Il Governo italiano, come auspicato da tempo, crea finalmente un vero perimetro di sicurezza cibernetica, dotandosi di strumenti normativi che consentono al nostro paese di intervenire in maniera più tempestiva in caso di minacce e pericoli per la sicurezza nazionale provenienti dal cyberspazio. E’ questo in sintesi il senso del decreto legge varato dal Consiglio dei ministri recante appunto ‘disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica’ che allarga il suo ambito di applicazione al 5G e alle società quotate in Borsa.
Il decreto, sottolinea la nota della presidenza del Consiglio diffusa al termine della riunione dell’esecutivo, “mira ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure idonee a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi consentendo, al contempo, la più estesa fruizione dei più avanzati strumenti offerti dalle tecnologie dell’informazione e della comunicazione”.
Perimetro di sicurezza cibernetico allargato
“Il varo del decreto che allarga il perimetro di sicurezza cibernetica è una mossa auspicata da tempo – dice Stefano Mele, avvocato e Presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano – per creare nel nostro paese un piano normativo e politico più ampio per la sicurezza cibernetica”.
Il provvedimento appena varato si inserisce e integra la direttiva europea NIS (Network and Information Security) che si rivolge a società che forniscono servizi essenziali e grandi società del mondo digitale (motori di ricerca, aziende Cloud ecc.). “Il nuovo perimetro di sicurezza cibernetica copre una serie di vuoti lasciati dalla direttiva NIS, in particolare le società di servizi essenziali pubbliche e private non coperte dalla direttiva europea, che ora saranno invece inserite nel nuovo perimetro di sicurezza cibernetica perché strategiche per la sicurezza nazionale”.
A breve sarà varato un decreto ad hoc che definirà i nomi delle aziende sensibili per la sicurezza nazionale che saranno inserite nel nuovo perimetro e che si aggiungono alle 465 società già individuate e coperte dalla direttiva NIS.
Golden power sul 5G
L’inserimento della norma sul golden power sul 5G nel decreto sul perimetro della cybersecurity dimostra l’urgenza della materia, dopo che il decreto ad hoc era scaduto il 9 settembre. Una materia troppo importante per restare in sospeso, in cima all’agenda del Conte bis, come dimostra la sua applicazione nei confronti delle telco (fra cui le cinesi Huawei e ZTE) in occasione del primo Consiglio dei Ministri della sua era. “Il via libera al golden power sul 5G è volto a bloccare eventuali infiltrazioni in Italia di soggetti esteri potenzialmente pericolosi per la sicurezza nazionale – aggiunge Stefano Mele – il nuovo perimetro di sicurezza nazionale allarga l’applicazione dei poteri speciali del golden power in mano al presidente del Consiglio ai fornitori di hardware, software e attrezzature per il 5G. Si tratta quindi di un nuovo strumento normativo molto forte in mano al Governo per combattere il rischio di infiltrazioni nel nostro cyberspazio”.
Infine, il decreto prevede che il presidente del Consiglio abbia il potere in caso di crisi cibernetica, su indicazione del Comitato interministeriale per la sicurezza della Repubblica (CISR) di intervenire rimuovendo la fonte della minaccia e quindi di reagire ad una minaccia difendendosi ma anche attaccando.
La nuova normativa prevede l’obbligo di comunicare sempre un attacco informatico, l’obbligo di controllare il procurement di forniture che rientrino nel perimetro di sicurezza cibernetica. Sono previste inoltre sanzioni che possono variare da 200mila euro a 1,8 milioni di euro.