Proteggere le reti delle aziende italiane ed i sistemi informativi della Pubblica amministrazione dagli attacchi informatici di cybercriminali o di intelligence straniere. E’ questo l’obiettivo del D.L. n. 105/2019, con cui l’Italia ha deciso di innalzare una linea di difesa forte e adeguata alla “cyberwar”, tracciando un perimetro di sicurezza nazionale cibernetica e preparandosi ad introdurre misure idonee a garantire gli standard di sicurezza per minimizzare i rischi. Con il decreto legge si dà l’avvio, in particolare, al monitoraggio delle vulnerabilità informatiche aziendali e si introduce uno specifico quadro sanzionatorio alla luce dei nuovi standard di sicurezza.

È stato pubblicato sulla Gazzetta Ufficiale il D.L. 21 settembre 2019, n. 105 , che introduce disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica.

L’istituzione del perimetro di sicurezza nazionale cibernetica mira ad assicurare un livello elevato di sicurezza:

- delle reti;

- dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche e degli enti ed operatori nazionali, pubblici e privati.

Amministrazioni pubbliche e degli enti nazionali, come specificato dall’art. 1, comma 1 del decreto legge sono quelli “da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.

A questo fine, il provvedimento prevede “misure idonee a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi consentendo, al contempo, la più estesa fruizione dei più avanzati strumenti offerti dalle tecnologie dell’informazione e della comunicazione”.

Nei fatti, il perimetro dovrà essere attuato grazie provvedimenti successivi con scadenze temporali differenti, e cioè 3 DPCM adottati su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR), da aggiornare con cadenza almeno biennale, e un regolamento ministeriale.

In tale quadro, il decreto individua le competenze del Ministero dello Sviluppo Economico (MiSE), per i soggetti privati inclusi nel perimetro e della Presidenza del Consiglio (non più dell'Agenzia per l'Italia Digitale, AgID, come previsto dal DDL) per le amministrazioni pubbliche e i soggetti di cui all'art. 29 del D.Lgs. n. 82/2005 (Codice dell'amministrazione digitale) inclusi nel perimetro. Prevista anche l’assunzione, tramite concorso pubblico, di personale a tempo indeterminato per queste nuove funzioni.

Un obiettivo ambizioso e senza precedenti, dunque, quello di realizzare un muro di difesa del cyberspazio italiano al fine di proteggere gli interessi strategici e l’operatività dei settori economici del Paese. A regime, accanto ai controlli su acquisti di beni e servizi tecnologici, dovrà essere possibile esercitare poteri speciali in caso di crisi cibernetica che arriveranno sino allo spegnimento di un servizio per il tempo richiesto dall’eliminazione dei fattori di rischio e all’intervento di un’apposita task-force cibernetica.

Il testo, praticamente già pronto da mesi e già approvato in Consiglio dei Ministri a luglio 2019 dal Governo Conte, è divenuto un D.L., attesa la necessità di dotarsi al più presto di questo scudo difensivo, integrando e adeguando i “poteri speciali” del Governo con particolare riferimento a quanto previsto dal D.L. n. 21/2012 (Golden power sugli assetti strategici), in modo da coordinare l’attuazione del regolamento (UE) 2019/452 (controllo degli investimenti esteri diretti) e apprestare idonee misure di tutela di infrastrutture o tecnologie critiche ad oggi non ricadenti nel campo di applicazione del D.L. n. 21/2012, come quelle basate sulla nuova tecnologia 5G.

Il decreto fissa i termini entro i quali dovranno essere emanati i successivi provvedimenti di attuazione del perimetro, modificando le scansioni temporali previste dal precedente DDL.

1. Soggetti da includere nel perimetro

Entro 4 mesi dalla data di entrata in vigore della legge di conversione del D.L. n. 105/2019, dovrà essere adottato un DPCM su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR) per individuare le amministrazioni pubbliche, gli enti e gli operatori nazionali (pubblici e privati) da includere nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti dall’art. 1 del decreto. Tali soggetti si aggiungeranno all’elenco delle 465 società già individuate come “Ose nazionali” (Operatori di servizi essenziali) sulla base della direttiva (UE) 2016/1148 “NIS” (Network and Information Security).

Questi i criteri che dovranno essere seguiti per tale individuazione:

1) il soggetto esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;

2) l'esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale.

Lo stesso DPCM dovrà definire i criteri in base ai quali tali soggetti dovranno predisporre e aggiornare - almeno una volta all’anno - un elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica. Questi criteri dovranno essere elaborati dall'organismo tecnico di supporto al CISR, integrato con un rappresentante della Presidenza del Consiglio dei ministri.

