I nuovi obblighi per le aziende in seguito al primo DPCM sul Perimetro di Sicurezza Nazionale Cyber nei settori pubblico e privato

  1. PREMESSA

Successivamente al DPCM n. 131 del 30 luglio 2020 (il primo di quattro che saranno emanati nei prossimi mesi), il 21 ottobre scorso è stato pubblicato il “Regolamento in materia di perimetro di sicurezza nazionale cibernetica”, ai sensi dell’articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, il quale è entrato in vigore il 5 novembre.

Tale regolamento

  • individua i criteri secondo cui i Ministeri individuano i soggetti che svolgono funzioni essenziali per lo Stato
  • stabilisce le modalità con cui questi dovranno assolvere ai compiti assegnatigli dal regolamento, con particolare riferimento all’obbligo di censire le proprie infrastrutture di servizio e notificarle alle autorità
  • istituisce delle strutture di supporto alla gestione dei processi e dei flussi di operatività a regime, comprese le modalità con cui gli operatori individuati dovranno relazionarsi con il “Computer Security Incident Response Team” per segnalare incidenti significativi.
  1. SOGGETTI

In base all’art. 2 del DPCM, i soggetti che svolgono funzioni essenziali per lo Stato sono:

  • coloro ai quali l’ordinamento attribuisca compiti rivolti ad assicurare la continuità dell’azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti;
  • coloro che prestano un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, laddove ponga in essere: attività strumentali all’esercizio di funzioni essenziali dello Stato; attività necessarie per l’esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica; attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.

In base all’art. 3 del DPCM, sono inclusi nel Perimetro i soggetti operanti nel settore governativo, concernente, nell’ambito delle attività dell’amministrazione dello Stato, le attività delle amministrazioni CISR, nonché gli ulteriori soggetti, pubblici o privati, operanti nei seguenti settori di attività, ove non ricompresi in quello governativo: interno; difesa; spazio e aerospazio; energia; telecomunicazioni; economia e finanza; trasporti; servizi digitali; tecnologie critiche; enti previdenziali/lavoro.

  1. OBBLIGHI

Una volta delineati i soggetti, il Regolamento stabilisce che, qualora uno di questi soggetti dovesse rimanere vittima di un attacco cyber sarà obbligato ad informare, entro 6 ore al massimo (e non 24 come prevede invece la Direttiva NIS) lo CSIRT “Computer Security Incident Response Team – Italia”, e cioè il gruppo di esperti istituito presso il DIS (Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei Ministri. In caso di grave violazione, verrà attivato l’NSC, il Nucleo per la sicurezza cibernetica, il cui compito è quello di proporre al Presidente del Consiglio una possibile risposta all’attacco e coordinare il ripristino del servizio.

Inoltre, in base all’art. 7, co. 1, del Regolamento le aziende che rientrano nel Perimetro di cui sopra, sono tenuti ai seguenti obblighi

  • predisporre e aggiornare con cadenza almeno annuale l’elenco di beni ICT di rispettiva pertinenza, con l’indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono secondo i criteri individuati dal comma 2 dello stesso art. 7. In particolare, l’art. 7, comma 2, prevede che, ricevuta la comunicazione, i soggetti inclusi nel perimetro, in esito all’analisi del rischio, hanno l’obbligo di provvedere: a) ad individuare i beni ICT necessari a svolgere la funzione essenziale o il servizio essenziale; b) a predisporre l’elenco dei beni ICT di cui all’articolo 1, comma 2, lettera b) , del decreto-legge. In fase di prima applicazione e fino all’aggiornamento del presente decreto, ai sensi dell’articolo 1, comma 5, del decreto legge, sono individuati, all’esito dell’analisi del rischio, in ossequio al principio di gradualità, i beni ICT che, in caso di incidente, causerebbero l’interruzione totale dello svolgimento della funzione essenziale o del servizio essenziale o una compromissione degli stessi con effetti irreversibili sotto il profilo della integrità o della riservatezza dei dati e delle informazioni. Per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate si applica quanto previsto dall’articolo 1, comma 2, lettera b) , del decreto-legge.
  • predisporre un elenco con la descrizione dell’architettura e della componentistica tech.

