Perimetro di sicurezza nazionale cibernetica: mettere in sicurezza le reti nonché le piattaforme e i servizi informatici di amministrazioni pubbliche e di enti e operatori nazionali pubblici e privati.
È questa la “mission” del nuovo decreto legge sul cosiddetto “Perimetro cibernetico” a cui ha dato il via libera il Consiglio dei ministri il 19 settembre. Il precedente disegno di legge – presentato prima della fine della legislatura 5Stelle-Lega – è stato dunque trasformato in un decreto, “considerata la straordinaria necessità ed urgenza”, si legge nelle righe iniziali del provvedimento che, nella versione approvata dal neo-governo 5Stelle-Pd, introduce anche un capitolo ad hoc sulle reti 5G.
La messa in sicurezza delle infrastrutture di quinta generazione è considerata infatti prioritaria anche tenendo conto delle disposizioni aggiornate in materia di Golden Power, ossia dell’esercizio dei poteri speciali a garanzia della sicurezza-Paese.
Fatta la norma ora bisognerà passare all’azione.
È fissata a 4 mesi la deadline per individuare i soggetti che dovranno essere tutelati nell’ambito del “perimetro cibernetico” e a 10 mesi quella per definire le procedure che i soggetti in questione dovranno seguire per la notifica di eventuali incidenti che hanno impatto su reti, sistemi e servizi.
È previsto a tal proposito un aggiornamento annuale dell’elenco delle reti, dei sistemi informativi e dei servizi informatici sotto “osservazione”.
Per la gestione della complessa “macchina” sarà coinvolto il Comitato interministeriale per la sicurezza della Repubblica (CISR).
Riguardo invece alle attività di ispezione e di verifica del rispetto delle nuove norme, sarà la Presidenza del Consiglio (e non più l’Agenzia per l’Italia digitale come previsto dal precedente Ddl) ad avere in capo le responsabilità per quel che riguarda i soggetti pubblici mentre sono state assegnate al Ministero dello Sviluppo Economico le competenze sui privati.
Spetterà invece al Centro di valutazione e certificazione nazionale (Cvcn) – istituito presso il Mise – imporre condizioni nonché test di hardware e software (entro 30 giorni).
A sostegno delle nuove attività il perimetro di sicurezza nazionale cibernetica prevede anche una serie di assunzioni a tempo indeterminato: la Presidenza del Consiglio potrà avvalersi fino a 10 risorse ad hoc che salgono a un massimo di 57 per il Mise.
In particolare sul fronte del 5G, l’articolo 3 del decreto dispone che anche nel caso dei contratti già approvati, sia possibile modificare o integrare le misure prescrivendo la sostituzione di apparati e prodotti “che risultano gravemente inadeguati sul piano della sicurezza”.
