Via libera per il decreto attuativo relativo alla definizione di procedure, modalità e termini con cui il Centro di valutazione e certificazione nazionale (Cvcn) svolgerà le verifiche e le valutazioni dei beni e dei sistemi di information and communication technology (Ict) che i soggetti individuati nel perimetro di sicurezza nazionale cibernetica intendono acquisire.
Il Consiglio dei Ministri, infatti, su proposta del Premier Giuseppe Conte e del ministro dello Sviluppo economico, Stefano Patuanelli, come si legge nel sito web stesso del Governo, ha approvato, in esame definitivo, il nuovo regolamento, che ora sarà sottoposto all’esame del Parlamento.
Il Perimetro di sicurezza cibernetica
Un documento, quindi, che si prefigge di rendere operativo il Cvcn per valutare l’acquisto di beni e servizi Ict da parte delle amministrazioni pubbliche, da quelle aziende che rientrano nel cyber perimetro: “nel caso in cui da queste ultime dipenda la fornitura di servizi essenziali ovvero l’esercizio di una funzione essenziale dello Stato”.
“I soggetti” a cui si richiama la nota del Governo possono essere pubblici e privati e sono stati individuati già com il dpcm di novembre 2020, in cui se ne individuavano circa un centinaio.
Nell’attuazione del decreto-legge 21 settembre 2019 n.105, convertito con modificazioni dalla legge 18 novembre 2019, n. 133, si legge nella nota di Palazzo Chigi, si stabiliscono inoltre:
i criteri di natura tecnica per l’individuazione delle categorie, ovvero l’elenco di beni, sistemi e servizi ICT a cui si applica la procedura di valutazione;
le procedure, le modalità e i termini con cui le autorità competenti effettuano le attività di verifica e ispezione ai fini dell’accertamento del rispetto degli obblighi stabiliti nel decreto-legge e nei decreti attuativi.
La notifica entro un’ora
Il punto su cui gli esperti, però, si stanno concentrando, almeno in questa fase di attuazione dei decreti, è relativo alle notifiche degli incidenti informatici “aventi impatto su reti, sistemi informativi e servizi informativi”.
Il regolamento prevede, in effetti, che in caso di gravi incidenti informatici i soggetti individuati dal perimetro non avranno più di un’ora per la notifica al Computer security incident response team o Csirt del Dipartimento informazioni per la sicurezza (o Dis).
In casi di minore gravità, invece, la notifica dovrà essere inviata anche entro sei ore di tempo.
Una volta avvenuto e registrato l’eventuale attacco informatico, l’ente dovrà avviare i piani di ripristino e comunicare quanto avvenuto in una relazione tecnica per il Dis.
I soggetti sono tanti ed erogano servizi essenziali. L’incidente informatico può riguardare aree diverse e a seconda di quale viene impattata cambiano le regole: “Nel momento in cui ci si rende conto di dover affrontare un incidente informatico ci si può rivolgere immediatamente, con comunicazione, al Csirt – ha spiegato a Key4biz Arturo Di Corinto, giornalista esperto di internet governance, copyright e crittografia – se l’incidente rientra nella fattispecie per la quale va comunicato entro un’ora, si procede in tal senso, altrimenti entro sei ore. Non sono tempi impossibili da gestire per un’azienda di carattere strategico, ovvero per un operatore di servizi essenziali”.
Riguardo al rischio di conferire informazioni poco dettagliate a discapito della qualità, come si è letto sul Sole 24 di oggi, “intanto si notifichi l’incidente, poi il tutto sarà dettagliato successivamente”.
Il regolamento è importante, perché “dalla notifica dell’incidente, che può essere un’interruzione improvvisa di energia o un database violato, l’autorità nazionale può contribuire da subito ad esaminare quanto accaduto nel dettaglio”, ha aggiunto Di Corinto, concludendo che: “se tu notifichi subito l’incidente, hai lo Stato che ti aiuta”.
Prossimi passi
Starà ora al Parlamento, Camera e Senato, procedere al vaglio del regolamento, tra notifiche e misure di sicurezza.
Lo schema di dpcm elaborato dal Governo sarà valutato dalle Commissioni parlamentari per poi ricevere sempre dall’esecutivo il via libera definitivo.