DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 30 luglio 2020 , n. 131
Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell’articolo 1, comma 2, del decreto- legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.
E’ stato pubblicato in gazzetta ufficiale il regolamento aggiornamento in materia di perimetro di sicurezza nazionale cibernetica.
Come riportato si è “Ritenuto di dover definire modalità e criteri procedurali di individuazione dei soggetti pubblici e privati inclusi nel perimetro di sicurezza nazionale cibernetica, nonché i criteri con i quali i soggetti inclusi nel perimetro predispongono e aggiornano un elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza” ad oggi sempre più necessario visti i numeri e i forti attacchi che vengono sferrati nei confronti di enti critici per il nostro sistema nazionale.
Il CISR, il Comitato interministeriale per la sicurezza della Repubblica, assieme al NSC, nucleo per la sicurezza cibernetica, aiutato dalle solide norme nel settore, tra le quali la NIS, ha analizzato quindi quali potevano essere i rischi che pregiudicavano la sicurezza nazionale con l’esposizione per quanto riguarda il concetto del RID, riservatezza, integrità e disponibilità dei dati aggiungendo inoltre il concetto di indipendenza di istituzione democratiche poste a fondamento della Repubblica e della costituzione, quali ad esempio interessi politici, militari, economici, scientifici, industriali dell’Italia.
Si è pensato inoltre a quali conseguenze e compromissioni potevano presentarsi nel caso di un’interruzione di una funzione essenziale dello stato o di un servizio essenziale per la sua popolazione.
Settori di attività
Nel decreto all’art. 3 vengono riportati i settori di attività ritenuti maggiormente a rischio e soggetti quindi al perimetro di sicurezza nazionale.
Nell’elenco troviamo soggetti pubblici e privati operanti nel settore governativo in ambito di attività amministrative o servizi governativi.
- interno;
- difesa;
- spazio e aerospazio;
- energia;
- telecomunicazioni;
- economia e finanza;
- trasporti;
- servizi digitali;
- tecnologie critiche
- enti previdenziali/lavoro.
Individuazione dei soggetti
Questi soggetti sono individuati indentificando le funzioni essenziali e i servizi di diretta pertinenza da operatori anche privati che dipendono da reti, sistemi informativi o servizi informativi la cui interruzione o compromissione possa arrecare un pregiudizio per la sicurezza nazionale.
Valutando inoltre quali potrebbero essere gli effetti di queste eventuali interruzioni o compromissioni, le possibili mitigazioni del rischio.
Ai soggetti rientranti nell’elenco precedente verranno richieste una serie di documentazioni, procedure e analisi del rischio così da poter dimostrare e ottemperare tutti gli scenari di un eventuali disaster recovery, della messa in sicurezza delle infrastrutture e di poter abbassare il livello di criticità ed esposizione al rischio, valutando anche casi concreti di impatto di eventuali incidenti.
Modalità di accreditamento
Tutte questa documentazione dovrà essere ricevuta dalla presidenza del consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione e al ministero dello sviluppo dei beni economici.
La trasmissione degli elenchi di beni ICT avviene per il tramite di una piattaforma digitale costituita presso il DIS anche per le attività di prevenzione, preparazione e gestione delle crisi cibernetiche affidate al NSC, nell’ambito delle risorse finanziarie, umane e strumentali previste a legislazione vigente.
Sarà cura del ministero poi verificare il contenuto dei documenti caricati sulla piattaforma digitale.
Questo provvedimento ha già inizia il suo “iter”, anche tenendo conto delle deadline messe nero su bianco: 4 mesi per individuare i soggetti “a rischio” – ossia quelli pubblici e privati che dovranno essere monitorati – e 10 mesi per definire le procedure che i soggetti in questione dovranno rispettare per notificare gli incidenti che hanno impatto su reti, sistemi e servizi.
Tra gli attori convocati vi è anche Enel, che da poco ha subito l’innumerevole attacco con doppia ritorsione: richiesta di riscatto elevatissima e la minaccia di divulgare e diffondere alcune cartelle contenenti importanti progetti infrastrutturali di impianti.
Gazzetta ufficiale: https://www.gazzettaufficiale.it/eli/id/2020/10/21/20G00150/sg
