La bozza del ddl Cybersecurity: nasce il Perimetro di sicurezza nazionale

0

ROMA (Public Policy) – Nasce il Perimetro di sicurezza nazionale per “assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”. Lo prevede una bozza di ddl sulla cybersecurity allo studio del Governo, di cui Public Policy ha preso visione.

Entro sei mesi dall’entrata in vigore del ddl un dpcm, adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica (Cisr), individuerà le pubbliche amministrazioni, gli enti e gli operatori nazionali, pubblici e privati, che entreranno nel Perimetro di sicurezza nazionale cibernetica.

I soggetti individuati saranno sottoposti a diversi obblighi, primo fra tutti la predisposizione di un report almeno annuale contenente l’elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica. Un’altro dpcm, sempre su proposta del Cisr, definirà le procudere da seguire in caso di incidenti e le misure per garantire elevati livelli di sicurezza.

Un regolamento stabilirà invece i criteri e le modalità che i soggetti inclusi nel Perimetro dovranno seguire per l’affidamento di forniture di beni e servizi Ict destinati ad essere impiegati sulle reti e sui sistemi per l’espletamento dei servizi rilevanti. Il Centro di valutazione e certificazione nazionale, istituito di recente al Mise, potrà imporre condizioni e test hardware e softwre da effettuare (faranno eccezione le forniture per attività di prevenzione e repressione dei reati; un dpR disciplinerà i casi di deroga per le forniture cui sia indispensabile procedere in sede estera). Per le forniture del ministero della Difesa si procederà con un servizio di valutazione proprio, in raccordo con Agid e Mise. La bozza di ddl amplia di conseguenza i poteri del Centro di valutazione e certificazione nazionale, che potrà anche imporre, sempre con riguardo alle forniture Ict, prescrizioni di utilizzo al committente. Al Centro di valutazione e certificazione nazionale vengono quindi assegnati 3,2 milioni nel 2019, 2,8 milioni all’anno dal 2020 al 2023 e 0,75 milioni dal 2024.

La bozza ddl raccorda quindi quest’ultimo provvedimento con il Codice delle comunicazioni elettroniche e con il più recente dlgs 65 del 2018, attuativo della direttiva Nis, che ha stabilito analoghi obblighi di notifica in caso di incidenti. I soggetti inclusi nel Perimetro dovranno seguire le misure già previste dai due provvedimenti, ove di livello equivalente. Eventuali misure aggiuntive saranno stabilite da Agid e Mise.

Severe le pene previste in caso di inadempimenti. Nel caso in cui si forniscano volutamente informazioni false è prevista la reclusione da uno a cinque anni e, all’ente, una sanzione pecuniaria fino a 400 quote. Previste anche sanzioni pecuniarie scaglionate in relazione alla gravità della condotta da 200mila euro a 1,8 milioni.

continua – in abbonamento

NAF