Il meta-processo di definizione del perimetro nazionale di sicurezza trova una prima applicazione. Il d.P.C.M. n. 131 del 2020, infatti, reca le prime misure volte a dare vita alla strategia nazionale. Ma la strada è ancora lunga: il decreto detta — come previsto dalla normativa primaria — solo i criteri di individuazione dei soggetti inclusi nel perimetro, che saranno individuati successivamente.
È stato varato il primo decreto chiamato ad attuare la disciplina nazionale, adottata a fine 2019, in materia di sicurezza nazionale cibernetica (di cui l’Osservatorio si è occupato, anche in prospettiva europea, qui e qui). Nella complessa architettura configurata dal decreto-legge n. 105 del 2019, tale adempimento da parte del governo costituisce ancora un “meta-intervento”: esso indica, infatti, solo i criteri in base ai quali saranno individuati i soggetti inclusi nel perimetro nazionale di sicurezza. La norma in discussione è, in altri termini, uno dei primi lunghi e complessi meccanismi volti a dare vita alla cybersec italiana. Il decreto del Presidente del Consiglio appena varato, sulla sua scia, individua i soggetti tenuti ad assicurare la massima garanzia per la sicurezza cibernetica nazionale.
Il d.P.C.M. n. 131 del 2020 (pubblicato in Gazzetta Ufficiale del 21 ottobre 2020, n. 261 ed entrato in vigore il 5 novembre scorso), reca Regolamento in materia di perimetro di sicurezza nazionale cibernetica ai sensi dell’art. 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133. Tradotto in termini più semplici, si tratta di definire i criteri in base ai quali individuare i soggetti che concorrono o possono incidere sulla sicurezza cibernetica. Una norma ancora procedurale, che sarà seguita dall’elenco vero e proprio che costituirà il nucleo del perimetro di sicurezza nazionale. Destinato a rimanere segreto, solo una volta definito il suo “contenuto” il perimetro inizierà a prendere forma e vita.
Collocandoci nella dimensione attuale, il decreto non apporta sostanziali novità, eccetto una sul piano organizzativo. Le disposizioni, infatti, si calano su un tessuto normativo già noto, ossia quello della normativa primaria da cui promana.
Nel merito, è interessante la distinzione, nota alla letteratura, ma soprasseduta dal decreto n. 105/2019, tra funzione essenziale e servizio essenziale. La funzione essenziale, ai sensi dell’art. 2, è correlata a compiti attribuiti dall’ordinamento “rivolti ad assicurare la continuità dell’azione di Governo e degli organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti”.
Quanto al servizio essenziale, invece, si tratta di compiti svolti “per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, laddove ponga in essere: attività strumentali all’esercizio di funzioni essenziali dello Stato; attività necessarie per l’esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica; attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale”.
Vengono poi individuati (art. 3) i settori cruciali di intervento, ossia gli ambiti di rilievo per i soggetti che saranno inclusi nel perimetro: a) interno; b) difesa; c) spazio; d) energia; e) telecomunicazioni; f) economia e finanza; g) trasporti; h) servizi digitali; i) tecnologie critiche, riferite al Regolamento europeo n. 2019/452 sugli investimenti esteri diretti; l) enti previdenziali e lavoro. Un elenco molto ampio, dunque, che attiene al settore pubblico tout tour così come a settori liberalizzati e di alto impatto industriale.
Si può notare che nella normativa secondaria introdotta dal d.P.C.M., dunque, al contrario di quanto disposto da quella primaria, all’interno dei servizi essenziali rivive la distinzione operata dalla direttiva NIS tra Operatori di servizi essenziali (OSE) e Fornitori di servizi digitali (FSD).
I settori individuati sono al centro delle attribuzioni previste e dei prossimi adempimenti: sono le amministrazioni preposte al settore individuato, infatti, a dover individuare, in concreto, i soggetti all’interno del perimetro, sulla base dei criteri del d.P.C.M. appena varato (art. 4 e 5). La lista degli operatori sarà trasmessa anche al Comitato Interministeriale per la Sicurezza della Repubblica (CISR), per le valutazioni attinenti ai massimi livelli della sicurezza nazionale.
