Perimetro di cyber security nazionale: completato il quadro normativo con l'ultimo decreto

Perimetro di cyber security nazionale: con l'ultimo decreto è stato completato il Perimetro di Sicurezza Nazionale Cibernetica a difesa delle infrastrutture critiche italiane. 

Perimetro di cyber security nazionale: l'integrazione europea

All'origine dell'intero percorso italiano c'è lo sforzo a livello europeo di coordinare e armonizzare, cooperando, la risposta ai cyber attacchi: sforzo contenuto e riassunto dalla Direttiva Europea 1148/2016, detta Direttiva NIS. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cyber security, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, la notifica degli incidenti subiti.

Per approfondire > LA DIRETTIVA NIS – Network and Information Security

L'implementazione italiana della Direttiva NIS passa dalla legge n.133 del 2019 e prevedeva 4 decreti diversi per l'istituzione del Perimetro di cyber security nazionale, che altro non è che lo scudo difensivo dell'Italia dai cyber attacchi che potrebbero minacciare aziende e la PA nazionale. 

Sicurezza Nazionale Cibernetica: ecco il quarto (e ultimo) DPCM

Il DPCM 18 maggio 2022 è stato pubblicato in Gazzetta Ufficiale. E'  l'ultimo tassello che completa l'impianto normativo che era necessario per allestire e rendere operativo il Perimetro di cyber security nazionale. In particolare, il DPCM 18 Maggio 2022 stabilisce termini, procedure e requisiti per l'accreditamento a supporto del Centro di Valutazione e Certificazione nazionale (CVCN) di lavoratori accreditati di prova (detti LAP). In concreto, questo DPCM concretizza i requisiti necessari per individuare quei laboratori che avranno il compito di verificare la sicurezza dei sistemi e delle tecnologie impiegate in aziende private e pubbliche amministrazioni ritenute critiche per lo Stato e la sicurezza nazionale in generale. 

L'Agenzia per la cyber sicurezza nazionale ha pubblicato a riguardo una nota, specificando che questo DPCM era l'ultimo tassello necessario per 

“per raggiungere gli obiettivi contenuti nella Strategia nazionale di cyber sicurezza, volto a innalzare il livello di sicurezza della supply-chain di infrastrutture da cui dipende l’erogazione dei servizi essenziali dello Stato”.

• Per saperne di più > A Giugno debutterà (in fase di test) il perimetro di cyber sicurezza nazionale italiano
• Per saperne di più > Perimetro di sicurezza nazionale cibernetica: nuovo passo avanti

DPCM 18 Maggio: quali novità?

Per la precisione, con decreto 18 Maggio 2022 si adotta il nuovo regolamento che completa il quaro normativo del perimetro di sicurezza nazionale cibernetica e si articola in V Capi:

• Capo I: specifica i compiti del Centro di Valutazione e Certificazione nazionale (CVCN);
• Capo II: elenca i requisiti e le procedure di accreditamento dei laboratori di prova;
• Capo II: dettaglia l'accreditamento dei Centri di Valutazione;
• Capo IV: definisce raccordi e collaborazioni del CVCN con i laboratori di prova e i centri di valutazione;
• Capo V: dettaglia la procedura di notifica degli incidenti.

Il  Centro di Valutazione e Certificazione nazionale è attivo e operativo dal 1 Luglio 2022 e adesso potrà accreditare laboratori esterni sia pubblici che privati. Lo scopo è la costituzione della rete di supporto del CVCN e dei centri di valutazione (CV) del Ministero della Difesa e del Ministero dell'Interno per le "attività di valutazione tecnologica su specifiche categorie di asset ICT impiegati entro il perimetro cyber".

Insomma una stretta collaborazione tra industria, accademia, laboratori altamente specializzati per potenziare la capacità di valutazione dell'Italia e raggiungere l'autonomia tecnologica.

DPCM 18 Maggio: quali obiettivi?

Questo DPCM contiene i presupposti per concretizzare le seguenti misure:

• rafforzare il sistema di verifica tecnologica nazionale a supporto della sicurezza della supply chain nel caso di quei particolari asset rientranti nel Perimetro (asset critici). Vi sono anche le specifiche necessarie all'adozione degli schermi di certificazione europea in fatto di cyber security;
• migliorare la capacità dei centri di valutazione dei Ministeri dell'Interno e della Difesa accreditati dall'ACN, quali soggetti per la valutazione della conformità;
• sviluppare gli schemi di certificazione nel campo della cyber security valutandone l'adeguatezza in termini di sicurezza nazionale. Promuovere l'adozione di questi schemi, in collaborazione col settore privato, da parte dei fornitori di servizi e aziende italiane. L'adozione di questi schemi è indicato come "vantaggio competitivo sul mercato";
• introdurre specifiche norme a tutela della supply-chain per le infrastrutture ICT rilevanti sotto il profilo della sicurezza nazionale;
• promuovere iniziative utili a rafforzare l'autonomia industriale e tecnologica dell'Italia soprattutto rispetto a quei prodotti e processi informatici di rilevanza strategica. promozione di iniziative utili alla tutela degli interessi nazionali anche valutando lo sviluppo di algoritmi proprietari e nuove capacità crittografiche.