Le nuove sfide della compliance: la normativa sul Perimetro di Sicurezza Nazionale Cibernetica

Il 5 novembre 2020 è entrato in vigore il Decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131 recante il “Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell’articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133”, pubblicato nella Gazzetta Ufficiale n. 261 del 21 ottobre 2020.

Si tratta del primo dei quattro previsti decreti attuativi del Perimetro di sicurezza nazionale cibernetica, istituito dal Decreto Legge 21 settembre 2019, n. 105, convertito con modificazioni dalla Legge 18 settembre 2019, n. 133, con l’obiettivo di assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle pubbliche amministrazioni, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale dello Stato o la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, dal cui malfunzionamento, interruzione o utilizzo improprio può derivare un pregiudizio per la sicurezza nazionale.

Il Decreto in argomento, in particolare, individua le caratteristiche e i settori di attività dei soggetti da includere nel Perimetro nazionale di sicurezza cibernetica; definisce le modalità e i criteri procedurali di individuazione di tali soggetti; istituisce il Tavolo interministeriale per l’attuazione di tale Perimetro; e definisce i criteri per la predisposizione, l’aggiornamento e l’invio degli elenchi delle reti, dei sistemi informativi e dei servizi informatici.

Premesso che il Perimetro di sicurezza nazionale cibernetica deve essere composto da soggetti, privati o pubblici, che esercitano una funzione essenziale dello Stato o prestano un servizio essenziale alle attività fondamentali per l’interesse dello Stato, con l’art. 2 il Decreto chiarisce innanzitutto i concetti di funzione e di servizio essenziale per lo Stato, specificando che:

• (i) un soggetto esercita una funzione essenziale dello Stato laddove l’ordinamento gli attribuisca compiti volti ad assicurare la continuità dell’azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti;
• e (ii) un soggetto, pubblico o privato, presta un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, laddove ponga in essere attività strumentali all’esercizio di funzioni essenziali dello Stato, attività necessarie per l’esercizio e il godimento dei diritti fondamentali, attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica, attività di ricerca e relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale.

In secondo luogo, con l’art. 3 il Decreto individua i settori di attività nell’ambito dei quali i predetti soggetti devono operare per poter essere inclusi nel Perimetro in questione, ossia quello governativo, interno, difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche ed enti previdenziali/lavoro. La prima individuazione dei soggetti da includere nel Perimetro spetta alle amministrazioni competenti per ciascuno dei predetti settori di attività, indicate al comma 2 dell’art. 3 del Decreto, secondo le modalità e i criteri dettagliati nell’art. 4 del Decreto stesso, consistenti in sintesi:

• nella identificazione delle funzioni e dei servizi essenziali per lo Stato di diretta pertinenza o esercitati da soggetti vigilati o da operatori anche privati dipendenti da reti, sistemi informativi o servizi informatici, dalla cui interruzione o compromissione possa derivare un pregiudizio per la sicurezza nazionale;
• quanto agli effetti della predetta interruzione, nella valutazione dell’estensione territoriale della relativa funzione o servizio essenziale, del numero e tipologia di utenti potenzialmente interessati, degli eventuali livelli di servizio garantiti, delle possibili ricadute economiche e di ogni altro elemento rilevante;
• quanto agli effetti della predetta compromissione, nella valutazione delle conseguenze della perdita di disponibilità, integrità o riservatezza dei dati e delle informazioni trattati per lo svolgimento della relativa funzione o servizio essenziale, con riguardo a tipologia, quantità, sensibilità e scopo degli stessi;
• nella valutazione della possibile mitigazione della predetta interruzione o compromissione, in relazione sia al tempo necessario per il rispristino dello svolgimento della relativa funzione e servizio essenziale in condizioni di sicurezza, sia alla possibilità di assicurare o meno il loro svolgimento con modalità prive di supporto informatizzato o da parte di altri soggetti;
• nella individuazione delle funzioni e dei servizi essenziali per lo Stato per cui, in caso di interruzione o compromissione, il pregiudizio per la sicurezza nazionale è considerato massimo e le possibilità di mitigazione minime, nonché nella loro graduazione in ordine crescente;
• nella individuazione dei soggetti svolgenti i predetti servizi e funzioni.

I soggetti così individuabili vengono inseriti dalle suddette amministrazioni in una lista, trasmessa all’organismo tecnico di supporto al Comitato Interministeriale per la Sicurezza della Repubblica (c.d. CISR tecnico) e poi sottoposta al Comitato Interministeriale stesso (c.d. CISR), affinché quest’ultimo formuli la proposta alla base dell’atto amministrativo, adottato e periodicamente aggiornato dal Presidente del Consiglio dei Ministri, contenente appunto l’elencazione dei soggetti inclusi nel Perimetro in questione e che rimarrà secretato.  

A supporto del CISR tecnico è inoltre istituito, ai sensi dell’art. 6 del Decreto, il Tavolo interministeriale per l’attuazione del Perimetro, presieduto da un vice direttore generale del Dipartimento delle Informazioni per la Sicurezza (DIS) della Presidenza del Consiglio dei ministri e composto da due rappresentanti di ciascuna amministrazione CISR (e cioè la Presidenza del Consiglio dei ministri e i Ministeri di cui all’art. 5 della legge 3 agosto 2007, n. 1249), da un rappresentante dell’Agenzia Informazioni e Sicurezza Esterna, da un rappresentante dell’Agenzia Informazioni e Sicurezza Interna, nonché da due rappresentanti degli altri Ministeri di volta in volta interessati (di cui almeno uno in possesso di competenze tecnico-specialistiche nella materia della sicurezza cibernetica), che deve riunirsi periodicamente almeno una volta ogni sei mesi e può essere convocato d’iniziativa del presidente o su richiesta di un componente designato.

Sono previsti, infine, degli obblighi in capo ai soggetti inclusi nel Perimetro. Questi infatti:

• (i) devono predisporre e aggiornare, almeno annualmente, sia un elenco di beni ICT di rispettiva pertinenza (ossia l’insieme di reti, sistemi informativi e servizi informatici, o parti di essi, di ogni natura, impiegati per lo svolgimento dei servizi e funzioni essenziali), specificandone la composizione, secondo i criteri individuati nel comma 2 dell’art. 7 del Decreto, sia un elenco contenente la descrizione dell’architettura e componentistica relative ai beni ICT di cui al predetto elenco, secondo le modalità e i criteri di cui all’art. 8 del Decreto;
• e (ii) entro sei mesi dal ricevimento della comunicazione di avvenuta iscrizione nell’elenco dei soggetti inclusi nel Perimetro, devono inviare, tramite una piattaforma digitale costituita presso il Dipartimento delle Informazioni per la Sicurezza, i due predetti elenchi alla struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione ovvero al Ministero dello sviluppo economico, a seconda che siano soggetti pubblici o privati.

Sebbene, allo stato, il processo attuativo del Perimetro di Sicurezza Nazionale Cibernetica sia ancora in itinere – senza dubbio rallentato dall’emergenza epidemiologica da COVID-19 in corso - il Decreto rappresenta indubbiamente il primo significativo passo verso il completamento di tale processo attuativo, ponendo il nostro Paese all’avanguardia in materia di sicurezza e difesa cibernetica di settori vitali per l’intera nazione e la loro continuità operativa.  L’introduzione di una normativa avanzata di settore lancia però nuove sfide per i compliance officer delle aziende italiane strategiche e richiede competenze ed expertise tecnico giuridici da costruire e sviluppare. Si aprono nuove competenze cyber per il giurista del XXI secolo che deve accettare a viso aperto questa sfida all’innovazione e alla multidisciplinarietà.