Cerca

Il decreto-legge sulla sicurezza cibernetica in Italia: cosa è essenziale sapere

CYBERNEWS
Il decreto-legge sulla sicurezza cibernetica in Italia: cosa è essenziale sapere

in collaborazione con Surfshark.com


La sicurezza cibernetica in Italia ha fatto molta strada, e le nuove leggi volte a proteggere i sistemi informativi e le reti informatiche, con tutta probabilità, la renderanno ancora più efficace.

Sia che stiate rinfrescando le vostre conoscenze linguistiche prima di una visita in Italia, sia che stiate tornando oltremare dopo una lunga vacanza, è una buona idea prendere in considerazione l’adozione di una VPN per navigare in rete in futuro. La seguente pagina Casi Uso Della VPN riporta i 12 vantaggi principali che derivano dall’utilizzo di una VPN, mentre questa pagina sulle Caratteristiche Della VPN vi può indicare una VPN di qualità, in grado di proteggervi quando siete in movimento.

Anche se l’Italia è destinata a diventare più sicura negli anni a venire dal punto di vista informatico, è ancora pericoloso navigare online senza alcuna protezione. L’ultimissima strategia italiana in materia di sicurezza cibernetica nazionale dispone nuovi obblighi a carico delle compagnie di tecnologie informatiche, in riferimento alla rete 5G, alla sicurezza cibernetica e ai poteri speciali esercitabili da parte del Governo. Analizziamo nel dettaglio cosa rende questa strategia così speciale.

Il decreto-legge sulla sicurezza cibernetica

Il decreto-legge sulla sicurezza cibernetica è stato pubblicato ufficialmente il 21 settembre 2019, come decreto-legge n. 105/2019 sulla Gazzetta Ufficiale della Repubblica Italiana n. 222, del 21.9.2019, ed è stato adottato dal Governo con effetto immediato.

Il decreto-legge dispone l’istituzione di un perimetro nazionale di sicurezza cibernetica, in grado di introdurre e mantenere misure atte a garantire la sicurezza e la funzionalità delle reti e dei sistemi informatici nuovi e già in uso. In particolare, esso dispone le misure e i requisiti dei servizi informatici e dei sistemi informativi delle amministrazioni pubbliche, degli enti e degli operatori nazionali pubblici e privati, che svolgono fondamentali funzioni dello Stato, fornendo servizi essenziali in ambito sociale, civile ed economico, la cui compromissione quindi comporterebbe dei gravi rischi per la sicurezza nazionale.

Tecnologia 5G e il decreto dei poteri speciali

Per adottare e ottimizzare le misure previste dal decreto-legge sulla sicurezza cibernetica, I servizi di riferimento dovranno essere basati sulla tecnologia 5G e coordinare l’attuazione del Regolamento (UE) n. 452/2019. Il decreto-legge sulla sicurezza cibernetica integra e adegua il Quadro normativo che regola l’esercizio di poteri speciali da parte del Governo, come previsto nel decreto-legge del 15 marzo 2012, detto appunto “decreto dei poteri speciali.”

Se da una parte il decreto-legge sulla sicurezza cibernetica può apparire generico, esso tuttavia riesce a definire sottilmente e dettagliatamente i servizi inclusi nella propria sfera di competenza. Anche se procedure e regolamenti specifici per il funzionamento della sicurezza cibernetica nazionale sono ancora in corso di emanazione, le disposizioni previste dal decreto già indicano una serie di doveri di notifica e degli obblighi specifici a cui gli operatori devono attenersi.

Requisiti e Obblighi di notifica

Il primo requisito è l’obbligo di notificare alla Presidenza del Consiglio dei Ministri, come pure al Ministero dello Sviluppo Economico, tutti gli aggiornamenti alle infrastrutture e alle tecnologie critiche utilizzate dagli operatori coinvolti.

In secondo luogo, gli utenti devono notificare alle autorità gli incidenti che possono avere conseguenze sulle suddette infrastrutture e tecnologie critiche, di pertinenza del Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT). Tali conseguenze sono determinate secondo criteri prestabiliti, e ognuna deve essere seguita da procedure specifiche atte ad assicurare la sicurezza post factum.

In fine, gli operatori devono attenersi a tutte le misure specifiche create per garantire il più alto livello di sicurezza delle infrastrutture e tecnologie critiche. Inoltre, le disposizioni del decreto investono anche i fornitori, poiché l’acquisto di beni, servizi e sistemi informatici utilizzati nell’ambito delle infrastrutture e tecnologie critiche deve essere notificato dagli operatori al Centro di valutazione e certificazione nazionale (CVCN).

