Decreto Cyber Security: un passo avanti per la sicurezza cibernetica nazionale

Il Decreto Gentiloni sulla Sicurezza Cibernetica rafforza la protezione nazionale contro le minacce informatiche. Introduce novità come il potenziamento del CISR e del Nucleo Sicurezza Cibernetica. In attesa del recepimento della Direttiva NIS, il decreto aggiorna l’architettura di sicurezza per infrastrutture critiche e sistemi informativi, affrontando le crescenti sfide del cyberspazio.

Direttiva NIS, minacce informatiche e vulnerabilità delle infrastrutture critiche: verso una nuova sicurezza cibernetica nazionale

Il 13 aprile è entrato in vigore il Decreto Gentiloni sulla Cyber Security approvato il 17 febbraio scorso, un provvedimento che abroga e sostituisce il precedente DPCM Monti del 24 gennaio 2013 che sino a quel momento aveva delineato l’architettura nazionale in materia di sicurezza cibernetica.

In attesa del recepimento della Direttiva europea 2016/1148, recante “misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione” (c.d. Direttiva NIS – Network and Information Security), che dovrà avvenire entro il maggio 2018, si è avvertita forte e improcrastinabile l’esigenza di aggiornare l’impianto istituzionale di sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali delineate dal precedente decreto del 2013.

La natura e consistenza dell’esigenza è stata ampiamente rappresentata dal DIS (Dipartimento delle informazioni per la Sicurezza) nella “Relazione sulla politica dell’informazione per la sicurezza 2016“, documento presentato prima dell’approvazione del Decreto dal prefetto Alessandro Pansa, Direttore Generale del DIS, e da cui emerge un trend evolutivo in crescita dei fenomeni di criminalità cibernetica contrapposto a una risposta istituzionale nazionale ad oggi non adeguata.

“Gli attacchi cyber verificatisi nel corso del 2016 – emerge dalla Relazione – hanno innovato significativamente il panorama della minaccia, segnando un ulteriore cambio di passo sotto molteplici profili: dal rango dei target colpiti, alla sensibilità rivestita dagli stessi nei rispettivi contesti di riferimento; dal forte impatto conseguito, alle gravi vulnerabilità sfruttate sino alla sempre più elevata sofisticazione delle capacità degli attaccanti”

La minaccia cibernetica, continua il rapporto, è “caratterizzata da un elevato grado di eterogeneità e dinamismo tecnologico” nel contesto di un’aggressione che presenta “un costante trend di crescita in termini di sofisticazione, pervasività e persistenza a fronte di un livello non sempre adeguato di consapevolezza in merito ai rischi e di potenziamento dei presidi di sicurezza.”

Il tutto aggravato da una “persistente vulnerabilità di piattaforme web istituzionali e private, erogatrici in qualche caso di servizi essenziali e/o strategici, che incidono sulla sicurezza nazionale“.

“La crescente dipendenza dei processi produttivi e delle forniture di servizi dal dominio digitale –  evidenzia inoltre la Relazione – unitamente alle vulnerabilità che affliggono le supply chain degli operatori, siano essi imprese, organizzazioni ed individui, hanno nel tempo determinato una progressiva estensione della superficie di esposizione alla minaccia.”

Sicurezza Cibernetica: le principali novità del Decreto

Il Decreto sulla Cyber Security, analogamente al precedente Decreto Monti del 2013, si prefigge di definire, in un contesto unitario e integrato, l’architettura istituzionale deputata alla tutela della sicurezza cibernetica nazionale relativamente alle infrastrutture critiche materiali e immateriali.

Di fatto si risolve in una riorganizzazione e razionalizzazione delle risorse e del sistema di difesa dello spazio cibernetico nazionale in linea con le indicazioni contenute nella Direttiva europea NIS in attesa di recepimento.

In estrema sintesi, con esso:

  • viene rafforzato il ruolo del Cisr, che emanerà direttive con l’obiettivo di innalzare il livello della sicurezza informatica del Paese e si avvarrà in questa attività del supporto del coordinamento interministeriale delle amministrazioni Cisr (il cosiddetto Cisr tecnico) e del DIS;
  • il Nucleo Sicurezza Cibernetica (Nsc) viene ricondotto all’interno del DIS ed assicurerà la risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei ministeri competenti in materia;
  • viene prevista una forte interazione con l’Agenzia per l’Italia Digitale (Agid) del Dipartimento della Funzione Pubblica, con il Ministero dello Sviluppo Economico, con il Ministero dell’Interno, con il Ministero della Difesa e, infine, con il Ministero dell’Economia e Finanze;
  • viene attribuito al direttore generale del DIS il compito di definire linee di azione che dovranno portare ad assicurare i necessari livelli di sicurezza cibernetica dei sistemi e delle reti di interesse strategico, sia pubblici che privati, verificandone ed eliminandone le vulnerabilità.

