Le misure principali contenute nel dl in materia di perimetro di sicurezza cibernetica
Mappate le aree a rischio. Controlli serrati sugli acquisti
Pagina a cura di Antonio Ciccia Messina
Regole d’ingaggio per vincere la guerra cibernetica: mappatura delle aree virtuali a rischio; controlli su acquisti di beni e servizi tecnologici; poteri speciali in caso di crisi, compreso l’interruzione dei servizi (un coprifuoco cibernetico). Il decreto legge, approvato dal consiglio dei ministri del 19 settembre scorso, è il protocollo per la stesura delle strategie difensive in caso di attacchi immateriali, in grado di mettere in ginocchio con un click la vita della nazione.
Di questo si tratta. Oramai tutto è in rete, tutti i servizi resi alla collettività, a qualunque settore appartengano, e dalla rete e dai sistemi informativi e dai servizi informatici dipendono amministrazioni, scuole, ospedali, mezzi di comunicazione, trasporti, il sistema produttivo industriale, e così via.
Non si può certo tornare indietro, anzi la spinta è nel senso dell’incremento quantitativo del ricorso agli strumenti tecnologici e dell’incremento qualitativo e cioè del miglioramento dei servizi resi dalle macchine (più veloci, più resistenti, più intelligenti).
Di pari passo crescono i pericoli della stessa natura. Attacchi che possono compromettere la riservatezza, l’integrità e la disponibilità di informazioni necessarie per la sicurezza nazionale e per la operatività di tutti i settori economici, oltre che la vita di ogni individuo, necessariamente connesso.
Vediamo, dunque, i contenuti del provvedimento appena varato dal governo.
Perimetro di sicurezza. Il decreto legge disegna il «perimetro di sicurezza» e cioè l’area virtuale delle reti infrastrutturali da mettere al riparo da attacchi cibernetici. Nel perimetro protetto troveranno posto le reti, i sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, o la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato.
Il sistema economico e sociale dipende dalla funzionalità delle reti e degli strumenti elettronici e gli attacchi alle reti e sistemi sono un attacco alla sicurezza nazionale. La dipendenza tecnologica richiede un sistema di sicurezza della stessa natura. Il decreto fissa il termine di quattro mesi per la stesura del perimetro di sicurezza. La mappatura deve essere costantemente aggiornata, ma è solo il primo passo. Il provvedimento d’urgenza in esame detta una scadenza per un adempimento altrettanto decisivo e cioè la definizione delle procedure di notifica degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici a una task force, chiamata Gruppo di intervento per la sicurezza informatica in caso di incidente (Csirt) italiano. La notifica innesca la circolazione della notizia sul sinistro alle altre autorità coinvolte: nucleo per la sicurezza cibernetica; ministero dell’interno, presidenza del Consiglio dei ministri. Sono da scrivere anche le misure da adottare per la sicurezza di reti e sistemi. Le misure conterranno policy di sicurezza, misure di disaster recovery e accorgimenti per la protezione fisica e logica e dei dati.
Sotto controllo gli appalti esteri. Dovrà essere regolamentata la procedura di acquisti tecnologici (beni, sistemi e servizi Ict) sui mercati esteri. Il ministero dello sviluppo economico potrà imporre condizioni e test di hardware e software da inserire nei capitolati di gara.
Sanzioni amministrative. Sia gli obblighi di notificazione, sia quelli relativi agli appalti sono assistiti dalla previsione di sanzioni amministrative in caso di inosservanza.
Tecnologia 5G. Un articolo del decreto legge si occupa specificamente della tecnologia 5G allo scopo di affermare la necessità di monitoraggio dei fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano. Viene fissato un termine per adeguare agli elevati standard di sicurezza anche beni e servizi acquistati dallo stato. Senza escludere la sostituzione di apparati o prodotti se gravemente sul piano della sicurezza.
Crisi cibernetica. Il decreto legge scrive il protocollo da seguire in caso di crisi di natura cibernetica. Il protagonista principale è il capo del governo investito del potere-dovere, se indispensabile e per il tempo strettamente necessario alla eliminazione dello specifico fattore di rischio o alla sua mitigazione, secondo un criterio di proporzionalità, di disattivare, totalmente o parzialmente, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati.
© Riproduzione riservata
Fonte:
