Cybersecurity, la riorganizzazione nelle mani del governo che verrà

di Giovanna Faggionato per Lettera43

Entro il 9 maggio l’Italia dovrebbe recepire la direttiva Ue sulla sicurezza informatica. I tempi per l’esame delle norme varate da Gentiloni sono stretti. E a novembre serve l’elenco delle infrastrutture strategiche.

La priorità è disinnescare le clausole di salvaguardia della legge di bilancio e magari arrivare anche con le idee chiare su tre o quattro dossier che segneranno il futuro dell’Italia da qui ai prossimi 10 anni e che sono attualmente sui tavoli della nostra rappresentanza diplomatica a Bruxelles. Ma il governo di tregua o quello che verrà dopo improbabili elezioni balneari ha tra i tanti anche un compito teoricamente urgente: organizzare il centro della cybersecurity nazionale, dossier un tempo tanto agognato negli ambienti renziani e in ogni caso di interesse per tutti gli attori protagonisti del sistema di potere politico e imprenditoriale.

ESAME IN COMMISSIONE SPECIALE. Gli Stati della Ue sono chiamati a recepire la direttiva sulla Network and Information Security (Nis), destinata a regolare i sistemi di risposta alle crisi informatiche e ai cyber attacchi e soprattutto la cooperazione tra i Paesi dell’Unione e con la agenzia europea per la cybersicurezza entro il 9 maggio. Il governo di Paolo Gentiloni ha fatto appena in tempo a predisporre lo schema di decreto legislativo per metterci a norma con le richieste europee: approvato il 22 febbraio, il testo è stato trasmesso alla Camera il 28 e proprio questa settimana, confermano da Montecitorio, la sola Commissione attiva del nuovo parlamento, la Commissione speciale per gli atti governativi, dovrebbe esprimersi sulla proposta del relatore, il deputato del Movimento 5 Stelle Stefano Buffagni. Che l’Italia riesca ad adottare e pubblicare le disposizioni «legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva» e informarne la Commissione europea entro la scadenza sembra però una missione quasi impossibile.

Il governo Gentiloni aveva già nominato i responsabili della cybersicurezza in capo al Dis, deciso di accentrarne il controllo in seno alla presidenza del Consiglio e ai servizi segreti e di accorpare i centri di controllo informatico dell’amministrazione pubblica in uno solo, oltre ad aver aggiornato il piano nazionale sulla cybersecurity risalente al 2013. E però poi con il decreto di febbraio, a esecutivo ormai in scadenza, Gentiloni ha preferito rinviare al nuovo governo l’organizzazione del nuovo Computer Security Incident Response Team (Csrit), letteralmente il gruppo di risposta per gli incidenti di cybersecurity, sostanzialmente il centro a cui faranno riferimento tutte le amministrazioni, le reti e le imprese private con rilevanza strategica nazionale dal punto di vista della sicurezza informatica.

ENTRO NOVEMBRE LA LISTA DI ENTI STRATEGICI. Non è rinviata, invece, la scadenza con cui i diversi ministeri dovrebbero individuare la lista di questi enti strategici: l’elenco di aziende e reti nel settore dell’energia, della fornitura e distribuzione dell’acqua e dei trasporti, in quello delle banche e dei mercati finanziari, nella sanità, e infine tra i motori di ricerca, i servizi cloud e le piattaforme di ecommerce, deve essere stilato entro il 9 novembre. Le società saranno chiamate a monitorare e segnalare incidenti seguendo le precise regole della direttiva Nis. Dovranno garantire test, audit, controlli, la capacità di mantenere la continuità operativa. E avranno l’obbligo di notificare un incidente nel caso in cui sia a rischio la sicurezza pubblica o la vita di terzi, venga interrotto il servizio per 5 milioni di ore utente o per 100 mila cittadini europei, venga provocato un danno economico superiore al milione di euro. La mancata comunicazione, secondo il decreto all’esame in teoria della Commissione speciale della Camera, dovrebbe costare 150 mila euro di multa, in linea con altri Stati Ue, ma non per esempio con il Regno Unito.

Ritenendo qualsiasi incidente informatico o blackout che possa capitare, per esempio, alla rete degli ospedali o alle infrastrutture dell’energia elettrica nazionale di estrema importanza, Londra può sanzionare le società che non rispettano gli obblighi di segnalazione con multe fino a 19 milioni di euro. In Italia, tuttavia, siamo a una fase ancora embrionale del sistema e l’ente chiamato a vigilare su tutto questo, il Csrit, e il comitato destinato ad accogliere le autorità centrali e i referenti delle altre amministrazioni pubbliche, dai ministeri alle regioni, con poteri di controllo devono essere ancora organizzati e messi in piedi.

BUFFAGNI CHIEDE UN VINCOLO PER IL NUOVO GOVERNO. L’esecutivo neutro di Sergio Mattarella o quello che dovrebbe nascere con il voto estivo è quindi chiamato a promulgare un nuovo specifico decreto. Il Movimento 5 Stelle, tramite il relatore Buffagni, ha già dato parere positivo all’impostazione data dall’esecutivo Gentiloni con la norma del 22 febbraio, ma ha suggerito di mettere almeno una scadenza per obbligare il suo successore a organizzare per tempo le strutture e a renderle operative. Peccato che la scadenza per il recepimento della direttiva sia il 9 e ora è la stessa Commissione parlamentare che rischia di muoversi fuori tempo massimo.