L’importanza del Perimetro di Sicurezza Nazionale Cibernetico per la competitività delle aziende strategiche Italiane

Il Perimetro di Sicurezza Nazionale Cibernetico, rappresenta per il nostro Paese una innovazione epocale nella normativa di settore ed una opportunità unica per accrescere la competitività delle imprese strategiche del nostro paese. La sicurezza cibernetica è uno dei fondamentali ambiti sui quali il Piano nazionale di ripresa e resilienza (PNRR) si è concentrato. La sicurezza cibernetica rappresenta infatti il primo dei 7 investimenti della Digitalizzazione della PA, pilastro principale della componente 1 "Digitalizzazione, innovazione e sicurezza nella PA" compresa nella Missione 1 "Digitalizzazione, innovazione, competitività, cultura e turismo".

Per dare un breve quadro delle fonti normative sulla materia, il primo tassello a livello europeo è stato dato dalla direttiva (UE) 2016/1148 del 6 luglio 2016  (c.d. direttiva NIS - Network and Information Security") con la finalità precipua di assicurare un "livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea". La direttiva NIS è stata attuata in Italia attraverso il decreto legislativo n. 65 del 18 maggio 2018, a cui è seguito il decreto legge n. 105 del 2019 (modificato poi in parte dal decreto legge n. 162 del 2019) che ha formalmente istituito, tra le altre cose, un perimetro di sicurezza nazionale cibernetica. In attuazione del decreto legge n. 105 sopra ricordato, sono stati emanati il DPCM 30 luglio 2020, n. 131, che ha fornito i criteri per l'individuazione dei soggetti inclusi nel perimetro nazionale di sicurezza cibernetica.

In maniera molto sintetica e generale può rientrare nel Perimetro di Sicurezza Nazionale Cibernetica qualunque soggetto pubblico o privato che fornisce un “servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato”. Al riguardo può considerarsi essenziale un servizio che ponga in essere attività strumentali all’esercizio di funzioni essenziali dello Stato; attività necessarie per l’esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica; attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore di rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.

I soggetti suddetti sono individuati quindi tra gli operatori dei vari settori, tra cui senza meno, spazio e aerospazio energia, telecomunicazioni, trasporti, interno, difesa, economia e finanza, servizi digitali, tecnologie critiche e enti sanitari, previdenziali. Gli stessi, entro sei mesi dalla ricezione della comunicazione che li inserisce nel perimetro devono comunicare le reti, i sistemi informativi ed i servizi informatici (beni ICT) che sono impiegati rispettivamente per l’erogazione delle funzioni e dei servizi essenziali dello Stato inclusi nel perimetro.

Si alza, quindi, ulteriormente il livello di resilienza cibernetica degli attori maggiormente sensibili ai fini della sicurezza nazionale. Dal  24 giugno, il perimetro di sicurezza nazionale cibernetica è iniziato ad essere “operativo” nei confronti dei soggetti inseriti il 22 dicembre scorso. Questi ultimi saranno, quindi, tenuti ad applicare le misure di sicurezza legislativamente previste e a notificare allo CSIRT italiano gli incidenti che si dovessero manifestare. La lista delle misure di sicurezza e la tassonomia degli incidenti per cui il soggetto è tenuto a notificare sono state pubblicate venerdì 11 Giugno 2021, in Gazzetta Ufficiale n. 138. Per permettere una adeguata organizzazione ai soggetti inclusi nel perimetro per ottemperare alle procedure di notifica di incidenti, queste ultime procederanno in via sperimentale fino al 31 Dicembre 2021. Questo nuovo DPCM oltre a prevedere la notifica obbligatoria degli incidenti gravi e meno gravi individuati nell’allegato A (gravi entro un’ora per quelli  più gravi ed entro 6 ore per quelli meno gravi). E’ previsto un periodo di notifica sperimentale fino al 31.12.2021 e un sistema di notifiche volontarie per quegli incidenti al di fuori di quelli descritti in allegato A. Inoltre il DPCM prevede, come detto, l’obbligo di adottare determinate misure e standard di sicurezza per i beni ICT notificati. Tali misure di sicurezza devono essere adottate entro due mesi per quei beni indicati in allegato C al decreto ed entro 6 mesi per quelli indicati in allegato B.

Inoltre è stato pubblicato nella Gazzetta Ufficiale n. 140 del 14 giugno 2021 il D.L. 14 giugno 2021, n. 82 con Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale, decreto che era stato approvato lo scorso 10 giugno 2021. Lo scopo del provvedimento legislativo è quello di fronteggiare il rischio cibernetico che oggi rappresenta uno dei principali rischi per la sicurezza nazionale.

