Schema di DPCM in materia di perimetro di sicurezza nazionale cibernetica


Anche se lo schema di DPCM che riguarda il perimetro di sicurezza nazionale cibernetica potrebbe essere ancora soggetto a variazioni, il suo iter dovrebbe concludersi entro il mese di luglio, possiamo fare una prima estrema sintesi di quanto già introdotto nel testo.

Il perimetro individua soggetti che appartengono a due macro-categorie: quelli che assolvono a una funzione essenziale dello Stato e quelli che prestano un servizio essenziale per gli interessi dello Stato

Alla prima categoria appartengono quei soggetti a cui l'ordinamento attribuisce compiti rivolti ad assicurare:

  • La continuità dell'azione del Governo e degli Organi costituzionali
  • La sicurezza interna ed esterna e la difesa dello Stato
  • Le relazioni internazionali
  • La sicurezza e l'ordine pubblico
  • L'amministrazione della giustizia
  • La funzionalità dei sistemi economico e finanziario, e dei trasporti

Alla seconda categoria appartengono quei soggetti anche privati che esercitano servizi essenziali in connessione con le seguenti attività:

  • Attività strumentali all'esercizio di funzioni essenziali dello Stato
  • Attività necessarie per l'esercizio e il godimento dei diritti fondamentali
  • Attività necessarie per la continuità degli approvvigionamenti e l'efficienza delle infrastrutture e della logistica
  • Attività di ricerca e attività relative alle realtà produttive nel campo dell'alta tecnologia e in ogni altro settore; ove presentano rilievo economico e sociale, anche ai fini della garanzia dell'autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.

La norma individua le amministrazioni che dovranno in concreto predisporre una lista dei soggetti appartenenti alle macro-categorie sopra elencate che ricadono nel perimetro. Ciascuna amministrazione competente in relazione ai rispettivi settori di attività dovrà valutare attraverso un'analisi dei rischi gli effetti dell'interruzione della funzione o servizio essenziale in caso di incidente ICT e di minaccia per la disponibilità, l'integrità e la riservatezza delle informazioni con particolare riguardo all'estensione territoriale, al numero e alla tipologia di utenti potenzialmente interessati, ai livelli di servizio garantiti, alle possibili ricadute economiche, individuando quei casi in cui il rischio per la sicurezza nazionale è ritenuto massimo e le possibilità di mitigazione minime.

I soggetti inclusi nell'elenco riceveranno comunicazione dal DIS (Dipartimento per le informazioni sulla sicurezza) di essere stati inclusi nel perimetro e conseguentemente dovranno predisporre ed aggiornare con cadenza almeno annuale un elenco dei loro beni ICT ovvero reti, sistemi informativi e servizi informatici, descrizione della loro architettura e componentistica ed a trasmettere tali elenchi attraverso apposita piattaforma digitale costituita presso il DIS alla struttura della Presidenza del Consiglio dei ministri per l'innovazione tecnologica e al Ministero dello sviluppo economico.

Aggiornamento del 22/10/2020: è stato finalmente pubblicato in Gazzetta Ufficiale il Decreto del Presidente del Consiglio dei Ministri (DPCM) di attuazione del Perimetro di Sicurezza Nazionale Cibernetica 


Commenti