Il 22 Settembre 2019 è entrato in vigore il d.l. n. 105 del 21 Settembre 2019, recante “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”.
Il decreto, adottato in via d’urgenza, stabilisce misure finalizzate ad implementare gli standard di sicurezza dei sistemi informatici, minimizzando i rischi di corrosione delle reti.
Alla base dell’intervento legislativo, v’è il costante incremento del tasso di ‘cybercrime’ e la parallela proliferazione di normativa europea sul tema (i.e., ‘Cybersecurity Act’).
Si tratta dunque di una previsione di indiscutibile valore, tenuto conto che il passaggio al digitale tocca oggi ogni realtà in modo sempre più incisivo.
In particolare, con il decreto in commento è stato introdotto un sistema di organi, procedure e misure volte ad incrementare il livello di sicurezza delle reti, dei sistemi informativi e informatici di pubbliche amministrazioni, enti e operatori nazionali pubblici e privati che esercitino una funzione essenziale dello Stato ovvero che assicurino un servizio essenziale tramite una rete o un sistema informatico dal cui mal funzionamento potrebbe derivare un pregiudizio per la sicurezza nazionale. Per tal fine, allo scopo di assicurare un livello elevato di sicurezza delle reti, viene introdotto il concetto di “Perimetro di Sicurezza Nazionale Cibernetica”.
Attraverso il Centro di Valutazione e Certificazione Nazionale (in breve, “CVCN”) del MiSE, viene altresì implementato un sistema di verifica delle condizioni di sicurezza e dell’assenza di rischi su prodotti, apparati e sistemi destinati ad essere utilizzati per il funzionamento di reti e infrastrutture ricomprese all’interno del Perimetro di Sicurezza Nazionale Cibernetica.
Tra le misure previste si segnalano, altresì, quelle volte a prevenire un duplice rischio di vulnerabilità, sia in relazione all’affidamento di forniture di beni, sistemi e servizi ICT, sia con riferimento all’integrità e alla sicurezza delle reti inerenti ai servizi di comunicazione elettronica a banda larga basata sulla tecnologia 5G.
Quanto al Procurement ICT, il sistema viene innovato dalla previa comunicazione al CVCN – a pena di sanzioni previste nel medesimo decreto – dell’intenzione di procedere all’affidamento di beni, forniture o servizi destinati ad essere impiegati per determinate attività; tra le quali si menzionano la protezione fisica e logica dei dati o l’integrità delle reti e dei sistemi informativi. Quanto al 5G, si introduce – a livello legislativo – la necessità di sviluppare un ambiente sicuro ed esente da vulnerabilità specie in vista dell’espansione della rete e del correlativo incremento della superficie esposta al rischio di ‘cyber attacchi’.
A completamento del quadro qui brevemente illustrato, il d.l. stabilisce che il Presidente del Consiglio dei Ministri, “[…] in caso di rischio grave ed imminente per la sicurezza nazionale connesso alla vulnerabilità delle reti, sistemi e servizi”, possa disporre “[…] secondo un criterio di proporzionalità, la disattivazione totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati” (cfr. art. 5).
Per consultare il testo integrale del d.l. n.105/2019, si rimanda al link: https://www.gazzettaufficiale.it/eli/id/2019/09/21/19G00111/sg