi ICT di pertinenza.

Le misure sono elencate nell’Allegato B al DPCM 2, in corrispondenza alle categorie individuate dal Decreto Legge n. 105/2019, e devono essere attuate secondo una tempistica specifica. Ad ogni aggiornamento dell’elenco di beni ICT, i soggetti inclusi nel perimetro dovranno adeguare le misure di sicurezza, con le stesse tempistiche previste per la prima adozione.

Da ultimo, il terzo decreto attuativo del Decreto Legge che istituisce il perimetro di sicurezza è il DPCM 15 giugno 2021 (in G.U. n. 198 del 19 agosto 2021) – c.d. DPCM 3 – che, insieme al DPR 5 febbraio 2021, n. 54, individua le categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica e le modalità e procedure relative al funzionamento del CVCN.

In particolare, il DPCM in esame opera una definizione delle procedure, delle modalità e dei termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT, destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici individuati nell’elenco trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico.

Di particolare rilievo è l’obbligo, per i soggetti inclusi nel perimetro di sicurezza cibernetica, di dare comunicazione al CVCN dell’intenzione di avviare le procedure di procurement in relazione ai suddetti beni, sistemi e servizi ICT.

Il DPCM 3 individua, sulla base dei criteri tecnici di cui all’articolo 13 del DPR 54/2021, quattro categorie di beni, sistemi e servizi ICT oggetto di preventiva valutazione da parte del CVCN, ovvero: (i) componenti hardware e software che svolgono funzionalità e servizi di rete di telecomunicazione (accesso, trasporto, commutazione); (ii) componenti hardware e software che svolgono funzionalità per la sicurezza di reti di telecomunicazione e dei dati da esse trattati; (iii) componenti hardware e software per acquisizione dati, monitoraggio, supervisione, controllo, attuazione e automazione di reti di telecomunicazione e sistemi industriali e infrastrutturali; (iv) applicativi software per l’implementazione di meccanismi di sicurezza.

Lo stesso DPCM prevede che le categorie individuate siano aggiornate con cadenza almeno annuale con decreto del Presidente del Consiglio dei ministri, avuto riguardo all’innovazione tecnologica e alla modifica dei criteri tecnici.

 

Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Paolo Gallarati, Giulio Uras e Cecilia Moioli.

Ricevi i nostri aggiornamenti