L’esperto Giustozzi sul Perimetro di sicurezza nazionale allargato: “L’Italia ha completato il disegno della NIS estendendo gli stessi principi a quegli operatori che non erano compresi nella direttiva in quanto non erogavano servizi esclusivamente per lo Stato; un mosaico molto ampio e articolato che si sta completando”.
La cybersecurity sempre più al centro dell’agenda politica nazionale italiana. Dopo l’istituzione della nuova Agenzia per la cybersicurezza nazionale, l’Italia mette un altro tassello alla sicurezza cibernetica del Paese aggiornando l’elenco delle aziende rientranti nel Perimetro di Sicurezza Nazionale.
Il Presidente del Consiglio, Mario Draghi, a seguito della proposta formulata dal Comitato interministeriale per la sicurezza della Repubblica, ha firmato lo scorso 14 giugno l’aggiornamento dell’elenco dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica. È stato previsto, così, un allargamento dell’ambito di applicazione del perimetro ad ulteriori soggetti pubblici e privati che, complessivamente, esercitano, attraverso reti, sistemi informativi e servizi informatici, 223 funzioni essenziali dello Stato, ovvero erogano servizi essenziali per il mantenimento di attività civili, sociali o economiche strategiche. Allo stesso tempo, si è provveduto ad un affinamento di alcune funzioni e servizi essenziali dello Stato già ricompresi nel perimetro.
Perimetro di sicurezza nazionale allargato? Un mosaico molto ampio iniziato con la direttiva NIS
“Questo è l’ultimo tassello di un disegno molto ampio e articolato che esiste da diversi anni”, ci spiega Corrado Giustozzi (esperto di strategie per la cybersecurity, già responsabile dello sviluppo del CERT della Pubblica Amministrazione e già componente dell’Advisory Group dell’Agenzia dell’Unione Europea per la Cybersecurity ENISA). “L’iniziativa si inserisce nella grande architettura nazionale di sicurezza cibernetica che, per altro, sta per essere modificata con l’introduzione della nuova Agenzia per la cybersicurezza nazionale.
“Da due anni, l’Italia” – commenta Giustozzi – “si è adeguata ad una direttiva europea del 2016, la cosiddetta direttiva NIS (Network and Information Security). Una direttiva che ha l’obiettivo di innalzare in modo coordinato, in tutta l’Unione, le misure di sicurezza previste per quelle che una volta si chiamavano infrastrutture critiche e oggi rinominate operatori di servizi essenziali. Un cambio di nome che presenta una profonda trasformazione nella percezione di che cos’è un’infrastruttura critica. Mentre in passato si pensava solo a settori come quello dei trasporti, delle acque, ecc, oggi vi sono comprese anche le banche e le infrastrutture dei mercati finanziari, le strutture sanitarie, i servizi in cloud”.
“In questo quadro normativo l’Italia ha fatto qualcosa in più, in maniera autonoma, rafforzandolo con una norma nazionale”, continua l’esperto. “La direttiva NIS riguarda servizi critici per la società civile ma non copre i servizi critici per lo Stato stesso. L’Italia, quindi, ha chiuso il cerchio varando nel 2018 il cosiddetto Perimetro di sicurezza nazionale cibernetica, il quale impone, a quegli operatori pubblici o privati che erogano servizi o forniscono prodotti per la sicurezza dello Stato, un regime analogo a quello che la direttiva NIS impone agli operatori dei servizi essenziali. Pensiamo ad esempio a quegli operatori che forniscono apparati e sistemi tecnologici, come smartphone o reti, o ai fornitori di servizi essenziali per il buon funzionamento della macchina dello Stato. Il Perimetro prevede, dunque, un modello simile a quello della direttiva NIS, che parte con l’identificazione di quegli operatori che dovranno attuare le prescrizioni, le quali sono ricalcate su quelle della direttiva NIS. Quindi, dovranno dotarsi di misure di sicurezza adeguate facendo un’analisi del rischio, dovranno auto vigilarsi durante la loro attività, e dovranno notificare gli incidenti alle Autorità di controllo per il tramite dello stesso CSIRT attivato per l’attuazione della Direttiva NIS.
La nascita della nuova Agenzia? Sicuramente si snellirà la macchina burocratica
“L’Italia ha dunque completato il disegno della NIS estendendo gli stessi principi a quegli operatori che non erano compresi nella direttiva in quanto non erogavano servizi esclusivamente per lo Stato; un mosaico – conclude Giustozzi – molto ampio e articolato che si sta completando. A dicembre era già stato individuato un primo insieme di operatori essenziali, ma l’elenco è soggetto a revisioni: si è quindi riscontrata la necessità di aggiornarlo e ampliarlo, portando il numero di operatori a 223.
Infine, un’ultima battuta sulla nascita dell’Agenzia per la Cybersicurezza Nazionale (ACN). “Penso che uno dei motivi per cui questa nuova Agenzia sia distaccata dal DIS è proprio di consentirle una maggiore snellezza di operazioni con meno vincoli procedurali. Il DIS continuerà a fare le sue attività, ma le nuove, in ambito civile, richiedono una maggiore facilità di comunicazione e una maggiore rapidità nei processi di interazione con il mondo degli operatori che, ovviamente, il comparto intelligence non può garantire per via dei propri vincoli strutturali”.