Entra in vigore il DPCM sulla cybersecurity
Il Decreto del Presidente del Consiglio dei Ministri n. 131 del 30 luglio 2020 contenente il “Regolamento relativo al Perimetro Nazionale di Sicurezza Cibernetica” (di seguito il “D.P.C.M.”) è stato pubblicato sulla Gazzetta Ufficiale Italiana ed è entrato in vigore dal 5 novembre 2020.
Il D.P.C.M. ha una rilevanza cruciale, in quanto è il primo dei quattro decreti previsti in attuazione del Decreto Legge n. 105 del 21 settembre 2019, convertito con modificazioni dalla legge 18 novembre 2019, n. 133, istitutivo del Perimetro Nazionale Italiano di Sicurezza Cibernetica (di seguito il “Perimetro di Sicurezza Cibernetica”).
Il trattamento dell’impotenza consiste in una serie d’interventi di tipo farmacologico, psicologico e nei casi più gravi, chirurgico, per poter permettere a un uomo di avere un’ erezione ottimale ed un’agevole penetrazione. I pazienti con impotenza da moderata a grave che non rispondono ai farmaci PDE-5 in frmacia pillola-online.com e si affidano a iniezioni o altri trattamenti topici possono diventare più responsivi ai farmaci orali (viagra) dopo la terapia con onde d’urto. Il sildenafil (Viagra) è un inibitore della fosfodiesterasi 5, una sostanza contenuta nei tessuti erettili responsabile della perdita dell’erezione. Provoca vasodilatazione e quindi un maggior afflusso di sangue in vari distretti del corpo tra cui il pene.
Con il Perimetro di Sicurezza Cibernetica, il Governo intende stabilire un elevato standard di sicurezza per i gestori delle reti e dei sistemi informativi, sia pubblici che privati, che operano sul territorio nazionale e che esercitano una funzione o un servizio essenziale e da cui dipende il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato.
Secondo il calendario previsto dalla legge istitutiva (che è stato gravemente rallentato dalla pandemia Covid-19), questo D.P.C.M. intende stabilire i criteri per individuare quali soggetti pubblici e privati saranno inclusi nel Perimetro di Sicurezza Cibernetica. Inoltre, sempre con questo D.P.C.M. a tali soggetti è imposta la creazione di un elenco delle reti, dei sistemi informativi e dei servizi informatici per le attività incluse nel Perimetro di Sicurezza Cibernetica.
Dopo questo D.P.C.M. ce ne saranno altri tre che daranno piena attuazione al Perimetro di Sicurezza Cibernetica, anche attraverso l’inserimento di specifiche misure di sicurezza.
Criteri per l’individuazione dei soggetti da includere nel perimetro di sicurezza cibernetica
L’art. 2 del D.P.C.M. stabilisce i criteri con cui i Ministeri competenti individueranno i soggetti che svolgono una funzione essenziale per lo stato (nello specifico, i cui compiti sono finalizzati alla continuità dell’azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti) ed i servizi essenziali (in particolare: attività strumentali all’esercizio di funzioni essenziali dello Stato; attività necessarie per l’esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica; attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale) per lo Stato.
Inoltre, l’art. 3 dello stesso D.P.C.M. individua le aree di attività in cui i soggetti da inserire nel Perimetro di Sicurezza Cibernetica. Queste sono difesa; spazio e aerospazio; energia; telecomunicazioni; economia e finanza; trasporti; servizi digitali; tecnologie critiche (ad esempio, robotica e intelligenza artificiale).
L’elenco dei soggetti individuati ai sensi degli articoli 2 e 3 potrà essere sottoposto a segreto di stato senza essere messo a disposizione del pubblico da parte Presidenza del Consiglio dei Ministri, con l’obiettivo di preservare i soggetti inclusi nel Perimetro di Sicurezza Cibernetica con modalità idonee a garantire la sicurezza attraverso opportune tecniche organizzative.
Gli obblighi per i soggetti inclusi nel perimetro di sicurezza cibernetica
Le disposizioni di attuazione del Perimetro di Sicurezza Cibernetica richiedono un confronto con quelle previste dalla Direttiva UE 2016/1148 sulla sicurezza delle reti e dell’informazione (di seguito “NIS”), recepita in Italia con il Decreto Legislativo n. 65/2018.
La prima differenza tra NIS ed il Perimetro di Sicurezza Cibernetica riguarda la notifica in caso di incidente che deve avvenire entro sei ore dall’evento (invece di 24 ore, come previsto nella NIS), al Computer Security Incident Response – Team Italia (“CSIRT-Italia”) all’interno del Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei Ministri (“DIS”). A tal proposito, si segnala la rigorosa definizione di “incidente” di cui all’art. 1, (h), del D.P.C.M., come ” evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici” che richiede un elevato livello di controllo su ogni aspetto dei sistemi ICT.
Inoltre, in caso di “grave violazione”, sarà necessario l’intervento del Nucleo per la Sicurezza Cibernetica (“NSC”).
Qualora un soggetto incluso nel Perimetro di Sicurezza Cibernetica intenda procedere all’approvvigionamento di beni, sistemi e servizi ICT da applicare sulle reti, sui sistemi informativi e per lo svolgimento di servizi IT, tale soggetto dovrà rivolgersi al Centro di Valutazione e Certificazione Nazionale (“CVCN”).
L’art. 7 del D.P.C.M. stabilisce che ogni soggetto incluso nel Perimetro di Sicurezza Cibernetica è tenuto a redigere ed aggiornare annualmente l’elenco delle reti, dei sistemi informativi e dei servizi informatici per le attività incluse nel Perimetro di Sicurezza Cibernetica, identificando quelli destinati a svolgere funzioni e servizi essenziali.
Oltre all’elenco, è richiesto di effettuare una valutazione del rischio su tali asset ICT.
Conclusioni
L’attenzione prestata dal legislatore alla sicurezza informatica dimostra una matura comprensione dei pericoli del cyberspace e di come le attività criminali pepetrate in tale spazio possano incidere pericolosamente su aspetti cruciali della vita quotidiana e del business.
Il Perimetro di Sicurezza Cibernetica è una misura essenziale per la sicurezza nazionale, nonché un passo fondamentale verso la completa digitalizzazione delle aziende, della pubblica amministrazione e del cittadino, senza pregiudicarne la affidabilità e la sicurezza.
Quando il Perimetro di Sicurezza Cibernetica sarà pienamente operativo, l’altissimo standard di sicurezza informatica stabilito dalla NIS, dallo European Cybersurity Act (nonché dal GDPR) sarà esteso di fatto a tutti soggetti operanti attraverso sistemi digitali complessi. Il risultato sarà quello di una maggiore sicurezza quale presupposto ineludibile dell’evoluzione digitale orientata agli standard internazionali di sicurezza (ad esempio ISO/IEC 27001:2013).
I prossimi passi verso il Perimetro di Sicurezza Cibernetica saranno fatti dai Ministeri, che identificheranno gli enti all’interno del Perimetro di sicurezza informatica, e dalla Presidenza del Consiglio dei Ministri, che redigerà i successivi D.P.C.M. per dare piena attuazione alla legge.