La cybersecurity, infatti, rappresenta un elemento indefettibile per lo sviluppo dell’economia rappresentando un fattore fondamentale per lo sviluppo e la  crescita del paese. Presso la Presidenza del Consiglio dei Ministri verrà istituito il Comitato interministeriale per la cybersicurezza. Il Comitato avrà, quindi, il compito di affiancare l’opera del Consiglio dei Ministri nelle scelte strategiche, ma anche quello di suggerire all’esecutivo le azioni da intraprendere nell’attuazione di politiche tese a garantire la sicurezza nazionale. Oltre al Comitato interministeriale per la Cybersecurity il decreto all’art. 8 prevede l’istituzione del Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, per la gestione della prevenzione di eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento. Tale ente sarà istituito presso l’Agenzia per la cybersicurezza, la quale costituisce la principale novità del Decreto in esame.

L’art. 7 del D.L. 82/2021 istituisce, infatti, l’Agenzia Nazionale per la sicurezza cibernetica, ente di diritto pubblico. L’Agenzia sarà l’Autorità nazionale competente in materia di sicurezza cibernetica per le finalità di cui al decreto legislativo NIS, e sarà l’ente competente per le funzioni ispettive e per le irrogazioni delle sanzioni previste nel decreto attuativo della direttiva europea. L’agenzia diventerà altresì l’Ente deputato al rilascio delle certificazioni come previsto dal Regolamento Europeo 2019/881 che prevede l’obbligo per gli Stati membri di nominare l’autorità nazionale di certificazione a cui sono attribuiti una serie di poteri minimi, tra cui quelli istruttori, ispettivi e sanzionatori (Art. 58 del predetto regolamento). Il Decreto, poi, individua l’Agenzia come l’Ente di riferimento in materia di sicurezza cibernetica al quale passano le numerose competenze prima attribuite ad altri organi e in particolare quelle che erano state attribuite a:

• al Ministero dello Sviluppo Economico in materia di sicurezza cibernetica;
• al DIS (Dipartimento delle informazioni per la sicurezza);
• alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica;
• all’Agenzia dell’Italia digitale.

Tra i compiti affidati alla nuova agenzia rientrano lo sviluppo di politiche di prevenzione, analisi e monitoraggio dei pericoli, la redazione del piano annuale di sicurezza cibernetica nazionale, la promozione di un quadro giuridico e normativo di riferimento, la partecipazione a esercitazioni nazionali e internazionali per testare l’adeguatezza delle misure di sicurezza, lo svolgimento di funzioni consultive, il coordinamento della cooperazione internazionale in funzione di sicurezza cibernetica, la collaborazione con il modo accademico e della ricerca.

Si tratta dunque di una normativa innovativa che si prefigge di prevenire con mezzi adeguati il rischio cyber, anche attraverso la segregazione e compartimentalizzazione dei sistemi e delle reti informatiche e più in generale di quelli che la normativa in questione denomina come beni ICT. Come tutte le attività di compliance, affinché siano efficaci, richiedono la redazione di programmi di prevenzione e risk management, aggiornamenti periodici degli stessi, corsi di formazione per il personale, training specifici, e attività pratiche come ad esempio il red teaming, con simulazioni di attacchi cibernetici reali posti in essere all’insaputa dell’utente. Tali attività devono poi essere affiancate e supportate da una effettiva sensibilizzazione del management e delle funzioni apicali dell’azienda, che devono assicurare budget congrui rispetto all’importanza delle attività di prevenzione necessarie a fronteggiare i rischi cibernetici. Va ricordato al riguardo che la violazione di tali normative è reato presupposto ai sensi del D.lgs. 231/2001 e la compliance cyber deve quindi necessariamente integrarsi con quella volta al contrasto degli illeciti in ambito aziendale.    

A tal fine, un ruolo sempre più importante assumerà il CISO, che dovrà essere preferibilmente indipendente dall’IT aziendale, riportare ai vertici ed avere un proprio budget dedicato alla sicurezza cyber. Nei prossimi anni dovranno essere cresciute e formate queste professionalità che ancora scarseggiano nel nostro mercato e che costituiranno un interessante sbocco professionale per tanti giovani.  Si tratta di competenze ibride tecnico/giuridiche, che devono gestire il processo e le formalità legali ma altresì essere padroni delle fondamentali conoscenze tecniche dei sistemi da proteggere.

Un altro aspetto giuridico di grande interesse sollevato da questa nuova normativa è quello con la filiera dei fornitori. I temi del controllo della filiera, della qualificazione dei fornitori, delle certificazioni, della gestione degli elementi di riservatezza (o addirittura classificazione) gettano nuovi interrogativi su come tali fattori possono influenzare l’approvvigionamento di beni e servizi e la gestione delle gare di appalto degli stessi. La normativa sul Perimetro pone pertanto il nostro Paese all’avanguardia in materia di sicurezza e difesa cibernetica di settori vitali per l’intera nazione e la loro continuità operativa.  Essa lancia nuove sfide per i compliance officer delle aziende italiane strategiche e richiede competenze ed expertise tecnico giuridici da costruire e sviluppare. Si aprono nuove competenze cyber per il giurista del XXI secolo che deve accettare a viso aperto questa sfida all’innovazione e alla multidisciplinarietà.