Ddl sicurezza cibernetica, più controlli sulla rete italiana

Un Paese che corre

Che l’Italia non fosse “ciberneticamente” al passo coi tempi, lo avevamo già capito. Pur non essendo capofila nella corsa alla tecnologizzazione, il belpaese sta però lentamente prendendo parte al progresso scientifico, sia a livello nazionale che europeo. Basti pensare alla legittimazione dei Registri Distribuiti da parte del governo e dei suoi organi, o agli investimenti in termini di Intelligenza Artificiale che si susseguono su tutto il territorio nazionale. Tutte spie sul cruscotto che indicano una sola direzione, cioè la strada da percorrere davanti a noi. Che, alcuni giorni fa, ha portato alla creazione di un ddl “In materia di perimetro di sicurezza nazionale cibernetica”, fortemente voluto dal Consiglio dei ministri e di grande impatto per la società moderna altamente digitalizzata. In un tempo in cui il web è tutto meno che sicuro, appare necessario, se non fondamentale, un perimetro definito entro il quale muoversi in sicurezza, dentro a delle “mura digitali” che siano in qualche modo invalicabili.

Qualcosa di nuovo

Il disegno conta alcuni punti salienti e numerose proposte di applicazione. “Il testo – si legge in una nota – introduce disposizioni volte ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento o interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”. All’interno del ddl troviamo disposizioni sulle Autorità di Vigilanza, sull’applicazione effettiva della legge, sulla sua decorrenza e sugli ambiti di competenza dei vari organi.

I punti focali

Sono cinque in totale le colonne che gettano le basi per la costruzione di un decreto di sicurezza cibernetica. Essi sono:

  1. La definizione delle finalità del perimetro e delle modalità di individuazione dei soggetti pubblici e privati, nonché delle rispettive reti, dei sistemi informativi e dei servizi informatici rilevanti per le finalità di sicurezza nazionale cibernetica per i quali si applicano le misure di sicurezza e le procedure introdotte.
  2. L’istituzione di un meccanismo teso ad assicurare un procurement più sicuro per i soggetti inclusi nel perimetro che intendano procedere all’affidamento di forniture di beni e servizi ICT destinati a essere impiegati sulle reti, sui sistemi e per i servizi rilevanti.
  3. L’individuazione delle competenze del MISE e dell’AgID – privati e pubblici -.
  4. L’istituzione di un sistema di vigilanza e controllo sul rispetto degli obblighi introdotti.
  5. Lo svolgimento delle attività di ispezione e verifica da parte delle strutture specializzate in tema di protezione di reti e sistemi nonché, per quanto riguarda la prevenzione e il contrasto del crimine informatico, delle Amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti.
Le Autorità competenti

Ma da chi e in che modo si comporranno effettivamente gli organi di vigilanza preposti? A capo di tutto troviamo il Centro di valutazione e certificazione nazionaleCVCN ­– che porterà avanti il processo di verifica sui soggetti inclusi. La verifica ed il controllo degli enti privati verrà affidata al MISE, mentre quella relativa alle pubbliche amministrazioni sarà di competenza dell’AgID. Il MISE sarà inoltre “… autorità competente con poteri ispettivi e sanzionatori – per i settori energia ed infrastrutture e servizi digitali – e depositario dell’elenco degli operatori dei servizi essenziali”. Soprattutto, esso sarà l’autorità di riferimento per i fornitori di servizi di comunicazione elettronica e l’organismo di certificazione e sicurezza informativa presso cui è stato istituito il CVNC.

Sanzioni e sanzionati

All’interno del documento una parte da sottolineare sono sicuramente le salatissime sanzioni che verranno comminate ai più “disattenti”: si parte da 200.000 euro per le omissioni “leggere” fino ad arrivare ad un massimo di 1 milione e 800 mila per quelle più gravi. Già da cui emerge la volontà dello stato di marcare la mano sul punto, segno inequivocabile del giro di vite sulla sicurezza della rete voluta dalle Autorità. Inoltre, vi sono anche delle indicazioni di carattere penale all’interno del disegno. In caso di provvedimento indirizzato al singolo, si va dalla sua interdizione da incarichi direzionali – ovviamente in campo delle tecnologie di informazione – per un periodo di tre anni fino alla possibile reclusione da 1 a 5 anni qualora fornisse informazione false o non corrispondenti al vero.