ROMA (Public Policy) – Il ddl sulla cybersecurity approvato a luglio dal Governo Conte 1, finisce nel decreto Cyber, approvato nell’ultimo Consiglio dei ministri.
Come si legge in una bozza di cui Public Policy ha preso visione, l’articolato del disegno di legge, che ad agosto era stato assegnato alla commissione Affari costituzionali del Senato, è stato quindi inserito in questo provvedimento, così da garantire una immediata applicazione delle norme.
Il decreto istituisce il Perimetro di sicurezza nazionale per “assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”. Rispetto al ddl vengono accorciati i tempi di emanazione della normativa secondaria.
Dunque il dpcm che individuerà le pubbliche amministrazioni, gli enti e gli operatori nazionali, pubblici e privati, che entreranno nel Perimetro di sicurezza nazionale cibernetica dovrà essere emanato entro 4 mesi anziché entro 6. Allo stesso modo il dpcm per definire le procudere da seguire in caso di incidenti, e le misure per garantire elevati livelli di sicurezza, dovrà essere adottato entro 10 mesi anziché 12.
Confermato l’ampliamento dei poteri del Centro di valutazione e certificazione nazionale, che potrà anche imporre, con riguardo alle forniture Ict, prescrizioni di utilizzo al committente. Al Centro di valutazione e certificazione nazionale vengono quindi assegnati 3,2 milioni nel 2019, 2,8 milioni all’anno dal 2020 al 2023 e 750mila euro dal 2024. Confermate anche le pene previste in caso di inadempimenti. Nel caso in cui si forniscano volutamente informazioni false è prevista la reclusione da uno a cinque anni e, all’ente, una sanzione pecuniaria fino a 400 quote. Previste anche sanzioni pecuniarie scaglionate in relazione alla gravità della condotta da 200mila euro a 1,8 milioni.
A differenza del ddl approvato a luglio dal Governo gialloverde, questo decreto assegna alla presidenza del Consiglio (invece che all’Agid) le funzioni di ispezione sulle pubbliche amministrazioni, con le relative 10 assunzioni. Palazzo Chigi – prevede però il decreto – potrà comunque decidere di avvalersi dell’Agid. Confermate invece le 57 assunzioni al Mise da assegnare al Centro di valutazione e certificazione nazionale.
COSA CAMBIA PER IL 5G
Le nuove disposizioni sul Perimetro di sicurezza nazionale, inoltre, si applicheranno anche ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G.
Nel dettaglio la nuova normativa si applicherà alle imprese operanti nel 5G già soggette all’obbligo di notifica previsto dalla legge sul golden power. La decisione se esercitare o meno i poteri speciali dovrà essere quindi presa “previa valutazione degli elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano”. Le autorizzazioni già rilasciate potranno essere riviste chiedendo “misure aggiuntive necessarie al fine di assicurare livelli di sicurezza equivalenti a quelli previsti dal presente decreto – si legge nella bozza di dl – anche prescrivendo, ove necessario, la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza”.
‘SUPER POTERI’ PER IL PREMIER
Arriva una procedura d’urgenza attraverso la quale, in caso di crisi cibernetica, il presidente del Consiglio potrà decidere, su deliberazione del Comitato interministeriale per la sicurezza della Repubblica, di disattivare parti di reti.
Nel dettaglio, il nuovo articolo inserito nella bozza di decreto prevede che il presidente del Consiglio dei ministri, “in presenza di un rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e servizi” o “nei casi di crisi cibernetica” potrà decidere, su deliberazione del Comitato interministeriale per la sicurezza della Repubblica, “ove indispensabile e per il tempo strettamente necessario alla eliminazione dello specifico fattore di rischio o alla sua mitigazione, secondo un criterio di proporzionalità, la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati”. (Public Policy) NAF