Perimetro di sicurezza nazionale cibernetica. DL in Gazzetta Ufficiale

Il Decreto-legge in materia di sicurezza nazionale cibernetica, approvato dal Consiglio dei ministri nell’ultima seduta del 19 settembre, è già approdato in Gazzetta Ufficiale.

Nell’edizione n. 222 del 21 settembre 2019 è infatti presente il Decreto-legge n. 105 del 21 settembre 2019, recante “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”.

Cybersicurezza: finalità del decreto

Il provvedimento, per come si legge nelle relative premesse, è stato messo a punto in considerazione della straordinaria necessità ed urgenza di disporre, ai fini di sicurezza nazionale, di un sistema di organi, procedure e misure, che consenta un’efficace valutazione tecnica della sicurezza degli apparati e dei prodotti, in linea con le più elevate ed aggiornate misure di sicurezza adottate a livello internazionale.

Ciò - viene spiegato - a fronte della realizzazione in corso di importanti e strategiche infrastrutture tecnologiche ed anche in relazione a recenti attacchi alle reti di Paesi europei.

Tra le altre esigenze, sono indicate la necessità di:

• prevedere il raccordo con le disposizioni in materia di valutazione della presenza di fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti inerenti ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G e dei dati che vi transitano;
• di disporre dei più idonei strumenti d'immediato intervento che consentano di affrontare con la massima efficacia e tempestività eventuali situazioni di emergenza in ambito cibernetico.

Perimetro di sicurezza nazionale cibernetica

Il Decreto, in primo luogo, istituisce il perimetro di sicurezza nazionale cibernetica, individuando un termine di 4 mesi entro cui, con Decreto del Presidente del Consiglio dei ministri adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR), indicare:

• le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati inclusi in detto perimetro e tenuti al rispetto delle relative misure e obblighi;
• i criteri in base ai quali i soggetti indicati dovranno predisporre e aggiornare, con cadenza almeno annuale, un elenco delle reti, sistemi informativi e servizi informatici di pertinenza.

Entro 10 mesi, invece, dovranno essere definite le procedure, con i termini e le modalità attuative, per quanto riguarda la notifica degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici.

Nel testo sono contenute anche disposizioni in materia di reti di telecomunicazione elettronica a banda larga con tecnologia 5G, con previsione di poteri speciali di intervento in tema di monitoraggio dei fattori di vulnerabilità sull’integrità e sicurezza delle reti e dei dati.

Crisi cibernetica, poteri al PDCM

Si prevede, per finire, che il Presidente del Consiglio, in presenza di un rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità delle reti, possa disporre, ove indispensabile e per il tempo strettamente necessario, la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l'espletamento dei servizi interessati.

Il Decreto-legge è entrato in vigore il 22 settembre 2019.