In vigore dal 5 novembre il provvedimento che definisce i criteri per scegliere i soggetti che esercitano funzioni e servizi essenziali del Paese per essere inseriti nel Perimetro di sicurezza nazionale cibernetica.
Sarà top secret l’elenco degli enti pubblici, delle aziende statali e private che saranno inseriti nel perimetro di sicurezza nazionale cibernetica. La lista sarà completata entro la fine del mese e sarà composta da almeno 150 nominativi: rappresentano gli asset strategici dell’Italia, le infrastrutture critiche da difendere con un “scudo” governativo dagli attacchi informatici. E saranno individuati dai ministeri secondo i criteri stabiliti dal DPCM del 30 luglio 2020 ora pubblicato in Gazzetta Ufficiale ed in vigore dal 5 novembre prossimo.
“Negli ultimi trentasei mesi è stato avviato un processo di adeguamento normativo volto a potenziare la resilienza del Paese. Con la legge sul Perimetro, l’Italia si è posta all’avanguardia dell’Europa”, ha dichiarato Gennaro Vecchione, il direttore del Dis cui è assegnato il compito di coordinare l’attuazione del Perimetro di sicurezza cibernetica.
In quali settori è possibile scegliere i soggetti che esercitano funzioni e servizi essenziali?
“Ai fini dell’inclusione nel perimetro”, si legge nel decreto, “sono oggetto di individuazione soggetti operanti nel settore governativo, concernente, nell’ambito delle attività dell’amministrazione dello Stato, le attività delle amministrazioni CISR (Comitato interministeriale per la sicurezza della Repubblica), nonché gli ulteriori soggetti, pubblici o privati, operanti nei seguenti settori di attività, ove non ricompresi in quello governativo:
a) interno;
b) difesa;
c) spazio e aerospazio;
d) energia;
e) telecomunicazioni;
f) economia e finanza;
g) trasporti;
h) servizi digitali;
i) tecnologie critiche
Quale processo si attiva in caso di incidente o attacco informatico?
Nel caso di incidente, spiega Repubblica, l’azienda violata è tenuta a informare, entro 6 ore al massimo (e non, come previsto dalla direttiva europea Nis, entro le 24 ore successive dal malfunzionamento) il Csirt (Computer security incident response team) cioè il gruppo di esperti istituito presso il Dis. Quando l’intrusione è grave, si attiva il Nucleo per la sicurezza cibernetica, che propone al presidente del Consiglio delle ipotesi di risposta all’attacco e coordina il ripristino del servizio.
Il Nucleo per la sicurezza cibernetica è composto da tutti gli attori nazionali dell’architettura cyber: delegati del Dis, di Aise e Aisi, dei ministeri, dell’Agenzia per l’Italia digitale, della Protezione Civile, della Postale e il consigliere militare del premier.
I soggetti inseriti nel perimetro di sicurezza nazionale cibernetica rishiano sanzioni fino a 1,5 milioni di euro se non comunicano l’incidente o attacco informatico.
Per approfondire: