Cyber sicurezza: pubblicata in G.U. la Legge che aumenta il perimetro di Sicurezza informatica

Cyber sicurezza: pubblicata in G.U. la Legge che aumenta il perimetro di Sicurezza informatica

È stata pubblicata sulla G.U. n. 272 Serie Generale del 20 novembre 2019 la Legge di conversione del Dl. n. 105/2019, concernente “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”. L’impianto del Dl. è rimasto invariato, ma è stato dato risalto ad alcune specifiche, rappresentate in particolare dal criterio di gradualità e analisi dei rischi, dall’affidamento di forniture Ict e Cvcn, oltre dalla tecnologia di trasmissione 5G e Golden Power.

Le modifiche rispetto al testo precedente approfondiscono aspetti chiave nella gestione della sicurezza cibernetica nazionale con particolare riferimento ai seguenti temi:

  • approccio basato sul rischio secondo un criterio di gradualità;
  • gestione e individuazione di eventuali vulnerabilità di prodotti e servizi Ict sin dalla fase di procurement (ad esempio il ruolo di Cvcn);
  • definizione accurata delle modalità e delle tempistiche associate agli obblighi di notifica in relazione all’esercizio di poteri speciali;
  • ridefinizione del concetto di “soggetto esterno all’Unione europea”.

Criterio di gradualità e analisi dei rischi

In sede di conversione è stato introdotto il comma 2-bis dell’art. 1 con il quale vengono ulteriormente dettagliati i criteri per l’individuazione degli attori da includere nel Perimetro nazionale. In particolare, si specifica che tale processo avviene tramite un approccio di gradualità che tenga conto dell’entità del pregiudizio per la sicurezza nazionale, in relazione alle specificità dei diversi settori di attività, che “può derivare dal malfunzionamento, dall’interruzione, anche parziali, ovvero dall’utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti”.

Tale criterio dunque presuppone la conoscenza delle specificità dei diversi settori in ambito normativo, tecnico e organizzativo, nonché le relazioni di interdipendenza che possono configurarsi tra i diversi attori che concorrono all’erogazione di funzioni o servizi essenziali.

Il tema dell’interdipendenza potrebbe essere analizzato anche attraverso l’utilizzo di tecniche previsionali di impatto, di tipo what-if, identificando la potenziale configurazione di “effetti domino” che possano implicare un pregiudizio per la sicurezza nazionale. In altre parole, l’analisi preventiva e predittiva degli impatti potrebbe supportare la valutazione della criticità di un determinato attore configurando allo stesso tempo le misure e i livelli di sicurezza che devono essere garantiti anche attraverso una analisi dei rischi. Infatti, quest’ultima, assieme al criterio di gradualità e alle specifiche settoriali, rappresenta un elemento utile a individuare le modalità con cui deve essere predisposto e aggiornato, da parte degli attori che sono inclusi nel Perimetro nazionale, un elenco delle reti, dei sistemi informativi e dei servizi informatici comprensivo della relativa architettura e componentistica.

Affidamento forniture Ict e Cvcn

Un aspetto innovativo è rappresentato dalle competenze del Cvcn, introdotto dalla lett. a) del comma 6 dell’art. 1 della Legge in esame. In sintesi, gli attori che sono inclusi nel Perimetro nazionale e le centrali di committenza che intendano procedere a una fornitura di beni, sistemi e servizi Ict dovranno comunicare al Centro di Valutazione e Certificazione Nazionale corredando quest’ultima di una valutazione del rischio associata all’oggetto della fornitura e all’ambito di impiego. A seguito della comunicazione, entro 45 giorni, prorogabili di quindici giorni, il Cvcn può effettuare “verifiche preliminari ed eventualmente imporre condizioni e test di hardware e software secondo un approccio gradualmente crescente nelle verifiche di sicurezza”.

Nel caso in cui il Cvcn non si pronunci entro i limiti prestabiliti, il soggetto che ha effettuato la comunicazione può procedere all’affidamento; nel caso in cui venissero imposti test di hardware o software i bandi di gara correlati devono includere specifiche clausole che possono implicare la risoluzione o la sospensione dell’affidamento sulla base degli esiti dei test.

Inoltre, è stato stabilito che “non sono oggetto di comunicazione gli affidamenti delle forniture di beni, sistemi e servizi Ict destinate alle reti, ai sistemi informativi e ai servizi informatici per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati e i casi di deroga stabiliti dal medesimo regolamento con riguardo alle forniture di beni, sistemi e servizi Ict per le quali sia indispensabile procedere in sede estera”.

