NEWS

Perimetro di sicurezza nazionale cibernetica: dalla forma alla sostanza

Se con il Decreto-legge 21 settembre 2019, n. 105, è stato posato il primo mattone nel cantiere di sistema di sicurezza informatica nazionale, dopo un anno, il DPCM 131/2020, pubblicato nella Gazzetta Ufficiale n. 261 del 21 ottobre 2020, ha dato forma e sostanza al “Perimetro di Sicurezza Nazionale Cibernetica”, definendo modalità e criteri procedurali di individuazione dei soggetti pubblici e privati inclusi nel “Perimetro”, i principi attraverso i quali questi soggetti dovranno predisporre e aggiornare un elenco delle reti, i sistemi informativi e i rispettivi servizi informatici.

L’Obiettivo del legislatore è costruire rapidamente una linea di difesa contro minacce e possibili attacchi provenienti non solo dal mondo del web, ma che riguarda il controllo e gestione di tutti i sistemi che fanno parte della nostra quotidianità, dagli oggetti, alle interazioni sociali, all’economia del Paese, alle strade, tutto ciò che ci circonda e che ormai è collegato e interagisce con tutto il resto quotidiana a criticità fisiche e/o eteree tipiche del mondo cyber. In sintesi, i punti più rilevanti della disciplina introdotta.

Tommaso Gori

(Nella foto: Tommaso Gori, avvocato del foro di Firenze e socio membro di Federprivacy)

Macrocategorie di destinatari -  Le macrocategorie di destinatari della disciplina sul “Perimetro di Sicurezza Nazionale Cibernetica” sono le seguenti:

- Soggetti che esercitano una funzione essenziale dello Stato. Tra di essi rientrano coloro a cui l’ordinamento attribuisce compiti rivolti ad assicurare la continuità dell’azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità dei sistemi economico, finanziario e dei trasporti.
- Soggetti che prestano un servizio essenziale per gli interessi dello Stato. La categoria ricomprende qualsiasi soggetto, pubblico o privato, che presti un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato. In particolare i soggetti che pongono in essere: a) attività strumentali all’esercizio di funzioni essenziali dello Stato; b) attività necessarie per l’esercizio e il godimento dei diritti fondamentali; c) attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica; d) attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.
A queste categorie di soggetti, dovranno aggiungersi anche gli Organi costituzionali, per i quali il legislatore prevede, al momento, una mera facoltà di adottare misure di sicurezza analoghe a quelle previste dalla normativa sul Perimetro di Sicurezza Nazionale Cibernetica. In tale ipotesi si prevede che la facoltà sia oggetto di appositi accordi con il Presidente del Consiglio dei ministri.

Settori rilevanti per la sicurezza nazionale cibernetica - In questa prima fase, trovano posto nell’elenco del Perimetro di sicurezza nazionale i soggetti appartenenti al settore governativo (identificati nei componenti del Comitato Interministeriale per la Sicurezza della Repubblica -CISR), ovvero la Presidenza del Consiglio dei ministri, il Ministero degli affari esteri e della cooperazione internazionale, il Ministero dell’interno, il Ministero della difesa, il Ministero della giustizia, il Ministero dell’economia e delle finanze, il Ministero dello sviluppo economico.

A questi devono aggiungersi i soggetti, pubblici o privati operanti nei settori dell’interno, della difesa, dello spazio e aerospazio, dell’energia, delle telecomunicazioni, dell’economia e finanza, dei trasporti, dei servizi digitali, delle tecnologie critiche, degli enti previdenziali e del lavoro.
Il compito di individuarli spetta:

- per il settore interno, al Ministero dell’interno;
- per il settore difesa, il Ministero della difesa;
- per il settore spazio e aerospazio, la Presidenza del Consiglio dei ministri;
- per il settore energia, il Ministero dello sviluppo economico;
- per il settore telecomunicazioni, il Ministero dello sviluppo economico;
- per il settore economia e finanza, il Ministero dell’economia e delle finanze;
- per il settore servizi digitali, il Ministero dello sviluppo economico, in raccordo con la struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione;
- per il settore trasporti, il Ministero delle infrastrutture e dei trasporti;
- per il settore tecnologie critiche, la struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, in raccordo con il Ministero dello sviluppo economico e con il Ministero dell’università e della ricerca;
- per il settore enti previdenziali/lavoro, il Ministero del lavoro e delle politiche sociali.

Perimetro di Sicurezza Nazionale Cibernetica

Criteri procedurali di individuazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetici - Le amministrazioni hanno il compito di identificare le funzioni essenziali e i servizi essenziali di diretta pertinenza, ovvero esercitati o prestati da soggetti vigilati o da operatori anche privati, che dipendono da reti, sistemi informativi o servizi informatici e la cui interruzione o compromissione possa arrecare un pregiudizio per la sicurezza nazionale.

Il criterio fondante di ogni scelta deve rintracciarsi necessariamente nel concetto di pregiudizio per la sicurezza nazionale, così come introdotto nel nostro ordinamento proprio dal Decreto-legge 21 settembre 2019, n. 105, che lo definisce come “il danno o pericolo di danno all’indipendenza, all’integrità o alla sicurezza della Repubblica e delle istituzioni democratiche poste dalla Costituzione a suo fondamento, ovvero agli interessi politici, militari, economici, scientifici e industriali dell’Italia, conseguente all’interruzione o alla compromissione di una funzione essenziale dello Stato o di un servizio essenziale”.

