È in vigore dal 12 luglio, ma non sarà convertito in legge, così i suoi effetti decadranno. Ha una morte annunciata il nuovo Golden Power, che rafforza i poteri speciali nelle reti 5G. L’esecutivo ha cambiato idea.
Il Governo “non intende insistere” per la conversione in legge del decreto Golden Power, ha annunciato, in commissione Finanze del Senato, Vincenzo Santangelo, sottosegretario alla presidenza del Consiglio.
Santangelo ha specificato che prossimamente sarà sottoposto all’esame del Consiglio dei ministri un disegno di legge per disciplinare in modo più organico la materia della sicurezza informatica nazionale.
Il CdM ha varato il decreto Golden Power la scorsa settimana, su input soprattutto degli Stati Uniti, per gestire gli eventuali rischi legati al 5G con il coinvolgimento delle aziende cinesi HUAWEI e ZTE.
E il presidente di Huawei Italia, Luigi De Vecchis, ha denunciato il rischio di un quadro normativo discriminatorio per l’azienda a causa del nuovo Golden Power per quanto riguarda lo sviluppo delle reti di tlc e del 5G. “Il quadro normativo sul Golden Power che va delineandosi rischia di mettere l’azienda in una posizione di difficoltà tale da essere discriminata”, ha messo in guardia De Vecchis in audizione alla commissione Trasporti alla Camera.
Le sue parole sono in linea con quanto espresso dal ceo di Huawei Italia, Thomas Miao, sul Golden Power in vigore anche per le reti 5G: “il decreto si applica soltanto ai fornitori extra Ue. Al contrario, dovrebbe essere rivolto a tutti, perché la tecnologia è per definizione neutrale e pertanto non è legata in alcun modo a questioni geopolitiche”.
Così, raccogliendo anche le osservazioni di Huawei, il Governo ha deciso di rinunciare alla conversione in legge del decreto che rafforza i poteri speciali nelle reti 5G. I decreti entrano in vigore subito ma vanno convertiti in legge dal Parlamento entro 60 giorni o perdono di efficacia.
Al posto del Golden Power anche su 5G, il Ddl cybersecurity
Al suo posto del Golden Power sul 5G, per disciplinare in modo più organico la materia della sicurezza informatica nazionale il Governo sta lavorando al disegno di legge cybersecurity, di cui Public Policy ha preso visione.
Nasce il Perimetro di sicurezza nazionale per “assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.
Questo prevede la bozza del Ddl sulla cybersecurity. Entro sei mesi dall’entrata in vigore del disegno di legge un Decreto del presidente del consiglio dei ministri (Dpcm), adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica (Cisr), individuerà le pubbliche amministrazioni, gli enti e gli operatori nazionali, pubblici e privati, che entreranno nel Perimetro di sicurezza nazionale cibernetica.
Gli obblighi
I soggetti individuati saranno sottoposti a diversi obblighi, primo fra tutti la predisposizione di un report almeno annuale contenente l’elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica. Un’altro dpcm, sempre su proposta del Cisr, definirà le procudere da seguire in caso di incidenti e le misure per garantire elevati livelli di sicurezza.
Un regolamento stabilirà invece i criteri e le modalità che i soggetti inclusi nel Perimetro dovranno seguire per l’affidamento di forniture di beni e servizi Ict destinati ad essere impiegati sulle reti e sui sistemi per l’espletamento dei servizi rilevanti.
Il Centro di valutazione e certificazione nazionale, istituito di recente al Mise, potrà imporre condizioni e test hardware e software da effettuare (faranno eccezione le forniture per attività di prevenzione e repressione dei reati; un dpR disciplinerà i casi di deroga per le forniture cui sia indispensabile procedere in sede estera). Per le forniture del ministero della Difesa si procederà con un servizio di valutazione proprio, in raccordo con Agid e Mise.
La bozza di ddl amplia di conseguenza i poteri del Centro di valutazione e certificazione nazionale, che potrà anche imporre, sempre con riguardo alle forniture Ict, prescrizioni di utilizzo al committente. Al Centro di valutazione e certificazione nazionale vengono quindi assegnati 3,2 milioni nel 2019, 2,8 milioni all’anno dal 2020 al 2023 e 0,75 milioni dal 2024.
La bozza ddl raccorda quindi quest’ultimo provvedimento con il Codice delle comunicazioni elettroniche e con il più recente dlgs 65 del 2018, attuativo della direttiva Nis, che ha stabilito analoghi obblighi di notifica in caso di incidenti. I soggetti inclusi nel Perimetro dovranno seguire le misure già previste dai due provvedimenti, ove di livello equivalente. Eventuali misure aggiuntive saranno stabilite da AgID e Mise, che, inoltre, dovrà inoltrare l’elenco degli operatori di servizi essenziali anche al punto di contatto unico e all’Organo del ministero dell’Interno per la sicurezza e la regolarità dei servizi di telecomunicazione.
Le pene previste dalla bozza Ddl Cybersecurity
Nel caso in cui si forniscano volutamente informazioni false è prevista la reclusione da uno a cinque anni e, all’ente, una sanzione pecuniaria fino a 400 quote. Previste anche sanzioni pecuniarie scaglionate in relazione alla gravità della condotta da 200mila euro a 1,8 milioni.