Cyber Security: sfide per il Giurista d’Impresa

Già nei primi mesi del 2021 si sono registrate importanti novità in tema di Perimetro di Sicurezza Nazionale Cibernetica, dandosi seguito così al percorso attuativo dello stesso definito dal Decreto Legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla Legge 18 settembre 2019, n. 133, ed avviato dal Decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131 recante il Regolamento in materia di perimetro di sicurezza nazionale cibernetica, entrato vigore il 5 novembre, con il quale:

• sono state individuate le caratteristiche e i settori di attività dei soggetti da includere nel Perimetro;
• sono state definite le modalità e i criteri procedurali di individuazione di tali soggetti;
• è stato istituito il Tavolo interministeriale per l’attuazione del Perimetro;
• sono stati definiti i criteri per la predisposizione, l’aggiornamento e l’invio degli elenchi delle reti, dei sistemi informativi e dei servizi informatici impiegati per lo svolgimento di servizi e funzioni essenziali per lo Stato (c.d. beni ICT) (di seguito, per brevità, il “DPCM n. 131/2020”).

Dopo l’approvazione del DPCM n. 131/2020 si stanno compiendo i primi passi verso l’attuazione della normativa in questione, tra cui riteniamo utile evidenziare:

• l’approvazione, da parte della Presidenza del Consiglio dei Ministri il 29 gennaio 2021, di un ulteriore decreto attuativo che, rendendo operativi il Centro di Valutazione e Certificazione Nazionale (CVCN), istituito presso il Ministero dello Sviluppo Economico, e gli altri centri di valutazione (CV), istituiti presso il Ministero degli Interni ed il Ministero della Difesa, definisce le procedure, le modalità e i termini con cui tali centri potranno procedere alla verifica e valutazione dei beni, sistemi e strumenti ICT, che i soggetti inclusi nel Perimetro (ossia soggetti privati o pubblici che esercitano una funzione essenziale dello Stato o prestano un servizio essenziale alle attività fondamentali per l’interesse dello Stato, operanti nel settore interno, difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche ed enti previdenziali/lavoro, cfr. artt. 2 e 3 del DPCM n. 131/2020) intendono acquisire, per scongiurare eventuali rischi alla sicurezza nazionale dovuti al malfunzionamento, interruzione e/o uso improprio di tali beni (di seguito, per brevità, il “Decreto”); 
• l’esame in corso da parte del Parlamento dello “Schema di Decreto del Presidente del Consiglio dei Ministri recante regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza” (di seguito, per brevità, lo “Schema di Decreto”).

In particolare, per quel che riguarda il Decreto, esso:

• definisce le procedure, le modalità e i termini a cui i soggetti inclusi nel Perimetro devono attenersi qualora intendano procedere all’affidamento di forniture di beni ICT destinati ad essere impiegati sulle reti, sui sistemi informativi e per lo svolgimento dei servizi informatici, appartenenti a categorie da individuarsi, sulla base di criteri di natura tecnica, da un apposito decreto del Presidente del Consiglio dei ministri;
•  stabilisce le procedure, le modalità e i termini con cui i fornitori di tali beni ICT assicurano collaborazione al CVCN e ai CV per l’effettuazione dei test da questi richiesti;
• definisce le procedure, le modalità e i termini con cui il Ministero dello Sviluppo Economico e la Presidenza del Consiglio dei ministri svolgono le attività di ispezione e verifica.

È quindi previsto ad esempio che:

• prima dell’avvio delle procedure di affidamento o della conclusione dei contratti di fornitura, i soggetti inclusi nel Perimetro ne diano comunicazione al CVCN o ai CV;
• successivamente a tale comunicazione, debbano articolarsi tre diverse fasi consistenti nelle verifiche preliminari, nella preparazione dei test e nell’esecuzione dei test di hardware e software;
• le spese per le attività di valutazione dei CVCN e CV da svolgersi in appositi laboratori siano a carico di chi fornisce i beni ICT;
• i soggetti inclusi nel Perimetro abbiano a disposizione non più di un’ora per notificare al Computer Security Incident Response Team (CSIRT) o al Dipartimento informazioni per la sicurezza (DIS) i cyber incidenti gravi e massimo sei ore i cyber incidenti meno gravi.

