You are currently viewing Perimetro di sicurezza nazionale cibernetica

Perimetro di sicurezza nazionale cibernetica

L’istituzione del “Perimetro di sicurezza nazionale cibernetica” (Legge 18 novembre 2019, n. 133), scaturisce dalla necessità di innalzare la resilienza di reti, sistemi informativi e servizi informatici degli attori nazionali, pubblici e privati, che esercitano una funzione essenziale dello Stato ovvero hanno carattere strategico per gli interessi del Paese.

Cosa si intende per incidente cyber

L’incidente può riguardare la rete o un sistema informativo, ovvero:

  • una rete di comunicazione elettronica;
  • qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale;
  • i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi.

A chi si applica

Attori nazionali pubblici e privati che esercitano una funzione essenziale dello Stato ovvero hanno carattere strategico per gli interessi del Paese.

A cosa si applica

Reti, sistemi informativi e servizi informatici dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

Cosa prevede

Per gli attori pubblici e privati che inclusi nel perimetro la normativa prevede un triplice obbligo di:

  • notifica degli incidenti, così da assicurare un immediato flusso di informazione a favore delle strutture deputate alla prevenzione, preparazione e gestione degli eventi cyber, in particolare Nucleo per la sicurezza cibernetica, incardinato nel DIS, e Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT);
  • adozione di misure di sicurezza che vanno a coprire organizzazione, processi e procedure;
  • osservanza di apposite procedure per lo screening tecnologico degli approvvigionamenti ICT destinati agli asset rilevanti dei soggetti inclusi nel perimetro, dandone comunicazione al Centro di Valutazione e Certificazione Nazionale (CVCN), chiamato a pronunciarsi entro 30 giorni dalla notifica dell’intenzione di procedere all’acquisto di beni, sistemi e servizi ICT.

Iter di approvazione

È stato approvato nel mese di Maggio il secondo DPCM attuativo del Perimetro di sicurezza nazionale cibernetica, relativo alle modalità di notifica degli incidenti cyber: gli incidenti definiti “gravi”, ossia infezione, guasto, installazione, movimenti laterali e azioni sugli obiettivi, dovranno essere denunciati al CSIRT (Computer Security Incident Response Team) del DIS entro un’ora dall’accaduto.

Si avranno fino a sei ore di tempo in casi ritenuti meno gravi.