Entrambi questi elenchi – comprensivi della descrizione dell’architettura e della componentistica predisposta secondo il modello di cui all’articolo 8, nonché dell’analisi del rischio – dovranno essere inviati, entro sei mesi dalla comunicazione di inserimento nel Perimetro di sicurezza nazionale cibernetica, a uno dei seguenti organi:

  1. se si è soggetti pubblici à alla struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione
  2. se si è soggetti privati à al Mise

La trasmissione degli elenchi di beni ICT avviene per il tramite di una piattaforma digitale costituita presso il DIS anche per le attività di prevenzione, preparazione e gestione delle crisi cibernetiche affidate al NSC, nell’ambito delle risorse finanziarie, umane e strumentali previste a legislazione vigente. Le disposizioni di cui al presente comma si applicano anche per l’aggiornamento degli elenchi di beni ICT e del modello di cui all’articolo 8, comma 1.

  1. TAVOLO INTERMINISTERIALE

Un altro punto fondamentale del DPCM (art. 6) è l’istituzione di un tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica a supporto del CISR (Comitato interministeriale per la sicurezza della Repubblica). Il “Tavolo” sarà presieduto da un vice direttore generale del DIS e composto da due rappresentanti di ciascuna amministrazione CISR (e cioè la Presidenza del Consiglio dei ministri e i Ministeri di cui all’art. 5 della legge 3 agosto 2007, n. 1249), da un rappresentante dell’Agenzia informazioni e sicurezza esterna (AISE) e da uno dell’Agenzia informazioni e sicurezza interna (AISI), nonché da due rappresentanti degli altri Ministeri di volta in volta interessati, “che sono chiamati a partecipare alle riunioni, anche su loro richiesta motivata, in relazione agli argomenti da trattare, di cui almeno uno in possesso di competenze tecnico-specialistiche nella materia della sicurezza cibernetica”. Il Tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica si riunirà periodicamente, ogni sei mesi.

  1. SANZIONI

Le sanzioni pecuniarie amministrative introdotte sono particolarmente elevate.
Si prevede, ad esempio, una sanzione da 200mila a 1 milione e 200mila euro per il mancato adempimento degli obblighi di predisposizione e di aggiornamento dell’elenco delle reti, dei sistemi informativi e dei servizi informatici.

La sanzione è compresa tra i 250mila e 1.500.000 di euro per 5 tipi di condotte:

  • il mancato adempimento dell’obbligo di notifica,
  • l’inosservanza delle misure di sicurezza,
  • la mancata collaborazione per l’effettuazione delle attività di test,
  • il mancato adempimento delle prescrizioni indicate dal MiSE o dalla Presidenza del Consiglio dei ministri in esito alle attività di ispezione e verifica svolte,
  • il mancato rispetto delle prescrizioni.

In crescendo, si passa ai 300mila-1.800.000 euro sia per la mancata comunicazione nei termini prescritti, sia per l’impiego di prodotti e servizi sulle reti, sui sistemi informativi e l’espletamento dei servizi informatici in violazione delle condizioni imposte dal CVCN o in assenza del superamento dei test.

Il contratto non produrrà effetti (o questi cesseranno) in caso di inottemperanza alle condizioni o in assenza dell’esito favorevole dei test: se il contratto viene comunque eseguito in violazione di quanto previsto dal decreto, si aggiunge la sanzione amministrativa accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione.

Pene gravi (reclusione da 1 a 5 anni, irrogata dal MISE per i soggetti privati) nei confronti di coloro che, per ostacolare o condizionare l’espletamento dei procedimenti o delle attività ispettive e di vigilanza:

  • forniscano informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l’aggiornamento degli elenchi, o ai fini delle comunicazioni, o per lo svolgimento delle attività ispettive e di vigilanza,
  • omettano di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto. In tali ipotesi per le imprese responsabili ai sensi del D.Lgs. n. 231/2001 scatta la sanzione pecuniaria fino a 400 quote.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *