Dl Cybersecurity, serviranno 4 decreti attuativi

0

ROMA (Public Policy) – Inizierà a breve l’esame, nelle commissioni Affari costituzionali e Trasporti alla Camera, del dl 105/2019 che istituisce il Perimetro di sicurezza nazionale cibernetica. Il testo contiene 4 decreti attuativi, tutti con scadenza.

Ecco il dettaglio:

PA E PRIVATI NEL PERIMETRO

Entro quattro mesi dalla data di entrata in vigore della legge di conversione (presumibile marzo), con dpcm, adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica, saranno individuate le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati che saranno inclusi nel perimetro di sicurezza nazionale cibernetica. Il decreto specifica che si tratterà di enti e operatori “da cui dipende l’esercizio di una funzione essenziale dello Stato, la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, ovvero utilizzo improprio, può derivare un pregiudizio per la sicurezza nazionale”.

Lo stesso dpcm definirà i criteri in base ai quali i soggetti all’interno del perimetro predisporranno e aggiorneranno, con cadenza almeno annuale, un elenco delle reti, dei sistemi informativi e dei servizi informatici. L’aggiornamento del decreto avverrà con cadenza almeno biennale.

NOTIFICA INCIDENTI E MISURE DI SICUREZZA

Entro dieci mesi dalla data di entrata in vigore della legge di conversione (presumibilmente settembre 2020), con dpcm, adottato su proposta del CISR, saranno definite le procedure di notifica degli incidenti che riguarderanno reti, sistemi informativi e servizi informatici dei soggetti all’interno del perimetro.

Con lo stesso dpcm saranno stabilite misure per garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici, coinvolgendo il Mise e la presidenza del Consiglio dei ministri, d’intesa con il ministero della Difesa, il Viminale, il Mef e il Dipartimento delle informazioni per la sicurezza. Diversi gli ambiti toccati tra cui la protezione fisica e logica dei dati e l’affidamento di forniture di beni, sistemi e servizi Ict. L’aggiornamento del decreto avverrà con cadenza almeno biennale.

CVCN E FORNITURE

I soggetti iscritti nel perimetro di sicurezza che intendano procedere all’affidamento di forniture di beni, sistemi e servizi Ict destinati a essere impiegati sulle reti, sui sistemi informativi, ne danno comunicazione al Centro di valutazione e certificazione nazionale (Cvcn). Un dpr, entro dieci mesi dalla data di entrata in vigore della legge di conversione (presumibilmente settembre 2020), disciplinerà procedure e modalità di questo passaggio.

Lo stesso dpr specificherà le modalità con cui i fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici collaborano con il Cvcn e, se del caso, con il Centro di valutazione operante presso il ministero della Difesa, per le attività di test.

Saranno poi stabilite le modalità di ispezione e verifica sui soggetti all’interno del perimetro. Tali attività saranno svolte dalla presidenza del Consiglio per i profili di pertinenza dei soggetti pubblici e dal Mise per i soggetti privati.

ACCREDITAMENTO LABORATORI CVCN

Il Cvcn, istituito presso il Mise, potrà avvalersi anche di laboratori dallo stesso accreditati secondo criteri stabiliti da un dpcm, adottato entro dieci mesi dalla data di entrata in vigore della legge di conversione (presumibilmente settembre 2020), su proposta del Comitato interministeriale per la sicurezza della Repubblica. (Public Policy) MDV