Il D.L. 105/2019 sul Perimetro di Sicurezza Cibernetica
di Alessandro Amoroso
Il 22 novembre 2019, a seguito dell’approvazione della legge di conversione n. 133 del 18 novembre 2019, è entrato in vigore il Decreto Legge n. 105 del 2019 in materia di sicurezza cibernetica, con l’obiettivo di integrare e rafforzare il quadro di protezione delle reti e dei sistemi informativi di interesse nazionale già previsto dalla Direttiva (UE) 2016/1148 (“cd. Direttiva NIS”).
In particolare, come si legge nel comunicato stampa del Governo ad esito dell’approvazione da parte del Consiglio dei Ministri di giovedì 19 settembre, il Decreto mira ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure idonee a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi. consentendo, al contempo, la più estesa fruizione dei più avanzati strumenti offerti dalle tecnologie dell’informazione e della comunicazione.
La particolare rilevanza del Decreto deriva dalla previsione di poteri speciali in capo all’esecutivo.
Al Governo sono estesi i poteri di controllo mediante poteri speciali (cd. “golden power”) a nuovi ambiti, con particolare riferimento a quanto previsto dal decreto-legge 15 marzo 2012, n. 21, in modo da coordinare l’attuazione del Regolamento (UE) 2019/452, sul controllo degli investimenti esteri, e apprestare idonee misure di tutela di infrastrutture o tecnologie critiche ad oggi non ricadenti nel campo di applicazione del decreto-legge 15 marzo 2012, n. 21; In tale nuovo ambito d’applicazione entrano ora a far parte anche le società quotate nella Borsa Italiana. L’obiettivo? La protezione dei comparti sopracitati e delle aziende operanti in essi.
In linea di massima i poteri speciali riconosciuti all’esecutivo sono sostanzialmente due:
- possibilità di introdurre veti all’adozione di decisioni societarie o all’acquisto di partecipazioni in società di tali ambiti;
- facoltà di imporre prescrizioni e condizioni nell’ambito dell’affidamento di forniture di beni e servizi di information and communication technology (ICT) destinati a essere impiegati sulle reti, sui sistemi e per i servizi rilevanti, al fine di assicurare un procurement più sicuro per i soggetti inclusi nel perimetro che intendano procedere.
A tal riguardo, giova notare che rientrano esplicitamente nell’ambito d’applicazione dello stesso anche le reti a banda larga in 5G, con il fine di evitare eventuali infiltrazioni in Italia di soggetti esteri potenzialmente pericolosi per la sicurezza nazionale [art. 3].
Tali poteri saranno meglio dettagliati nei mesi a venire; il Decreto prevede, infatti, un’attuazione a scadenze diversificate.
- Nella prima fase, entro 4 mesi dalla data di entrata in vigore della legge di conversione, dovranno essere individuati, con decreto del Presidente del Consiglio dei Ministri, le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, da cui dipende, appunto, “l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”; nonché con il medesimo provvedimento dovranno essere individuati i criteri per predisporre un elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza rilevanti ai fini del Decreto [art. 1, co. 1 e 2];
- Nella seconda fase, entro 6 mesi dalla data di entrata in vigore del decreto del Presidente del Consiglio dei Ministri di cui al punto precedente, i soggetti pubblici e privati individuati dovranno trasmettere (rispettivamente, alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico) l’elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza rilevante ai sensi dei criteri citati, comprensivo della relativa architettura e componentistica [art. 1, co. 2, let. b];
- Infine, nella terza fase, entro 10 mesi dalla data di entrata in vigore della legge di conversione:
- con decreto del Presidente del Consiglio dei ministri, dovranno essere definite le procedure secondo cui i soggetti individuati notifichino al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici, e saranno stabilite le misure volte a garantire elevati livelli di sicurezza delle stesse [ 1, co. 3];
- con regolamento governativo, dovranno essere disciplinati i termini, le procedure, le modalità con cui i soggetti individuati, che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sugli anzidetti sistemi informativi e per l’espletamento dei servizi informatici (diversi da quelli necessari per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati), ne diano comunicazione al Centro di valutazione e certificazione nazionale (CVCN) [ 1, co. 6].
Infine, il Decreto include un articolato sistema sanzionatorio al fine di punire eventuali violazioni dello stesso [art. 1, co. 9 a 14].
Mediante tale sistema, il CCVN e il CSIRT, insieme al Centro valutazione operante presso il Ministero della difesa, al MiSE e alla Presidenza del Consiglio dei Ministri, si propongono di contribuire alla protezione cibernetica; tale risultato è perseguito, da un parte, effettuando un controllo continuo volto a verificare la sicurezza e l’affidabilità delle reti, dei sistemi informativi e dei servizi informatici e, dall’altra, prevedendo meccanismi di intervento tempestivo a tutela della sicurezza nazionale.
Autore: