di Francesco Ciaraffo
ROMA (Public Policy) – Telecom dovrà coinvolgere la funzione aziendale Security nei processi di governance, con particolare riferimento a tutti i processi decisionali afferenti ad attività ritenute rilevanti, e comunicare tempestivamente al comitato di monitoraggio aggiornamenti circa il numero di utenti serviti dai componenti oggetti di notifica. Sono due delle principali prescrizioni contenute nel dpcm, datato 7 agosto, preso in visione da Public Policy, con il quale il Governo è intervenuto in merito alla stipula di contratti da parte di Telecom con Huawei per l’acquisto di apparati di accesso radio, la loro manutenzione, e la fornitura di licenze e di supporto specialistico alla rete mobile.
Inoltre Telecom dovrà eseguire una nuova notifica nel caso in cui mutino le caratteristiche delle componenti oggetto di notifica, a seguito di modifiche strutturali (sia in termini architetturali e di interconnessione tra i sistemi che di aggiornamento software) e a livello di configurazione che, secondo le valutazioni del rischio condotte dall’operatore, siano rilevanti rispetto all’ambito di applicazione della normativa sul golden power. Telecom dovrà eseguire una nuova notifica quando verrà individuata l’esatta collocazione geografica di tali componenti, comunicando le coordinate geografiche e le altre informazioni necessarie per delimitare né la portata e fornendo una trasposizione su carta geografica comprensiva delle coperture spaziali offerte dei singoli nodi.
E ancora, Telecom, avvalendosi della funzione aziendale Security, dovrà “eseguire la progettazione e gestione della sicurezza relativa a componenti 5g tenendo conto delle indicazioni fornite dal 5g Infrastructure public private partnership. Inoltre dovrà: fornire evidenza delle modalità seguite nella selezione dei fornitori, sulla base di precisi indicatori di qualità che ne consentano la valutazione del livello di sicurezza intrinseco e processi di produzione, di delivery e di gestione del ciclo di vita dei prodotti. Queste valutazioni potranno essere effettuate dal notificante anche sulla base di documentazione acquisita presso il fornitore o rilasciata da enti di certificazione terzi rispetto ad esso, che attesti il rispetto di standard internazionali di qualità e sicurezza; garantire adeguate misure di controllo dell’accesso ai sistemi di gestione della rete a tutti i livelli adottando (fatti salvi documentati limiti tecnici delle piattaforme nudo o eventuali vincoli derivanti dal rispetto di specifiche di interoperabilità definite da soggetti di riferimento nel contesto 5g) sistemi di authentication, authorization e accounting centralizzati, meccanismi di autenticazione a due fattori, di cui uno preferibilmente biometrico e soluzioni di privileged access management.
E ancora, dovrà integrare contratti notificati con clausole che prevedano, a pena di risoluzione espressa, che la società possa: effettuare, anche tramite terzi processi di verifica e di controllo del codice sorgente e dei disegni hardware degli apparati; comunicare tempestivamente relativi risultati al comitato di monitoraggio; mettere a disposizione, ove richiesto, i codici sorgenti e disegni hardware dei componenti oggetto nido notifica al comitato di monitoraggio, nonché mettere a disposizione supporto nella verifica della loro corrispondenza con le implementazioni dei componenti stessi.
I contratti dovranno prevedere, a pena di risoluzione espressa, clausole in base alle quali i fornitori e la società si obblighino a non comunicare ad autorità governative estere o comunque a terzi dati e informazioni acquisite in relazione all’operazione notificata, salvo preventivo assenso del comitato di monitoraggio e i fornitori si obblighino a informare tempestivamente Telecom nei casi in cui sussistano ragionevoli indicazioni circa l’inadempimento all’obbligo di non comunicazione ad autorità estere.
Telecom dovrà anche elaborare un piano di diversificazione orizzontale e verticale per avviare un processo di diversificazione dei fornitori e promuovere la resilienza complessiva delle infrastrutture di rete 5g. Nel primo caso si dovrà valutare la sostenibilità di una strategia finalizzata all’impegno di soluzioni di produttori differenti all’interno delle diverse tipologie di componenti dell’infrastruttura di rete mentre nel piano verticale si dovrà valutare la sostenibilità di adottare soluzioni di fornitori diversi per gli strati hardware, di virtualizzazione e applicativo di ciascuna componente dell’infrastruttura di rete. Questo piano dovrà essere valutato in occasione della trasmissione della relazione di ottemperanza al comitato di monitoraggio.
Infine, Telecom dovrà: istituire e mantenere aggiornato il registro del personale che detiene il ruolo di amministratore degli apparati notificati; far eseguire a parte terza e competente, riconosciuta dal comitato di monitoraggio, con frequenza almeno annuale la valutazione delle vulnerabilità di sistemi oggetto di notifica punto l’esito di tali assessment di sicurezza Sara partecipato al comitato di monitoraggio in occasione delle comunicazioni periodiche dirette all’organismo; effettuare test e verifiche di sicurezza con cadenza almeno semestrale sui dispositivi a protezione dei collegamenti backhauling da effettuarsi in esito a valutazioni di rischio in aderenza agli standard e alle best practice di riferimento e segnalare al comitato di monitoraggio eventuali criticità riscontrate; condurre le attività di operation and maintenance sotto la supervisione della funzione aziendale Security escludendo interventi da remoto di terze parti al di fuori del network operation center della società e prevedendo per le procedure di aggiornamento una fase di valutazione dei pacchetti software propedeutica al loro rilascio su sistemi ne esercizio. Di fronte a malfunzionamenti di carattere straordinario che richiedano in via inderogabile un intervento da parte del fornitore è ammesso in via eccezionale di intervento da remoto con modalità specifiche.
Telecom è poi tenuta ad inviare con cadenza semestrale una relazione con la quale comunica le misure adottate per il rispetto delle prescrizioni e comunque a comunicare tempestivamente al comitato di monitoraggio qualsiasi determinazione societaria aziendale rilevante in merito alle stesse.
@fraciaraffo