Per la realizzazione di tali iniziative è previsto il coinvolgimento del mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, così come una diffusa collaborazione con le imprese di settore.

Confronto tra DPCM e cambiamenti articolo per articolo

Come può agevolmente intuirsi da un confronto tra il nuovo DPCM e il precedente del 2013, viene sostanzialmente mantenuta e riconfermata la struttura del provvedimento con alcune modifiche sostanziali e altre semplicemente stilistiche.

Un’analisi norma per norma evidenzia quanto segue.

Art. 1. – E’ l’unico a rimanere assolutamente invariato, confermando lo stesso ambito di applicazione del Decreto in parola rispetto al precedente.

Art. 2 – Alle  definizioni vengono aggiunte quelle di “CISR tecnico” (che rispecchia una realtà peraltro già operativa con il DPCM del 2013) e di “operatori di servizi essenziali” e “fornitori di servizi digitali“, queste ultime in recepimento della nuova Direttiva NIS.

Art. 3 – Al Presidente del Consiglio dei Ministri viene riconosciuto il ruolo di responsabile della politica generale del Governo e vertice del Sistema di informazione per la sicurezza della Repubblica e, in quanto tale, si evidenzia il suo potere di convocare il CISR in caso di situazioni di crisi che coinvolgano aspetti di sicurezza nazionale.

Art. 4 – Parallelamente, tra le funzioni del CISR vengono aggiunte quelle di “consulenza, proposta e deliberazione” in caso di crisi cibernetica e su convocazione discrezionale da parte del Presidente del Consiglio. Viene inoltre espunta la partecipazione del Consigliere Militare, prevista dal precedente DPCM.

Art. 5 – Anche dal c.d. “CISR tecnico” di cui all’art. 5 viene espunta la partecipazione del Consigliere Militare, unitamente all’eliminazione di avvalersi del “Comitato Scientifico” precedentemente previsto dall’art. 6 del DPCM del 2013.

Art. 6 – L’art. 6, in precedenza relativo al c.d. “Comitato Scientifico” deputato alla predisposizione di “ipotesi di intervento rivolte a migliorare gli standard ed i livelli di sicurezza dei sistemi e delle reti“, viene ora dedicato ai poteri del Direttore Generale del DIS (il Dipartimento delle informazioni per la sicurezza di cui all’art. 4, della legge n. 124 del 2007), che vanno dall’adottare le iniziative idonee a definire le necessarie linee di azione per la sicurezza cibernetica nazionale, al predisporre gli opportuni moduli organizzativi, di coordinamento e di raccordo per la realizzazione delle linee di azione in precedenza definite, al potere di ricorrere a convenzioni e intese con le pubbliche amministrazioni e soggetti privati.

Art. 7 – La norma rimane sostanzialmente inalterata, subendo solo alcune modifiche stilistiche e l’eliminazione, anche in questo caso, di ogni riferimento al Comitato Scientifico di cui all’art. 6 del precedente DPCM.

Art. 8 – L’art. 8 contiene una piccola ma fondamentale modifica: il nuovo inserimento strutturale del Nucleo per la sicurezza cibernetica non più presso l’Ufficio del Consigliere Militare ma presso il DIS, precisando conseguentemente che la presidenza dello stesso spetta a un vice direttore generale del DIS stesso e che il Consigliere Militare, prima presidente del Nucleo, vi continuerà a partecipare solo in qualità di membro.  Viene infine inserito un obbligo del Nucleo di riferire sulle attività svolte al direttore generale del DIS stesso.

Art. 9 – In merito a quali sono le funzioni del Nucleo per la sicurezza cibernetica, viene precisata l’estensione dell’ambito di operatività del Nucleo anche alle situazioni di crisi che coinvolgano aspetti di sicurezza nazionale, con un preciso  obbligo di informare tempestivamente il Presidente, per il tramite del direttore generale del DIS, sulla situazione in atto, e viene previso il potere di acquisire informazioni dal CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche)  nell’esercizio dei servizi di protezione informatica delle infrastrutture critiche.

