Cybersecurity, l’occhio dello stato sulle imprese

di Antonio Ciccia Messina
Trasparenza su beni e reti, redazione di una completa analisi dei rischi, controllo sugli acquisti di tecnologia e apparati, notifica di attacchi cyber entro 6 ore. Sono questi, in sintesi, gli obblighi a carico delle imprese rientranti nel perimetro di difesa cibernetica nazionale, previsti dal decreto legge 105/2019 e dai successivi decreti attuativi in fase di definizione o varati, come il decreto legge sull’agenzia per la cybersecurity (si veda ItaliaOggi di ieri). Energia, trasporti, telecomunicazioni, pubbliche amministrazioni e tutti i servizi essenziali dipendono dalle tecnologie informatiche e digitali e la loro sicurezza è un obiettivo prioritario. Vediamo, dunque, che cosa devono fare le imprese.

Il perimetro. L’ avamposto delle imprese individuate a fare parte del perimetro di difesa nazionale, si compone di circa 150 enti, la cui lista è riservata, che concorrono a realizzare pubblici interessi o che sono impegnati in settori sensibili (tra cui continuità dell’azione del governo; sicurezza interna ed esterna e difesa; relazioni internazionali, sicurezza e ordine pubblico; giustizia, funzionalità dei sistemi economico e finanziario e dei trasporti) Si tratta anche di assicurare la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica nonché di assicurare le attività di ricerca e produzione nel campo dell’alta tecnologia e in ogni altro settore strategico.

Obblighi. Le imprese del perimetro devono censire gli strumenti, impianti e le reti. Inoltre sono controllate nei loro acquisti di beni e servizi ICT e, in caso di un attacco cibernetico, hanno stringenti obblighi di comunicazione, entro un tempo brevissimo, sei ore, così da attivare gli organismi incaricati della gestione della crisi.

In dettaglio, quanto al censimento di apparecchi e reti, troviamo l’obbligo aggiornare, almeno una volta l’anno, l’elenco di prodotti e servizi ICT, corredato di una analisi dei possibili rischi e di una valutazione dell’impatto sui servizi essenziali.

Un secondo elenco concerne l’architettura e la componentistica relative ai beni ICT. Entrambi gli elenchi devono essere inviati alle autorità pubbliche competenti in materia di cybersicurezza.

Un’altra serie di obblighi concerne i casi in cui le imprese devono acquisire beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici: è obbligatoria la preventiva notizia a un organismo (Centro di valutazione e certificazione nazionale), spiegando la valutazione del rischio associato all’oggetto della fornitura e l’ambito di impiego.

Il Cvcn può fare dei test e dare prescrizioni che vincolano l’impresa nella acquisizione della fornitura.

Sanzioni. Gli obblighi a carico delle imprese sono assoggettate a pesanti sanzioni pecuniarie (fino a 1,8 milioni di euro) e interdittive. Violare gli obblighi connessi all’acquisito di beni e servizi ICT, ad esempio, comporta l’incapacità per 3 anni ad assumere incarichi di vertice nelle persone giuridiche e nelle imprese.

© Riproduzione riservata

Fonte: