Il 15 giugno scorso, il Presidente del Consiglio Draghi ha firmato l’aggiornamento dell’elenco dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica a seguito della proposta formulata dal Comitato interministeriale per la sicurezza della Repubblica. Con l’allargamento si estende il livello di resilienza cibernetica degli attori maggiormente sensibili ai fini della sicurezza nazionale.
In breve:
- L’allargamento riguarda 233 funzioni essenziali dello Stato; previsto un affinamento di alcune funzioni e servizi essenziali dello Stato già ricompresi nel Perimetro;
- Dal 23 giugno, il perimetro di sicurezza nazionale cibernetica inizierà ad essere “operativo” nei confronti dei soggetti inseriti il 22 dicembre scorso;
- Fino al 31 dicembre 2021 la fase sperimentale di procedura di notifica degli incidenti sul bene ICT.
- Focus su cos’è il Perimetro di Sicurezza cibernetico e chi ne fa parte.
Nell'articolo
Allargamento del perimetro cibernetico: a chi si estende
L’allargamento, spiega il governo, riguarda ulteriori soggetti pubblici e privati che, complessivamente,
- esercitano, attraverso reti, sistemi informativi e servizi informatici, 223 funzioni essenziali dello Stato;
- erogano servizi essenziali per il mantenimento di attività civili, sociali o economiche strategiche.
Gli interessati entro sei mesi devono comunicare le reti, i sistemi informativi ed i servizi informatici che impiegano rispettivamente per l’erogazione delle funzioni e dei servizi essenziali dello Stato inclusi nel perimetro.
Cosa cambia dal 23 giugno 2021
Dal prossimo 23 giugno, il perimetro di sicurezza nazionale cibernetica inizierà ad essere “operativo” nei confronti dei soggetti inseriti il 22 dicembre scorso.
I soggetti dovranno, quindi:
- applicare le previste misure di sicurezza e
- notificare allo CSIRT italiano gli eventuali incidenti che si dovessero verificare.
Procedure di notifica: in via sperimentale fino al 31 dicembre 2021
Ricordiamo che il recente DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 14 aprile 2021, n. 81 che abbiamo analizzato nei giorni scorsi, ha identificato la lista delle misure di sicurezza e la tassonomia degli incidenti che hanno impatto su reti, sistemi informativi e servizi informatici (che impatta quindi sul “bene ICT”).
Per permettere una adeguata organizzazione ai soggetti inclusi nel perimetro per ottemperare alle procedure di notifica di incidenti, queste ultime procederanno in via sperimentale fino al 31 Dicembre 2021.
Che cos’è il Perimetro di sicurezza cibernetico
Il perimetro di sicurezza nazionale cibernetica è stato istituito ai sensi dell’articolo 1, comma 1, del DECRETO-LEGGE 21 settembre 2019, n. 105, convertito con modificazioni dalla L. 18 novembre 2019, n. 133 (in G.U. 20/11/2019, n. 272).
Pertanto, esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attivita’ civili, sociali o economiche fondamentali per gli interessi dello Stato.
Finalità del Perimetro
- assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale dello Stato;
- assicurare la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.
Chio sono i soggetti che appartengono al Perimetro?
Si tratta di soggetti che esercitano una funzione essenziale dello Stato.
Un soggetto, pubblico o privato, quindi, presta un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, laddove realizzino:
- le attività strumentali all’esercizio di funzioni essenziali dello Stato;
- le attività necessarie per l’esercizio e il godimento dei diritti fondamentali;
- attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica;
- le attività di ricerca;
- attività relative alle realtà produttive nel campo dell’alta tecnologia e
- attività in ogni altro settore, (con rilievo economico e sociale), per l’autonomia strategica nazionale, la competitività e lo sviluppo del sistema economico nazionale.
La lista dei soggetti che appartengono al Perimetro
L’elencazione dei soggetti appartenenti al perimetro è contenuta in un atto amministrativo, adottato dal Presidente del Consiglio dei ministri, su proposta del CISR. Il Governo aggiorna la lista con specifico Decreto, non dà pubblicazione dell’atto ma fornisce comunicazione al Soggetto, dell’avvenuta iscrizione nel Perimetro.
La normativa di riferimento per il Perimetro cibernetico
- Il DECRETO-LEGGE 21 settembre 2019, n. 105 istituisce il perimetro di sicurezza nazionale cibernetica – leggi il Report Camera per approfondire;
- Il DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 30 LUGLIO 2020, n. 131, costituisce regolamento in materia di perimetro di sicurezza nazionale cibernetica e indica le modalità e criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati, inclusi nel perimetro;
- Il DECRETO DEL PRESIDENTE DELLA REPUBBLICA 5 febbraio 2021, n. 54 regola le procedure, le modalità ed i termini da seguire per l’acquisizione, da parte dei soggetti inclusi nel perimetro, di oggetti di fornitura.
Coordinamento editoriale Portale InSic.it -redattore giuridico
Laurea in Giurisprudenza in Diritto europeo (LUISS Guido Carli 2006) e Master in “Gestione integrata di salute e sicurezza nell’evoluzione del mondo del lavoro” INAIL-Sapienza (I° Ed. 2018-19).
Formatore certificato in salute e sicurezza sul lavoro dal 2017 per Istituto Informa e RLS per EPC Editore.
Esperto in sicurezza sul lavoro e amministratore del Gruppo Linkedin Ambiente&Sicurezza sul Lavoro.
Content editor e Social media per InSic.it su Linkedin e X (ex Twitter).
Contatti:
Linkedin
Mail: a.mazzuca@insic.it