Entro 6 mesi dalla data di entrata in vigore di questo DPCM, i soggetti pubblici e privati dovranno trasmettere gli elenchi, rispettivamente, alla Presidenza del Consiglio dei ministri e al MiSE i quali, a loro volta, dovranno inoltrarli al Dipartimento delle informazioni per la sicurezza (DIS), anche per le attività di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la sicurezza cibernetica (NSC), nonché alla Polizia Postale (quale “organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione”).

2. Procedure più semplici di notifica degli incidenti

Entro 10 mesi dalla data di entrata in vigore della legge di conversione del D.L. n. 105/2019, dovrà essere adottato un secondo DPCM, sempre su proposta del CISR, volto a semplificare la procedura di notifica di incidente per i soggetti (OSE, FSD e operatori ‘Telco') che siano a un tempo inclusi nel perimetro e sottoposti agli obblighi stabiliti dal D.Lgs. n. 65/2018 o dal D.Lgs. n. 259/2003.

Il provvedimento, infatti, oltre a disciplinare i termini e le modalità attuative del D.L. n. 105/2019, dovrà definire le procedure secondo cui i soggetti preposti dovranno notificare gli incidenti con impatto su reti, sistemi informativi e servizi informatici al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) italiano, il quale dovrà inoltrare tali notifiche, tempestivamente, al DIS anche per le attività demandate al Nucleo per la sicurezza cibernetica. A sua volta, il DIS dovrà trasmettere le notifiche così ricevute alla Polizia Postale e alla Presidenza del CdM (se provenienti da un soggetto pubblico), oppure al MiSE (se effettuate da un soggetto privato).

3. Regolamento sul procurement per l’affidamento alle imprese fornitrici di servizi ICT

Entro 10 mesi dalla data di entrata in vigore della legge di conversione del, D.L. n. 105/2019 dovrà essere adottato un regolamento volto a garantire una maggiore sicurezza del procurement per i soggetti inclusi nel perimetro che procedano all'affidamento di forniture.

Nello specifico, il regolamento disciplinerà le procedure, le modalità e i termini con cui i soggetti che intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici - diversi da quelli necessari per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati - dovranno darne comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso il MiSE (DPCM 17 febbraio 2017). Quest’ultimo, sulla base di una valutazione del rischio, potrà, entro 30 giorni, imporre condizioni e test di hardware e software.

Il legislatore ha provveduto a introdurre un apposito quadro sanzionatorio a supporto delle norme sul perimetro di sicurezza nazionale cibernetica.

Le sanzioni pecuniarie amministrative introdotte sono particolarmente elevate. Si prevede, ad esempio, una sanzione da 200mila a 1 milione e 200mila euro per il mancato adempimento degli obblighi di predisposizione e di aggiornamento dell'elenco delle reti, dei sistemi informativi e dei servizi informatici.

La sanzione è compresa tra i 250mila e 1.500.000 di euro per 5 tipi di condotte:

- il mancato adempimento dell'obbligo di notifica,

- l'inosservanza delle misure di sicurezza,

- la mancata collaborazione per l'effettuazione delle attività di test,

- il mancato adempimento delle prescrizioni indicate dal MiSE o dalla Presidenza del Consiglio dei ministri in esito alle attività di ispezione e verifica svolte,

- il mancato rispetto delle prescrizioni.

In crescendo, si passa ai 300mila-1.800.000 euro sia per la mancata comunicazione nei termini prescritti, sia per l'impiego di prodotti e servizi sulle reti, sui sistemi informativi e l'espletamento dei servizi informatici in violazione delle condizioni imposte dal CVCN o in assenza del superamento dei test.

Il contratto non produrrà effetti (o questi cesseranno) in caso di inottemperanza alle condizioni o in assenza dell'esito favorevole dei test: se il contratto viene comunque eseguito in violazione di quanto previsto dal decreto, si aggiunge la sanzione amministrativa accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione.

Pene gravi (reclusione da 1 a 5 anni) per coloro che, per ostacolare o condizionare l'espletamento dei procedimenti o delle attività ispettive e di vigilanza:

- forniscano informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l'aggiornamento degli elenchi, o ai fini delle comunicazioni, o per lo svolgimento delle attività ispettive e di vigilanza,

- omettano di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto. In tali ipotesi per le imprese responsabili ai sensi del D.Lgs. n. 231/2001 scatta la sanzione pecuniaria fino a 400 quote.

Le autorità competenti per l'accertamento delle violazioni e per l'irrogazione delle sanzioni sono la Presidenza del Consiglio dei ministri, per i soggetti pubblici e il MiSE per i soggetti privati.

Fonte: http://www.ipsoa.it/documents/impresa/contratti-dimpresa/quotidiano/2019/09/28/cybersecurity-italia-rafforza-misure-proteggere-imprese-pa