Effettuazione di test di controllo su hardware e software

La nuova legge prevede anche il dovere per i fornitori di collaborare con il CVCN—che potrebbe determinare nuove condizioni speciali per richiedere servizi di controllo su hardware e software. Tali servizi possono essere acquistati se i fornitori sono in grado di dimostrare che sussistono le condizioni specifiche per test di controllo su hardware e software in base a una valutazione del rischio conseguente.

In tal caso, relativi bandi di gara e contratti devono includere condizioni, precedenti e clausole di rescissione che rispettino gli esiti dei controlli effettuati dal CVCN.

Cosa accade nel caso di mancato adempimento

Come nel caso di ogni decreto entrato in vigore, coloro che non adempiono alle suddette disposizioni, sono soggetti alla sospensione del servizio e a problemi professionali. Infatti, in caso di mancato adempimento alle disposizioni che prevedono la piena collaborazione con le autorità pubbliche, sono previste multe amministrative che vanno da 250.000,00 a 1.800.000,00 Euro per ogni infrazione che ne risulta. Inoltre, è prevista la responsabilità penale, che comporta fino a cinque anni di prigione e multe fino a 64.000,00 Euro.

Laddove si prende in considerazione l’esercizio di poteri speciali, il decreto ne stabilisce le modalità di utilizzo nel contesto della tecnologia 5G in uso. Nello specifico, il decreto prevede i casi in cui le autorità pubbliche devono avvalersi di tali poteri speciali, ossia i casi in cui la valutazione di potenziali vulnerabilità riveli la compromissione dell’integrità della sicurezza di una rete 5G.

Tale valutazione esamina tutte le reti e i dati trasmessi attraverso di esse, ed è svolta direttamente dal CVCN tramite una investigazione preliminare. Tale investigazione diventa immediatamente parte integrante della procedura di assunzione dei poteri speciali, e quindi può avere peso sulle decisioni prese dal Governo prima dell’entrata in vigore del decreto.

Integrazioni e modifiche alla normativa precedente

Ѐ importante notare anche l’articolo 4 del decreto, che affronta l’emanazione di regole attuative, estendendo il raggio di applicazione dell’esercizio dei poteri speciali, includendo direttamente le imprese operanti negli ambiti elencati nell’articolo 4(1) del Regolamento dell’UE n. 452/2019. Tale articolo tratta del vaglio degli investimenti diretti da parte di società ed enti stranieri, regolando in particolare le misure di attuazione e gli obblighi di notifica in alcune situazioni, e quindi si applica immediatamente a tutti i settori inclusi nelle varie sezioni del suddetto Regolamento dell’UE, quali i comparti delle tecnologie, dell’intelligenza artificiale, della robotica, della difesa e della sicurezza nazionale, dell’aerospazio, dei prodotti a duplice uso, e altro ancora.

Nell’eventualità di un rischio serio per la sicurezza nazionale o nel corso di una crisi cibernetica di entità grave, il decreto conferisce autorità immediate al Presidente del Consiglio dei Ministri. Tale autorità consente al Presidente di disattivare in parte o per intero il Sistema in via temporanea; un atto che può coinvolgere molti componenti e prodotti utilizzati dai sistemi informatici e dai provider di reti.

Poiché i vari dispositivi legali previsti dal decreto-legge ricadono nell’ambito del Sistema legislativo italiano, è ovvio che in futuro ci saranno modifiche dettate dal diritto dello Stato. Tuttavia, il decreto-legge è già ben consolidato nel Sistema legislativo del Paese, visto che sin dal 21 settembre 2019 ha provveduto a regolare l’ambito della tecnologia nella maniera più estesa e capillare possibile.

Soddisfare i prerequisiti del decreto

I provider di servizi che soddisfano i nuovi prerequisiti sanciti dal decreto avranno il tempo necessario per comprendere e prendere atto delle nuove regole. Al fine di identificare il perimetro di sicurezza nazionale, il decreto-legge sulla sicurezza cibernetica stabilisce che le regole da esso sancite siano attuate con decreti aggiornati ogni due anni in base agli ultimissimi sviluppi tecnologici in Italia.

Tali decreti devono essere adottati sulla base di usi importanti o imprescindibili. Inoltre, ognuno di essi deve essere adottato dalla Commissione Interministeriale per la Sicurezza della Repubblica. Un decreto presidenziale deve seguire l’implementazione di nuove regole.