Le modifiche apportate al Dl. n. 105/2019 in sede di conversione estendono l’ambito operativo delle norme in tema di poteri speciali esercitabili dal Governo nei settori ad alta intensità tecnologica 5G nonché in materia di esercizio di poteri speciali cd. “Golden Power”. Infatti, il nuovo art. 4-bis, riprende ed integra le previsioni del precedente Dl. n. 64 del 2019, non convertito in legge e modifica il Dl. n. 21/2012 in tema di poteri speciali del Governo nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell’energia, dei trasporti e delle comunicazioni.

In particolare, tra le principali modifiche introdotte dall’art. 4-bis si segnalano i poteri in capo al Governo nella valutazione dell’acquirente qualora sia un soggetto esterno all’Unione Europea:

  • che l’acquirente sia direttamente o indirettamente controllato dall’amministrazione pubblica, compresi organismi statali o forze armate, di un Paese non appartenente all’Unione Europea, anche attraverso l’assetto proprietario o finanziamenti consistenti;
  •  l’acquirente sia già stato coinvolto in attività che incidono sulla sicurezza o sull’ordine pubblico in uno Stato membro dell’Unione Europea;
  • che vi sia un grave rischio che l’acquirente intraprenda attività illegali o criminali.

Un’ulteriore modifica è stata apportata alla sezione di norme che disciplinano le modalità e le tempistiche delle informative che dovranno esser inviate al Governo affinché possa procedere con le valutazioni di competenza e eventualmente apporre il veto. Infatti, entro 10 giorni dalla conclusione di un contratto o accordo, l’impresa che ha acquisito notifica alla Presidenza del Consiglio dei ministri un’informativa completa.

In caso si rendessero necessarie verifiche tecniche relativamente a possibili fattori di vulnerabilità, il Presidente del Consiglio può prorogare di ulteriori venti giorni il termine stabilito (trenta giorni) per l’esercizio del potere di veto o l’imposizione di specifiche prescrizioni.

In caso di inosservanza dell’obbligo di notifica stabilito possono essere inflitte “sanzioni amministrative pecuniarie fino al 150% del valore dell’operazione e comunque non inferiore al 25% del medesimo valore”.

All’art. 2 del Dl. n. 21/2012 è stabilito che attraverso i Dpcm., redatti su proposta del Ministro dell’economia e delle finanze, del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti, di concerto con il Ministro dell’interno, con il Ministro degli affari esteri e della cooperazione internazionale e con i Ministri competenti per settore, sono individuati:

  • “le reti e gli impianti, ivi compresi quelli necessari ad assicurare l’approvvigionamento minimo e l’operatività dei servizi pubblici essenziali, i beni e i rapporti di rilevanza strategica per l’interesse nazionale nei settori dell’energia, dei trasporti e delle comunicazioni;
  • ai fini della verifica in ordine alla sussistenza di un pericolo per la sicurezza e l’ordine pubblico, compreso il possibile pregiudizio alla sicurezza e al funzionamento delle reti e degli impianti e alla continuità degli approvvigionamenti, i beni e i rapporti di rilevanza strategica per l’interesse nazionale”.

Infine, le modifiche apportate rinnovano il significato di “soggetto esterno all’Unione europea”, intendendo:

  • qualsiasi persona fisica o persona giuridica che non abbia la residenza, la dimora abituale, la sede legale o dell’amministrazione ovvero il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo o che non sia comunque ivi stabilita;
  • qualsiasi persona giuridica che abbia stabilito la sede legale o dell’amministrazione o il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo, o che sia comunque ivi stabilita, e che risulti controllata, direttamente o indirettamente, da una persona fisica o da una persona giuridica di cui alla lett. a);
  • qualsiasi persona fisica o persona giuridica che abbia stabilito la residenza, la dimora abituale, la sede legale o dell’amministrazione ovvero il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo, o che sia comunque ivi stabilita, qualora sussistano elementi che indichino un comportamento elusivo rispetto all’applicazione della disciplina di cui al presente Decreto.

Related Articles

Partenariato pubblico-privato: se un’opera di investimento è stata completata, l’Ente Locale non può rilasciare garanzia fideiussoria

Nella Delibera n. 84 del 12 giugno 2017 della Corte dei conti Puglia, un Sindaco chiede un parere sulla normativa

Ici: Scuole paritarie, l’agevolazione spetta solo se l’attività è svolta con modalità non commerciale

Nella Sentenza n. 13968 dell’8 luglio 2016 della Corte di Cassazione, la controversia concerne l’impugnazione di un avviso di accertamento

Personale: la Corte Valle d’Aosta conferma l’illegittimità del trasferimento da una Società “in house” ad un Ente pubblico

Nella Delibera n. 10 del 10 agosto 2017 della Corte dei conti Valle d’Aosta, la questione controversa in esame riguarda

Non ci sono commenti per questo articolo

Scrivi un commento
No Comments Yet! You can be first to comment this post!

Only registered users can comment.