Il 13 aprile è entrato in vigore il Decreto Gentiloni sulla Cyber Security approvato il 17 febbraio scorso, un provvedimento che abroga e sostituisce il precedente DPCM Monti del 24 gennaio 2013 che sino a quel momento aveva delineato l’architettura nazionale in materia di sicurezza cibernetica.
In attesa del recepimento della Direttiva europea 2016/1148, recante “misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione” (c.d. Direttiva NIS – Network and Information Security), che dovrà avvenire entro il maggio 2018, si è avvertita forte e improcrastinabile l’esigenza di aggiornare l’impianto istituzionale di sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali delineate dal precedente decreto del 2013.
La natura e consistenza dell’esigenza è stata ampiamente rappresentata dal DIS (Dipartimento delle informazioni per la Sicurezza) nella “Relazione sulla politica dell’informazione per la sicurezza 2016“, documento presentato prima dell’approvazione del Decreto dal prefetto Alessandro Pansa, Direttore Generale del DIS, e da cui emerge un trend evolutivo in crescita dei fenomeni di criminalità cibernetica contrapposto a una risposta istituzionale nazionale ad oggi non adeguata.
“Gli attacchi cyber verificatisi nel corso del 2016 – emerge dalla Relazione – hanno innovato significativamente il panorama della minaccia, segnando un ulteriore cambio di passo sotto molteplici profili: dal rango dei target colpiti, alla sensibilità rivestita dagli stessi nei rispettivi contesti di riferimento; dal forte impatto conseguito, alle gravi vulnerabilità sfruttate sino alla sempre più elevata sofisticazione delle capacità degli attaccanti”
La minaccia cibernetica, continua il rapporto, è “caratterizzata da un elevato grado di eterogeneità e dinamismo tecnologico” nel contesto di un’aggressione che presenta “un costante trend di crescita in termini di sofisticazione, pervasività e persistenza a fronte di un livello non sempre adeguato di consapevolezza in merito ai rischi e di potenziamento dei presidi di sicurezza.”
Il tutto aggravato da una “persistente vulnerabilità di piattaforme web istituzionali e private, erogatrici in qualche caso di servizi essenziali e/o strategici, che incidono sulla sicurezza nazionale“.
“La crescente dipendenza dei processi produttivi e delle forniture di servizi dal dominio digitale – evidenzia inoltre la Relazione – unitamente alle vulnerabilità che affliggono le supply chain degli operatori, siano essi imprese, organizzazioni ed individui, hanno nel tempo determinato una progressiva estensione della superficie di esposizione alla minaccia.”
Il Decreto sulla Cyber Security, analogamente al precedente Decreto Monti del 2013, si prefigge di definire, in un contesto unitario e integrato, l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali.
Di fatto si risolve in una riorganizzazione e razionalizzazione delle risorse e del sistema di difesa dello spazio cibernetico nazionale in linea con le indicazioni contenute nella Direttiva europea NIS in attesa di recepimento.
In estrema sintesi, con esso:
Per la realizzazione di tali iniziative è previsto il coinvolgimento del mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, così come una diffusa collaborazione con le imprese di settore.
Come può agevolmente intuirsi da un confronto tra il nuovo DPCM e il precedente del 2013, viene sostanzialmente mantenuta e riconfermata la struttura del provvedimento con alcune modifiche sostanziali e altre semplicemente stilistiche.
Un’analisi norma per norma evidenzia quanto segue.
Art. 1. – E’ l’unico a rimanere assolutamente invariato, confermando lo stesso ambito di applicazione del Decreto in parola rispetto al precedente.
Art. 2 – Alle definizioni vengono aggiunte quelle di “CISR tecnico” (che rispecchia una realtà peraltro già operativa con il DPCM del 2013) e di “operatori di servizi essenziali” e “fornitori di servizi digitali“, queste ultime in recepimento della nuova Direttiva NIS.
Art. 3 – Al Presidente del Consiglio dei Ministri viene riconosciuto il ruolo di responsabile della politica generale del Governo e vertice del Sistema di informazione per la sicurezza della Repubblica e, in quanto tale, si evidenzia il suo potere di convocare il CISR in caso di situazioni di crisi che coinvolgano aspetti di sicurezza nazionale.
Art. 4 – Parallelamente, tra le funzioni del CISR vengono aggiunte quelle di “consulenza, proposta e deliberazione” in caso di crisi cibernetica e su convocazione discrezionale da parte del Presidente del Consiglio. Viene inoltre espunta la partecipazione del Consigliere Militare, prevista dal precedente DPCM.
Art. 5 – Anche dal c.d. “CISR tecnico” di cui all’art. 5 viene espunta la partecipazione del Consigliere Militare, unitamente all’eliminazione di avvalersi del “Comitato Scientifico” precedentemente previsto dall’art. 6 del DPCM del 2013.
