Tra gli obiettivi a livello governativo per i prossimi anni c’è l’istituzione del Perimetro di Sicurezza Nazionale Cibernetica (PSNC) che coinvolgerà parte della Pubblica Amministrazione e delle aziende operanti in settori “sensibili”. ZeroUno ne ha parlato con l’Avv. Stefano Mele (in foto di apertura), Partner presso Gianni&Origoni, ove è il Responsabile del Dipartimento Cybersecurity Law e co-Responsabile del Dipartimento Privacy.
ZeroUno: Quali sono le novità per le pubbliche amministrazioni e le aziende private che derivano dalla normativa sul Perimetro di Sicurezza Nazionale Cibernetica?
Il Perimetro di Sicurezza Nazionale Cibernetica guarda non a tutte le aziende e a tutte le pubbliche amministrazioni, perché non tutte le aziende e tutte le pubbliche amministrazioni sono importanti per la nostra sicurezza nazionale. Questa normativa, infatti, si focalizza esclusivamente su due ampie macro-categorie: la prima è quella dei soggetti pubblici che svolgono una funzione essenziale per lo Stato, come ad esempio gli organi centrali e i ministeri. La seconda, è quella dei soggetti pubblici e privati che svolgono una funzione essenziale per gli interessi dello Stato, ove rientrano tutti quei soggetti che, per intenderci, erogano un servizio essenziale per i cittadini, come, ad esempio, le telecomunicazioni, i trasporti, l’energia, i sistemi bancari e finanziari, o ancora le infrastrutture digitali e tecnologiche. In definitiva, la normativa sul Perimetro di Sicurezza Nazionale Cibernetica riguarda tutti quei soggetti pubblici e privati per i quali un eventuale incidente (non solo un attacco cyber) posso avere un impatto rilevante per la nostra sicurezza nazionale.
ZeroUno: Qual è lo stato di attuazione del Perimetro Cyber e le sue future evoluzioni?
Sul tema dello stato di attuazione, la normativa richiede a tutti questi attori notevoli sforzi sul piano organizzativo e dei processi, nonché su quello infrastrutturale (oltre che, ovviamente, anche economico), al fine di elevare i livelli di sicurezza cibernetica nelle reti, nei sistemi e nei servizi utilizzati per l’erogazione di quella funzione essenziale per l’interesse dello Stato o di quel servizio essenziale dello Stato per cui sono stati “chiamati nel Perimetro”. Poco prima di Natale, peraltro, si è chiuso il primo giro di comunicazioni relative all’attuazione delle misure di sicurezza previste da questa normativa per tutti quei soggetti pubblici e privati coinvolti nel Perimetro nel dicembre del 2020. Altri, invece, coinvolti più recentemente, stanno chiudendo i primi adempimenti legati all’individuazione dei beni ICT. Ad ogni modo, l’orizzonte temporale complessivo degli adempimenti richiesti dal legislatore è di circa due anni dal momento in cui il soggetto pubblico o privato riceve la comunicazione di inclusione nel Perimetro di Sicurezza Nazionale Cibernetica.
Sul piano normativo, invece, siamo in attesa che venga pubblicato in Gazzetta Ufficiale il quarto Decreto del Presidente del Consiglio dei ministri legato al tema delle regole di accreditamento dei Laboratori Accreditati di Prova (LAP), i quali supporteranno le attività di un elemento cardine nella costruzione del Perimetro di Sicurezza Nazionale Cibernetica, ovvero il Centro di Valutazione e Certificazione Nazionale (CVCN). A questa struttura, infatti, originariamente creata all’interno del Ministero dello Sviluppo Economico e adesso spostata nell’Agenzia per la Cybersicurezza Nazionale (ACN), spettano le attività di valutazione dei beni, sistemi e servizi ICT destinati ad essere impiegati all’interno delle infrastrutture ICT che supportano la fornitura di servizi essenziali o di funzioni essenziali per lo Stato. Voci di corridoio assicurano che questo DPCM sarà pubblicato in Gazzetta Ufficiale per la metà di febbraio.
Mancherebbe all’appello, in realtà, anche un Decreto sui poteri del Presidente del Consiglio dei ministri in caso di crisi di natura cibernetica, che espliciti meglio le previsioni dell’art. 5 della Legge sul Perimetro di Sicurezza Nazionale Cibernetica, seppur già direttamente applicabili. Tuttavia, almeno per il momento, di quest’ultimo e fondamentale Decreto si sa davvero molto poco, ammesso che venga mai reso pubblico.
ZeroUno: Un tema rilevante relativo alla normativa sul Perimetro di Sicurezza Nazionale Cibernetica è quello relativo alla localizzazione dei dati. Come stanno gestendo questo adempimento le aziende?