I soggetti interessati sono tenuti a informare il Csirt (di cui abbiamo parlato anche in questo Osservatorio, qui) di ogni rischio o attacco si verifichi nei loro confronti, compromettendo la sicurezza dei loro sistemi. Un incidente è costituito da “ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici” (art. 1, comma 1, lett. h), d.P.C.M. n. 131 del 2020). Da notare, in modo connesso, le definizioni di “pregiudizio per la sicurezza nazionale”, dato da ogni “danno o pericolo di danno all’indipendenza, all’integrità o alla sicurezza della Repubblica e delle istituzioni democratiche poste dalla Costituzione a suo fondamento, ovvero agli interessi politici, militari, economici, scientifici e industriali dell’Italia, conseguente all’interruzione o alla compromissione di una funzione essenziale dello Stato o di un servizio essenziale”; nonché quella di “compromissione”, ossia “la perdita di sicurezza o di efficacia dello svolgimento di una funzione essenziale dello Stato o di un servizio essenziale, connessa al malfunzionamento, all’interruzione, anche parziali, ovvero all’utilizzo improprio di reti, sistemi informativi e servizi informatici” (art. 1, comma 1, lett. f) e g), d.P.C.M. n. 131 del 2020).
Sul piano organizzativo, si diceva, viene istituito il “Tavolo interministeriale per l’attuazione del Perimetro di sicurezza nazionale cibernetica”, di nuova concezione, che coinvolge il Presidente del Consiglio e i Ministri individuati dal d.l. n. 105 del 2019. Il Tavolo è istituito “a supporto”del CISR (art. 6, comma 2, d.P.C.M. n. 131 del 2020), il quale se ne avvale per funzioni istruttorie e per ogni altra attività attribuita dal decreto-legge n. 105 del 2019 al CISR o al CISR tecnico (comma 3). Il Tavolo è presieduto da un vice direttore generale del DIS ed è composto da “due rappresentanti di ciascuna amministrazione CISR, da un rappresentante per ciascuna delle due Agenzie, nonché da due rappresentanti degli altri Ministeri di volta in volta interessati”, che parteciperanno a riunioni e lavori e che siano dotati delle necessarie competenze.
I prossimi passi saranno l’individuazione del perimetro, con un elenco di soggetti che, come detto, rimarrà segreto. Quindi l’obbligo, per questi ultimi, di comunicare tecnologie, hardware, software, componenti, appliance, e ogni altro elemento rilevante ai fini della costruzione di un sistema “solido”. In altri termini, tali soggetti devono predisporre un elenco dei beni utilizzati per il comparto ICT (art. 7 e 8 del d.PC.M. n. 131), da trasmettere alla Presidenza del Consiglio e al Ministero dello Sviluppo economico (art. 7-9).
È da ricordare il ruolo del Centro di valutazione e certificazione nazionale (CVCN), previsto dal d.l. n. 105/2019 e istituito presso il MISE: i soggetti inclusi nel perimetro devono informare il MISE di eventuali procedure di acquisto, al dine di una valutazione di sicurezza e dei rischi. Il Centro potrà svolgere test e verifiche preliminari, anche di carattere marcatamente tecnico (software, hardware, firmware, ecc.), al fine di vagliare gli impatti dei futuri acquisti sul “patrimonio” dei soggetti che concorrono a formare il perimetro.
Questo sarà un adempimento fondamentale, nell’ottica del decreto n. 105 del 2019, sulla quale si testeranno le tendenze da “stato-nazione” di una disciplina che – va ricordato – si inscrive in un preciso quadro normativo europeo, da cui promana e da cui è legittimata. La valutazione e il bilanciamento tra sicurezza e chiusura sarà un terreno molto difficile, ma eventuali eccessi potranno essere verificati solo su questo impervio crinale.
In conclusione, siamo ancora alle soglie dell’operazione; sono interventi attuativi che ancora non producono cambiamenti reali. La disciplina è molto complessa sin dalla sua configurazione; stenta a decollare, come mostra la difficile attuazione del Cvcn, il centro per gli acquisti sicuri che dovrebbe verificare la solidità e la impermeabilità delle tecnologie da acquistare. Si assiste, infine, a una ulteriore proliferazione di organismi, come testimonia il tavolo, previsto per la prima volta in sede di normazione secondaria — laddove il decreto non ne faceva menzione. Rappresentando, dunque, una sorta di “fuga” che viene messa in atto per affiancare le amministrazioni esistenti (come ben messo in luce, in altri settori e con sguardo completo, qui, secondo un’analisi che, nel tempo, risale ai grandi studiosi dei primi anni del Novecento).
La sicurezza cibernetica è, nella sostanza, la definizione di procedure sicure e certe e l’adeguamento di prassi, correggendo quelle “a rischio”. Da un lato, l’operazione è importante, dunque, per creare maggiore consapevolezza nelle organizzazioni pubbliche e private e mutare l’approccio culturale al tema. Dall’altro, va sempre rilevato come gabbie eccessivamente rigide, lungi dal produrre il risultato sperato, possono generare pericolose fiammate di ritorno. Va posta attenzione a non compromettere esigenze di collaborazione e cooperazione, essenziali in un mondo interconnesso dalle stesse tecnologie che si stanno regolando. Ne va della possibilità stessa di uno sguardo aperto al futuro.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.