Art. 6 – L’art. 6, in precedenza relativo al c.d. “Comitato Scientifico” deputato alla predisposizione di “ipotesi di intervento rivolte a migliorare gli standard ed i livelli di sicurezza dei sistemi e delle reti“, viene ora dedicato ai poteri del Direttore Generale del DIS (il Dipartimento delle informazioni per la sicurezza di cui all’art. 4, della legge n. 124 del 2007), che vanno dall’adottare le iniziative idonee a definire le necessarie linee di azione per la sicurezza cibernetica nazionale, al predisporee gli opportuni moduli organizzativi, di coordinamento e di raccordo per la realizzazione delle linee di azione in precedenza definite, al potere di ricorrere a convenzioni e intese con le pubbliche amministrazioni e soggetti privati.
Art. 7 – La norma rimane sostanzialmente inalterata, subendo solo alcune modifiche stilistiche e l’eliminazione, anche in questo caso, di ogni riferimento al Comitato Scientifico di cui all’art. 6 del precedente DPCM.
Art. 8 – L’art. 8 contiene una piccola ma fondamentale modifica: il nuovo inserimento strutturale del Nucleo per la sicurezza cibernetica non più presso l’Ufficio del Consigliere Militare ma presso il DIS, precisando conseguentemente che la presidenza dello stesso spetta a un vice direttore generale del DIS stesso e che il Consigliere Militare, prima presidente del Nucleo, vi continuerà a partecipare solo in qualità di membro. Viene infine inserito un obbligo del Nucleo di riferire sulle attività svolte al direttore generale del DIS stesso.
Art. 9 – In merito ai compiti del Nucleo per la sicurezza cibernetica, viene precisata l’estensione dell’ambito di operatività del Nucleo anche alle situazioni di crisi che coinvolgano aspetti di sicurezza nazionale, con un preciso obbligo di informare tempestivamente il Presidente, per il tramite del direttore generale del DIS, sulla situazione in atto, e viene previso il potere di acquisire informazioni dal CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) nell’esercizio dei servizi di protezione informatica delle infrastrutture critiche.
Art. 10 – Prima dedicato al NISP, Tavolo interministeriale di crisi cibernetica, ora disciplina invece la gestione delle crisi di natura cibernetica. In particolare, precisa il ruolo primario del Nucleo, la cui composizione può essere integrata, secondo necessità, con la partecipazione di rappresentanti del Ministero della salute, del Ministero delle infrastrutture e dei trasporti, del Dipartimento dei Vigili del fuoco, e del soccorso pubblico e della difesa civile, con potere di questi ultimi di farsi accompagnare da altri funzionari della propria amministrazione. Vengono inoltre riassegnati al Nucleo i compiti in precedenza affidati al Tavolo interministeriale.
Art. 11 – Quanto agli operatori privati di cui all’art. 11, vengono aggiunti all’elenco quelli previsti dalla Direttiva NIS (operatori di servizi essenziali e fornitori di servizi digitali) e vengono estesi i doveri di collaborazione prevedendo l’obbligo di consentire l’accesso ai SOC (Security Operations Center) aziendali. Viene inoltre prevista l’istituzione di un centro di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità e precisato che la mancata di comunicazione di eventi critici verrà valutata ai fini dell’affidabilita’ richiesta per il possesso delle abilitazioni di sicurezza.
Art. 12 – Norma sostanzialmente analoga alla precedente versione contenuta nel DPCM del 2013, con parziali modifiche di mera natura stilistica.
Art. 13 – La norma di chiusura del provvedimento, che prevede l’abrogazione espressa del DPCM del 2013, prevede altresì una disciplina transitoria destinata ad accompagnare il passaggio di competenze del Nucleo per la sicurezza cibernetica al DIS.
Occorre comunque tener presente che il Decreto in parola costituisce solo un temporaneo adeguamento nazionale della previgente architettura istituzionale delinata dl Decreto Monti del 2013 in attesa del recepimento della Direttiva NIS sopra citata, che sarà il vero passo avanti in questo ambito a livello normativo.
La Direttiva NIS, in particolare, come sintetizza la sopraccitata Relazione, prevede:
Non ci resta che attenderne il recepimento in Italia, che auspichiamo avvenga nei termini previsti.
Staremo a vedere, nel frattempo, come verrà data in concreto esecuzione al nuovo Decreto sulla sicurezza cibernetica e se sarà per adesso sufficiente a scongiurare le numerose minacce del cyber spazio, che con sempre maggior frequenza stanno mettendo a rischio la sicurezza dei cittadini, delle aziende e dell’intero Paese.
A cura di: Avv. Aldo Benato
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…