In quanto tale, un decreto del Presidente del Consiglio dei Ministri deve essere adottato entro quattro mesi dalla data dell’entrata in vigore della legge di conversione del decreto-legge sulla sicurezza cibernetica—identificando così in modo specifico tutti gli enti pubblici e privati inclusi in tale perimetro di sicurezza. I criteri per aderire agli elenchi in questione e gli elenchi stessi saranno inviati rispettivamente agli enti pubblici e privati aderenti, per assicurarne la trasmissione successiva al punto di contatto unico e all’organo del Ministero dell’Interno che si occupa della sicurezza e della regolarità dei servizi di telecomunicazione.

Un decreto del Presidente del Consiglio dei Ministri deve essere poi adottato entro dieci mesi dalla entrata in vigore dei regolamenti che convertono il decreto-legge sulla sicurezza cibernetica – cioè quelli che definiscono procedure specifiche nel caso di notifiche di incidenti, e del loro impatto sulle reti coinvolte. Tali misure rilevanti di certo devono assicurare i più alti livelli di sicurezza informatica – e la prevenzione o la mitigazione degli incidenti che riguardano la gestione delle operazioni.

Ai sensi del decreto legislativo N. 231/2001, è inclusa una sanzione pecuniaria con un tetto di quattrocento quote per gli enti connessi che non aderiscono alle regole, combinando così le mansioni specifiche del CVCN con gli aspetti dell’articolo 2 del decreto-legge sulla sicurezza cibernetica che disciplinano il reclutamento professionale di personale qualificato per svolgere le mansioni quotidiane del CVCN.

Cambiamenti estremamente necessari per la sicurezza cibernetica

Negli ultimi anni, la sicurezza cibernetica in Italia è stata un argomento scottante. Dopo la conclusione del mese europeo per la sicurezza cibernetica, si sono susseguiti molti appuntamenti. A ottobre, si sono svolti il Forum per la sicurezza informatica a Roma, l’IBM Think e altre iniziative.

Oggi, stanno emergendo piccole e medie imprese nel settore della sicurezza cibernetica. Ad esempio, la Cybaze ha effettuato numerose fusioni e acquisizioni, mentre la Omintechit ha aperto nuovi uffici in mezza Europa.

Nonostante le crescenti iniziative e regolamentazioni del settore, l’Italia non è immune da minacce cibernetiche. Infatti, uno degli attacchi del crimine cibernetico documentati più di recente riguardante una compagnia navale italiana ha rivelato nuove problematiche inerenti ai dati digitali presi dai social media, l’utilizzazione da parte di operatori non statali dell’influenza politica digitale e la manipolazione su Internet della percezione mediatica di questioni rilevanti, quali le tasse, l’immigrazione e l’Unione Europea.

Le multinazionali che diffondono reti in Italia vendono software e dispositivi per le comunicazioni digitali, che però non sempre garantiscono la sicurezza, soprattutto per quanto concerne i settori strategici. Con ogni probabilità, la piena applicazione delle difese in 5G, come pure una futura ridefinizione secondo standard digitali potenziati della comunicazione tra sistemi industriali, automobili e oggetti digitali connessi, avranno un impatto notevole su tali questioni.

L’aumento della protezione nell’ambito della sicurezza cibernetica in futuro

Fortunatamente, gli sforzi volti a stabilire un ecosistema digitale sicuro in Italia hanno dato risultati. Oggi, la sicurezza cibernetica in Italia sta crescendo più che mai, e il decreto Gentiloni sta decollando velocemente. Nel frattempo, al Dipartimento Informazioni per la Sicurezza (DIS) ci si aspetta che la collaborazione tra il Ministero dell’Interno e il Ministero della Difesa rafforzi le iniziative per la difesa cibernetica, le investigazioni e le strutture difensive sia per le aziende sia per i privati.

Dunque, dove vi collocate nel panorama italiano sempre più variegato della sicurezza in rete? Se vi recherete in Italia in futuro, potreste avere il vantaggio di un ecosistema di protezione digitale a trecentosessanta gradi, il più raffinato che ci sia mai stato. Eppure, è una buona idea rafforzare ulteriormente la propria sicurezza in Internet, visto che, nonostante l’entrata in vigore di nuove regole, molte aziende stanno ancora arrancando per mettersi al passo e aderire ai nuovi obblighi sanciti dalla legge. Anche se probabilmente i principali componenti digitali del settore pubblico saranno più sicuri, vi esporrete ancora a rischi senza l’anonimato e la protezione delle informazioni in Internet che un provider di VPN affidabile offre.



RIPRODUZIONE RISERVATA © Copyright Adnkronos.