L’obbligo di localizzazione sul territorio nazionale – o in alcuni specifici casi all’interno dei confini dell’Unione europea – delle infrastrutture ICT utilizzate per la fornitura dei servizi essenziali o delle funzioni essenziali per lo Stato è una delle misure di sicurezza più delicate tra quelle che soprattutto gli operatori privati sono chiamati oggi ad attuare. Infatti, in un panorama internazionale in cui l’uso del cloud computing è sempre più diffuso e conveniente, esistono moltissime primarie realtà nazionali che hanno investito su questa innovativa tecnologia parecchie decine di milioni di euro, vincolandosi con contratti pluriennali. Il problema, però, sorge nel momento in cui – com’è noto – i principali attori nel mondo del cloud non sono italiani e neanche europei. Ciò comporta che i dati delle nostre aziende siano spesso trattati al di fuori dei nostri confini nazionali e solo nei casi più “fortunati” entro i confini dell’Unione europea. Le aziende incluse nel Perimetro, quindi, dovranno guardare con estrema attenzione a questa richiesta del legislatore, provvedendo a “ri-nazionalizzare” quanto prima questa parte di infrastruttura tecnologica entro i termini previsti dalla normativa. Purtroppo, come stiamo vedendo in questi giorni, ciò avverrà con non poche problematiche, soprattutto sotto il profilo legale.
ZeroUno: Come è possibile combinare questo vincolo normativo con un mercato tecnologico che si muove in una direzione molto diversa?
Su questo piano, a livello europeo, ha sicuramente un profilo di elevato interesse il progetto GAIA-X, che sta definendo una serie di linee guida per la creazione di un consorzio di soggetti europei che erogano servizi cloud. Peccato, però, che al momento pare essersi completamente arenato. In Italia, invece, il recentissimo progetto di creare un cloud nazionale per la Pubblica amministrazione potrà senz’altro rappresentare una risorsa utile per raggiungere gli scopi prefissati dalla normativa. Infatti, immagino che questo progetto punterà alla creazione di una piattaforma cloud distribuita con caratteristiche di sicurezza perfettamente in linea con quelle richieste dal Perimetro di Sicurezza Nazionale Cibernetica e dalle altre normative europee rilevanti, come, ad esempio, la Direttiva NIS (o, meglio, la futura “Direttiva NIS2″). La definizione di standard elevati adeguati e la disponibilità di piattaforme cloud che li soddisfino è una priorità assoluta per la protezione delle informazioni delle Pubbliche amministrazioni e, di conseguenza, per la nostra sicurezza nazionale.
Al fianco di questo validissimo progetto, però, da alcuni mesi mi sento sempre in dovere di provare a suggerire anche una mia idea: quella di creare un cloud nazionale per le PMI. Ovviamente, l’adesione a questo “servizio in cloud” del governo non potrà che essere su base volontaria, accessibile a seguito del pagamento di un “canone” parametrato al servizio richiesto e dovrà tenere in considerazione molti altri elementi abilitanti alla sua creazione, ma ritengo che ormai questa sia l’unica soluzione percorribile davvero efficace per elevare i livello di cybersecurity anche in un settore – come quello delle PMI – che in Italia rappresenta il 64,3% della ricchezza del nostro Paese, attestandosi su una percentuale del 99,9% delle società non finanziarie presenti all’interno dei nostri confini. Ignorare questo aspetto sarebbe miope. Il rischio, infatti, è che le vulnerabilità delle piccole e medie imprese, che – occorre ricordarlo – sempre più spesso operano anche come fornitori delle grandi industrie e delle Pubbliche amministrazioni (anche quelle inserite nel Perimetro di Sicurezza Nazionale Cibernetica), si riverberino su tutto il sistema, trasformando i fornitori in veri e propri “cavalli di troia”. Insomma, per semplificare un po’, perché tutto il sistema Paese abbia dei livelli di cybersecurity davvero elevati è indispensabile che il nostro governo non si occupi solo dei “piani alti”, ma che fornisca degli strumenti a tutta la filiera.
ZeroUno: L’impatto sui fornitori di tecnologia, invece, quali caratteristiche avrà?
Questo è un ulteriore aspetto rilevante, di cui però di parla pochissimo. I fornitori che vendono tecnologia, software e servizi ai soggetti inclusi all’interno del Perimetro di Sicurezza Nazionale Cibernetica devono prestare una grande attenzione al dettato di questa normativa. Infatti, la parte relativa al Centro di Valutazione e Certificazione Nazionale (CVCN), che verosimilmente diventerà operativo dalla fine di giugno 2022 e che avrà il compito di verificare i livelli di sicurezza cibernetica di tutto ciò che le aziende nel Perimetro comprano in relazione ai beni ICT, chiede anzitutto ai fornitori di svolgere alcuni adempimenti – peraltro, neanche particolarmente complessi – a supporto del processo di approvvigionamento delle aziende inserite nel Perimetro. Molte aziende si stanno già muovendo per adeguarsi a queste richieste, considerandole un fattore abilitante per poter fornire tecnologie e servizi a chi è sottoposto alla normativa e come “biglietto da visita” sul piano del marketing per scalzare i concorrenti.
