Il decreto-legge n° 105 del 21 settembre 2019 è stato approvato dalla Camera dei Deputati, con effetto sulle “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica”.
Questo provvedimento segna un deciso cambiamento nella gestione della sicurezza informatica a livello governativo e individua una serie di soggetti (enti pubblici, ma anche privati che svolgono attività rilevanti per la sicurezza nazionale) che dovranno sottostare a una serie di vincoli e controlli che se non rispettati saranno largamente sanzionati.
I cambiamenti
Le trasformazioni più evidenti apportate da questo decreto-legge riguardano in primis il passaggio delle competenze di verifica e controllo dall’Agid (Agenzia per l’Italia Digitale) alla Presidenza del Consiglio dei Ministri. Tuttavia, il contenuto pratico della normativa è ancora tutto da verificare in quanto il cosiddetto “perimetro” verrà infatti individuato con un Decreto del Presidente del Consiglio dei Ministri entro i prossimi quattro mesi. Tra massimo dieci mesi, invece, verrà promulgato il regolamento contenente gli elementi di merito riguardanti i seguenti livelli di sicurezza.- Politiche di sicurezza, struttura organizzativa e gestione del rischio.
- Mitigazione e gestione degli incidenti e della loro prevenzione, anche attraverso la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza.
- Protezione fisica e logica dei dati.
- Integrità delle reti e dei sistemi informativi.
- Gestione operativa, ivi compresa la continuità del servizio.
- Monitoraggio, test e controllo.
- Formazione e consapevolezza.
- Affidamento di forniture di beni, sistemi e servizi di Information and Communication Technology (ICT), anche mediante definizione di caratteristiche e requisiti di tipo generale.
I poteri del governo
Nella stessa normativa appare chiaro come chi non rispetterà gli standard prefissati incapperà in delle sanzioni tutt’altro che trascurabili che potranno arrivare fino a ben 1,8 milioni di euro. Pertanto, i controlli sono stati affidati a un Centro di Valutazione e Certificazione Nazionale (CVCN) presso il quale sono accreditati sia il Ministero della Difesa, sia quello dell’Interno. Il decreto, inoltre, prevede l’estensione del cosiddetto Golden Power (il potere speciale del governo di intervenire sulle scelte a livello di infrastrutture) alla rete 5G. Nel dettaglio, devono essere notificati al governo gli acquisti rilevanti, cioè in grado di determinare l’insediamento stabile dell’acquirente, in ragione dell’assunzione del controllo della società. A seguito della notifica, il Governo può ance esercitare poteri speciali imponendo condizioni e impegni diretti a garantire la tutela degli interessi essenziali dello Stato o addirittura opporsi all’acquisto della partecipazione. Altra prerogativa è che “in presenza di un rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e servizi, il Presidente del Consiglio dei Ministri ha il potere di eliminare, ove indispensabile e per il tempo strettamente necessario, lo specifico fattore di rischio o di mitigarlo, secondo un criterio di proporzionalità, disattivando totalmente o parzialmente, uno o più apparati o prodotti impiegati nelle reti e nei sistemi”. In sintesi, questa nuova norma risulta essere funzionale in relazione allo sviluppo e alla diffusione del 5G, soprattutto per quanto riguardo la fornitura di infrastrutture per la nuova rete. Qual è il tuo parere riguardo questo nuovo decreto? Pensi sia utile e adeguato ad affrontare le nuove sfide della sicurezza informatica? Esprimi il tuo punto di vista e nel frattempo scopri il corso di Ethical Hacker & Security Manager sul nostro sito www.musaformazione.it.
