Sulle regole in caso di attacchi informatici alle aziende inserite nel perimetro di sicurezza cibernetica nazionale, il sottosegretario Franco Gabrielli auspica “una revisione del Dpcm: occorre ascoltare le aziende interessate per valutare la reale applicabilità della norma, altrimenti facciamo editti, grida manzoniane”. Il videointervento al convegno “Le Nuove Reti per l’industria italiana e per i consumatori”.
Oltre a proporre “un’Agenzia ad hoc per gestire in modo olistico la sicurezza cibernetica, che non può essere più affidata al Dis”, come affermato in esclusiva a Cybersecurity Italia, Franco Gabrielli auspica anche una revisione del Dpcm che disciplina il perimetro di sicurezza nazionale cibernetica: lo “scudo” governativo dagli attacchi informatici per proteggere circa 150 infrastrutture critiche del Paese, tra enti pubblici, aziende statali e private.
Sulle regole in caso di attacchi informatici alle aziende inserite nel perimetro di sicurezza nazionale, per Gabrielli “Dobbiamo stare in ascolto delle esigenze dei soggetti destinatari. Altrimenti facciamo editti, grida manzoniane. E ci confermiamo il Paese delle leggi perfette rivelatesi inapplicabili”. Il Sottosegretario alla Presidenza del Consiglio con delega all’Intelligence l’ha dichiarato nel corso del convegno “Le Nuove Reti per l’industria italiana e per i consumatori”, che si è svolto l’8 aprile a Roma.
Il videointervento di Franco Gabrielli nel panel con Adolfo Urso, Vicepresidente Copasir, e Stefano Mele, Comitato Atlantico Italiano
Quale processo si attiva in caso di incidente o attacco informatico alle aziende nel perimetro di sicurezza cibernetica?
Il riferimento di Gabrielli è alla norma nel Dpcm, secondo la quale, il caso di incidente, l’azienda violata è tenuta a informare, entro 6 ore al massimo (e non, come previsto dalla direttiva europea Nis, entro le 24 ore successive dal malfunzionamento) il Csirt (Computer security incident response team) cioè il gruppo di esperti istituito presso il Dis. Quando l’intrusione è grave, si attiva il Nucleo per la sicurezza cibernetica, che propone al presidente del Consiglio delle ipotesi di risposta all’attacco e coordina il ripristino del servizio.
I soggetti inseriti nel perimetro di sicurezza nazionale cibernetica rischiano sanzioni fino a 1,5 milioni di euro se non comunicano l’incidente o attacco informatico
I soggetti inseriti nel perimetro di sicurezza nazionale cibernetica rischiano sanzioni fino a 1,5 milioni di euro se non comunicano l’incidente o attacco informatico.
“Il Dpcm che andrà ora all’analisi parlamentare”, ha aggiunto Gabrielli nel suo intervento al convegno, “fortunatamente, stabilisce un tempo di sperimentazione”, durante il quale, si augura il sottosegretario la norma possa essere migliorata.
Il Nucleo per la sicurezza cibernetica è composto da tutti gli attori nazionali dell’architettura cyber: delegati del Dis, di Aise e Aisi, dei ministeri, dell’Agenzia per l’Italia digitale, della Protezione Civile, della Postale e il consigliere militare del premier.
E per quanto riguarda la gestione della cybersecurity, secondo Franco Gabrielli è l’ora di creare un’Agenzia ad hoc, come, per esempio, quella francese ANSSI (National Agency for the Security of Information Systems). Ha motivato così la sua proposta.
Perché un’Agenzia per la cyber resilience
“Dal 2017 il comparto dell’Intelligence ha svolto una funzione importante, anche se a mio avviso di supplenza, come la definizione del perimetro di sicurezza cibernetica, il Centro di valutazione e certificazione nazionale (CVCN), di certo è stato fatto molto”.
Ma ora per Gabrielli bisogna concepire un’Agenzia “fuori dal comparto dell’Intelligence, perché quest’ultima si occupa di un aspetto, ma non della complessità della resilienza cibernetica”.
“Credo”, ha detto il sottosegretario con delega ai servizi di informazione e sicurezza, nella videointervista in esclusiva a Cybersecurity Italia, “sia arrivato il tempo di creare una struttura, un’Agenzia che tratti in maniera olistica il tema della sicurezza cibernetica e della crescita culturale in questo settore. Dobbiamo affrancarci da una modalità emergenziale ed affrontare il tema in modo più strutturale e ordinario”.