Per quel che riguarda invece lo Schema di Decreto, esso si occupa nei suoi 11 articoli del tema delle notifiche degli incidenti aventi impatto sui beni ICT e delle relative misure di sicurezza e nei suoi Allegati A, B e C, rispettivamente, della classificazione degli incidenti dai meno gravi ai più gravi, anche tenuto conto della tempistica occorrente per una risposta efficace, dell’individuazione delle misure di sicurezza articolate in funzioni, categorie, sottocategorie, punti e lettere e dell’elencazione delle misure minime di sicurezza per la tutela delle informazioni.

In dettaglio, seppur sinteticamente, lo Schema di Decreto prevede quanto segue:

• i soggetti inclusi nel Perimetro, al verificarsi di uno degli incidenti con impatto su un bene ICT di propria pertinenza fra quelli indicati nell’Allegato A, devono procedere a notificarlo al CSIRT italiano, secondo le modalità da questo specificate, entro un termine, decorrente dal momento in cui tali soggetti ne vengono a conoscenza, che varia a seconda della gravità dello stesso: sei ore per gli incidenti della Tabella 1 (appartenenti alle Categorie infezione, guasto, installazione, movimenti laterali e azioni sugli obiettivi); un’ora per gli incidenti della Tabella 2 (appartenenti alle Categorie azioni sugli obiettivi e disservizio) (art. 3);
• su richiesta del CSIRT italiano, il soggetto notificante, entro le sei ore successive, deve aggiornare la notifica, salvo che l’autorità giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa (art. 3);
• il soggetto notificante deve definire ed avviare i piani di attuazione dell’attività di ripristino dei beni ICT impattati dall’incidente, dandone tempestiva comunicazione al CSIRT italiano e, su richiesta dello stesso, trasmettere entro i successivi trenta giorni una relazione tecnica illustrativa degli elementi significativi dell’incidente, fra cui le conseguenze dell’impatto sui beni ICT derivanti dall’incidente e le azioni intraprese per porvi rimedio, salvo che l’autorità giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa (art. 3);
• i soggetti inclusi nel Perimetro possono notificare, su base volontaria, gli incidenti relativi ai beni ICT non previsti nell’Allegato A ovvero gli incidenti indicati nel medesimo Allegato A ma relativi a reti, sistemi informativi e servizi informatici di propria pertinenza diversi dai beni ICT (art. 4);
• il DIS inoltra le notifiche ricevute ai soggetti istituzionali individuati nell’art. 5 (art. 5);
• i soggetti inclusi nel Perimetro devono adottare (i) sui beni ICT di propria pertinenza le misure di sicurezza elencate nell’Allegato B, comunicandone l’adozione e le relative modalità al DIS entro i diversi termini specificamente previsti, le quali possono essere dagli stessi adeguate in caso di aggiornamento dell’elenco dei beni ICT (art. 8), e (ii) sulle informazioni di cui all’art. 9 le misure di livello meno elevato elencate nell’Allegato C, ferma restando l’adozione delle misure di livello più elevato di cui all’Allegato B entro i termini indicati nell’art. 8 (art. 9).

Sono i primi passi verso una normativa che si pone tra le più innovative in Europa, volta a creare reti sicure e professionisti sempre più capaci di gestire una compliance integrata. Pertanto, il giurista d’impresa sarà chiamato ad un nuovo sforzo all’interno di tutte quelle aziende che saranno coinvolte nell’applicazione di questo nuovo sistema di compliance ossia si dovrà occupare, presumibilmente con il Compliance Officer ove presente, di individuare prima e implementare poi le modalità operative con le quali integrare il sistema di compliance previsto da questo nuovo intervento normativo con gli altri sistemi di compliance che possono essere già presenti in azienda e che per alcuni aspetti si sovrappongono per alcune fasi.

In particolare, si suggerisce di valutare l’opportunità di redigere, ove non ancora fosse stato fatto, una procedura aziendale di cybersecurity in modo che attraverso di essa si possa in primo luogo inventariare le aree di integrazione e si possa dotare l’azienda di uno strumento per la gestione operativa degli adempimenti appunto in un contesto integrato. A tal proposito, diventerà ancora più essenziale l’integrazione dell’analisi del rischio per queste finalità rispetto ad altri sistemi di gestione dei rischi aziendali ove già presenti (Modello 231/ERM/GPRD) e si porrà ancora di più all’attenzione delle aziende l’opportunità di dotarsi di un Cyber Security Compliance Officer previa verifica del giusto inquadramento nell’organigramma aziendale e i requisiti richiesti.