DL sicurezza cibernetica, dall’AgID al Consiglio dei ministri

Il perimetro di sicurezza cibernetica, richiesto a gran voce dal Consiglio Dei Ministri, subirà qualche drastico cambiamento. È questo ciò che emerge dalla nuova emanazione del decreto, che il 17 settembre ha visto il passaggio di testimone dall’AgId al Consiglio dei ministri. Sarà la Presidenza del Consiglio e non più l’Agenzia per l’Italia digitale ad occuparsi di svolgere le attività di ispezione e verifica del rispetto dell’adozione delle norme a tutela della sicurezza da parte dei soggetti pubblici, mentre resterà al Mise la responsabilità per i soggetti privati.

AgID fuori, dentro il Consiglio dei ministri

È un importante cambiamento all’interno del decreto: nonostante il passaggio di consegna, l’AgID rimarrà comunque a disposizione del Consiglio e, qualora chiamata in causa, potrà intervenire direttamente sotto sua richiesta. Questo nuovo provvedimento sostituisce il precedente disegno di legge, di cui avevamo scritto qui. Rimangono invariate le assunzioni volte a comporre il team del Mise e dell’AgId: 57 risorse per il primo e 10 per il secondo. Nel decreto troviamo disposizioni relative alla banda del 5G, sui cui si assicura non solo una stretta sorveglianza, ma anche prevedendo la “… sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano di sicurezza”, “… al fine di assicurare livelli di sicurezza equivalenti a quelli prescritti dal decreto”.

Crisi cibernetica

L’art 5, invece determina il comportamento del Consiglio in caso di crisi cibernetica, in cui Il Presidente del Consiglio si riserva, nel caso di crisi, di predisporre “… la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati”. Non si trovano qui cambiamenti sostanziali con il precedente disegno di legge.

Le tempistiche

Il Centro di valutazione e certificazione nazionale (Cvcn) istituito presso il Mise potrà entro 30 giorni imporre condizioni e test per differenti hardware e software. È fissata a quattro mesi la deadline per individuare le amministrazioni pubbliche, gli enti e gli operatori pubblici e privati che devono entrare a far parte del cosiddetto perimetro cibernetico, a garanzia della sicurezza di reti e servizi considerati “strategici”. Dieci mesi di tempo, invece, per definire le procedure secondo cui i soggetti che fanno capo al perimetro notificano gli incidenti che hanno impatto su reti, sistemi e servizi.

Il testo integrale del decreto è riportato qui.

– DISCOVER THE REGTECH COMPANY –