In tale ottica, pertanto, si dovranno valutare gli effetti della funzione essenziale o del servizio essenziale, secondo:
- estensione territoriale della funzione essenziale o del servizio essenziale;
- numero e tipologia di utenti potenzialmente interessati;
- livelli di servizio garantiti;
- possibili ricadute economiche, ove applicabili, e ogni altro elemento rilevante.

Formazione dell'elenco - Le amministrazioni individuate attraverso le modalità e i criteri dettati dal DPCM predispongono una proposta di lista di questi operatori da sottoporre al Comitato Interministeriale per la Sicurezza della Repubblica (CISR) e quindi al CISR tecnico.

L’Elenco così formato sarà contenuto in un atto ammnistrativo adottato e aggiornato periodicamente dal Presidente del Consiglio dei ministri.

Inclusione nel perimetro di sicurezza nazionale cibernetica - La comunicazione al soggetto pubblico o privato spetta al DIS (Dipartimento delle Informazioni per la Sicurezza) entro un termine di trenta giorni dall’iscrizione nell’elenco, con indicazione espressa della funzione essenziale o del servizio essenziale svolto e che motiva tale inclusione nell’elenco.

L’iscrizione è comunicata, per i soggetti pubblici, alla struttura della Presidenza del Consiglio dei ministri, per i soggetti privati, al Ministero dello sviluppo economico, ed infine al Ministero dell’Interno (Polizia postale e delle comunicazioni).

Modalità di trasmissione degli elenchi - I soggetti pubblici e privati inclusi nel Perimetro di Sicurezza Nazionale Cibernetica entro sei mesi dal ricevimento della comunicazione devono trasmettere alla struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione e al Ministero dello sviluppo economico, gli elenchi di beni ICT, il documento di descrizione dell’architettura e della componentistica predisposta secondo il modello ricevuto, l’analisi del rischio. La trasmissione e l’aggiornamento della predetta documentazione dovrà avvenire esclusivamente attraverso una piattaforma digitale predisposta dal DIS ed affidata al Nucleo Sicurezza Cibernetica (NSC).

Richiami ai principi della disciplina privacy - I concetti espressi dal DPCM 131/2020 in punto di danno o pericolo di danno, hanno un chiaro riferimento ai criteri propri della disciplina in ambito privacy (GDPR e Codice della Privacy), nella misura in cui si dovranno valutare le conseguenze della perdita di disponibilità, integrità o riservatezza dei dati e delle informazioni trattati per il loro svolgimento, avuto riguardo alla tipologia ed alla quantità degli stessi, alla loro sensibilità ed allo scopo cui sono destinati.

A questi si potranno aggiungere anche quelli di mitigazione in relazione al tempo necessario per ripristinarne lo svolgimento in condizioni di sicurezza e alla possibilità che lo svolgimento della funzione essenziale o del servizio essenziale possano o meno essere assicurati, anche temporaneamente, con modalità prive di supporto informatizzato, ovvero anche parzialmente da altri soggetti.

Il richiamo, infine, ai principi di privacy by design e privacy by default introdotti dal Regolamento Europeo per la protezione di dati personali (art. 25) è evidente con il riferimento alla tenuta dell’elenco dei soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, il cui trattamento, conservazione e trasmissione dovrà avvenire con modalità idonee a garantire la sicurezza, ricorrendo a misure tecniche e organizzative adeguate, con una costante analisi del rischio al quale sono esposte (Risk Assessment).

Gli ulteriori passi del Legislatore - Con ulteriori due decreti del Presidente del Consiglio, numero 179 del 18 dicembre 2020 e 180 del 23 dicembre 2020, pubblicati in Gazzetta Ufficiale (n. 322 del 30 dicembre) è stato definito il perimetro di competenza della normativa Golden Power, prevedendo, da un lato, il “regolamento per l’individuazione dei beni e dei rapporti di interesse nazionale”, e dall’altro, “l’individuazione degli attivi di rilevanza strategica nei settori dell’energia, dei trasporti e delle comunicazioni”. Entrambi i provvedimenti saranno in vigore a partire dal 14 gennaio 2021.

Il confine di difesa sul fronte digitale assume un valore strategico proprio nei settori ad alta intensità tecnologica, dalla difesa e sicurezza nazionale, all’energia, ai trasporti e, quindi, alla comunicazione. Di sicuro interesse sarà proprio la definizione dell’ambito operativo e dei poteri speciali del Governo rispetto a 5 G, Golden Power, l’affidamento di forniture ICT, l’attività di certificazione del CVCN (Centro di Valutazione e Certificazione Nazionale), il rapporto con soggetti esterni all’Unione Europea.

Note Autore

Tommaso Gori Tommaso Gori

Avvocato del foro di Firenze, socio membro di Federprivacy - Email: studio@avvocatogori.com

Prev I trattamenti dei dati da parte dei fornitori di servizi software

Paolo Balboni spiega gli scenari della privacy europea alla luce del Dgls 101/2018

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy