Cyberscurity: l’Italia vuole migliorare il suo perimetro di difesa

Un nuovo disegno di legge – preso visione da Public Policy – è oggetto di studio da parte del Governo e sarà sottoposto all’esame del parlamento nei prossimi mesi. Lo stesso punta a rafforzare il perimetro di sicurezza nazionale cibernetica, con l’obiettivo di “assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato”, ovvero “la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi della nazione, e dal cui malfunzionamento o interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale” .

Il progetto, oltre alla definizione del nuovo cyber spazio, il quale sarà soggetto a particolari misure di controllo, punta ad identificare entro sei mesi i soggetti pubblici e privati che assicurano attraverso reti e sistemi informatici l’erogazione di servizi essenziali per gli interessi del Paese e che dunque entreranno a far parte delle realtà protette dalle mura del uovo perimetro di sicurezza.

Tuttavia, gli enti e le amministrazioni interessate saranno sottoposti a controlli e responsabilità, come ad esempio la redazione di un report almeno annuale che dovrà contenere l’elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica.

Inoltre per le realtà interessate verranno definite, entro un anno, delle procedure di notifica degli incidenti informatici allo CSIRT, in concomitanza con quanto già previsto dalla Direttiva NIS. Ancora, sempre entro dodici mesi, è prevista la definizione delle misure volte a garantire gli elevati livelli di sicurezza previsti per i soggetti identificati, le quali saranno elaborate da CISR tecnico e AGID .

Nella bozza si evince i soggetti ricompresi nel perimetro e che intenderanno procedere all’affidamento di forniture di beni, sistemi e servizi Ict destinati a essere impiegati sulle reti e sui sistemi informativi per l’espletamento dei servizi informatici essenziali dovranno darne comunicazione al Centro di Valutazione e Certificazione Nazionale ( CVCN) e dovranno inoltre collaborare alla definizione delle relative misure di sicurezza sulla base di una valutazione del rischio. A quel punto,entro 30 giorni, il CVCN potrebbe effettuare dei test hardware e software.

Pesanti sanzioni sono previste per gli enti e le amministrazioni nel caso in cui essi forniscano informazioni volutamente false, come la reclusione da uno a cinque anni e una sanzione pecuniaria fino a 400 quote per l’ente interessato. Sono previste altresì altre sanzioni pecuniarie che possono andare dai duecentomila euro fino ad un milione e ottocentromila euro, in base alla gravità della condotta.

Fonte: PublicPolicy