Art. 10 – Prima dedicato al NISP, Tavolo interministeriale di crisi cibernetica, ora disciplina invece la gestione delle crisi di natura cibernetica. In particolare, precisa il ruolo primario del Nucleo, la cui composizione può essere integrata, secondo necessità, con la partecipazione di rappresentanti del Ministero della salute, del Ministero delle infrastrutture e dei trasporti, del Dipartimento dei Vigili del fuoco, e del soccorso pubblico e della difesa civile, con potere di questi ultimi di farsi accompagnare da altri funzionari della propria amministrazione. Vengono inoltre riassegnati al Nucleo i compiti in precedenza affidati al Tavolo interministeriale.

Art. 11 – Quanto agli operatori privati di cui all’art. 11, vengono aggiunti all’elenco quelli previsti dalla Direttiva NIS (operatori di servizi essenziali e fornitori di servizi digitali) e vengono estesi i doveri di collaborazione prevedendo l’obbligo di consentire l’accesso ai SOC (Security Operations Center) aziendali. Viene inoltre prevista l’istituzione di un centro di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità e precisato che la mancata di comunicazione di eventi critici verrà valutata ai fini dell’affidabilita’ richiesta per il possesso delle abilitazioni di sicurezza.

Art. 12 – Norma sostanzialmente analoga alla precedente versione contenuta nel DPCM del 2013, con parziali modifiche di mera natura stilistica.

Art. 13 – La norma di chiusura del provvedimento, che prevede l’abrogazione espressa del DPCM del 2013, prevede altresì una disciplina transitoria destinata ad accompagnare il passaggio di competenze del Nucleo per la sicurezza cibernetica al DIS.

Sicurezza Cibernetica: il recepimento della Direttiva NIS è il prossimo passo

Occorre comunque tener presente che il Decreto in parola costituisce solo un temporaneo adeguamento nazionale della previgente architettura istituzionale delineata dal Decreto Monti del 2013 in attesa del recepimento della Direttiva NIS sopra citata, che sarà il vero passo avanti in questo ambito a livello normativo.

La Direttiva NIS, in particolare, come sintetizza la sopraccitata Relazione, prevede:

  • sul piano strategico: l’adozione di una strategia nazionale NIS che contempli la fissazione di obiettivi e priorità, delinei l’architettura di governo (comprensiva di ruoli e responsabilità attribuite ai diversi soggetti), preveda programmi di sensibilizzazione (awareness), piani di ricerca e sviluppo, nonché renda operativo un piano di valutazione dei rischi;
  • sul versante architetturale e operativo:
    • l’istituzione di una (o più) Autorità nazionale NIS e di un punto unico di contatto nazionale per la ricezione delle notifiche di incidenti e la cooperazione alla loro risoluzione;
    • la costituzione di uno o più Computer Security Incident Response Teams (CSIRTs), cui è – tra l’altro – attribuita la responsabilità della gestione degli incidenti e dei rischi, con specifico riferimento a quelli che dovessero interessare gli operatori di servizi essenziali, dovendo fornire loro supporto per la risoluzione degli incidenti di impatto significativo;
    • specifici obblighi di sicurezza informatica per:
      – gli operatori di servizi essenziali (nei settori dell’energia, del trasporto, bancario e finanziario, sanitario, idrico e delle infrastrutture digitali);
      – i fornitori di servizi digitali (come i motori di ricerca on-line, i negozi on-line, i servizi di cloud computing), tra cui l’obbligo della tempestiva notifica all’Autorità nazionale NIS degli incidenti informatici subiti.

Non ci resta che attenderne il recepimento in Italia, che auspichiamo avvenga nei termini previsti.

Staremo a vedere, nel frattempo, come verrà data in concreto esecuzione al nuovo Decreto sulla sicurezza cibernetica e se sarà per adesso sufficiente a scongiurare le numerose minacce del cyber spazio, che con sempre maggior frequenza stanno mettendo a rischio la sicurezza dei cittadini, delle aziende e dell’intero Paese.

A cura di: Avv. Aldo Benato

Profilo Autore

Laureato nel 2000 presso l'Università degli Studi di Trento, ho conseguito il titolo di avvocato a 26 anni dopo aver svolto la pratica presso uno Studio Legale associato a Castelfranco Veneto e presso l'Avvocatura dello Stato di Venezia.

Condividi sui Social Network:

Ultimi Articoli