In data 5 novembre 2020 è entrato in vigore il Decreto del Presidente del Consiglio dei Ministri n.131/2020[1], con il quale il c.d. “Perimetro di Sicurezza Nazionale Cibernetica” istituito dal Decreto-legge n. 105/2019[2] inizia a prendere forma.

Le minacce cibernetiche che, negli ultimi tempi, si sono sempre più di frequente imposte all’attenzione hanno reso necessario sviluppare in tempi brevi meccanismi difensivi idonei e sempre più stringenti. Se, a livello europeo, questa esigenza è stata affrontata attraverso la c.d. “Direttiva NIS”[3], introdotta nel 2016 per assicurare un elevato livello di sicurezza dei sistemi, delle reti e delle informazioni comune a tutti gli Stati Membri[4], a livello nazionale è il decreto legislativo n. 65/2018[5] a dettare la cornice legislativa delle misure di sicurezza delle reti e dei sistemi informativi e ad individuare i relativi soggetti responsabili.

Successivamente, il Decreto-legge n. 105/2019 aveva definito le modalità e le procedure per l'istituzione del Perimetro di sicurezza nazionale cibernetica, volto ad assicurare la sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale e che esercitano le c.d. “funzioni e servizi essenziali” dello Stato, e dal cui malfunzionamento, interruzione o utilizzo improprio potrebbe derivare un pregiudizio alla sicurezza nazionale[6]. La determinazione delle modalità e dei criteri procedurali per individuare i soggetti inclusi nel Perimetro, tuttavia, era stata rinviata ad un successivo intervento regolatorio. Il DPCM 131/2020 stabilisce tali modalità e criteri, individuando i settori di attività in cui operano i soggetti inseriti nel Perimetro e definendo i parametri per la predisposizione e l’aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici.

Più particolarmente, ai sensi del DPCM 131/2020 un soggetto esercita funzioni essenziali qualora abbia il compito di assicurare, tra le altre cose, la continuità dell’azione di Governo e degli organi costituzionali, la sicurezza all’interno e all’esterno dei confini nazionali, la difesa dello Stato e l’amministrazione della giustizia. Un soggetto presta un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, invece, laddove ponga in essere attività necessarie per l’esercizio e il godimento dei diritti fondamentali, o necessarie alla continuità degli approvvigionamenti e all’efficienza delle infrastrutture della logistica e della ricerca[7]. Si tratta, dunque, di categorie di riferimento molto ampie che conseguentemente consentono un’ampia perimetrazione.

Tali soggetti (150 circa) saranno sottoposti alle disposizioni del Perimetro qualora facenti parte di settori rilevanti per la sicurezza nazionale cibernetica. Nello specifico, in base al criterio di gradualità[8] si tratterà dei soggetti che operano nel settore governativo (che riguarda, nell’ambito delle attività di amministrazione dello Stato, quelle svolte dalle amministrazioni che compongono il Comitato Interministeriale per la Sicurezza della Repubblica, CISR[9]) nonché degli altri soggetti pubblici e privati che operano nei settori dell’interno, della difesa, dello spazio e aerospazio, dell’energia, delle telecomunicazioni, dell’economia e finanza, dei trasporti, dei servizi digitali, delle tecnologie critiche, degli enti previdenziali e del lavoro[10]. Anche in questo caso, non sfuggirà l’ampiezza dell’elencazione, che investe concretamente tutti i gangli essenziali del funzionamento dello Stato, della difesa e dell’economia.

L’individuazione e l’elencazione effettiva dei soggetti che rientrano nel Perimetro verrà svolta dall’amministrazione competente per il singolo settore[11], che dovrà identificare le funzioni e i servizi essenziali svolti da ciascun soggetto che dipendano da reti, sistemi informativi o servizi informatici e la cui interruzione o compromissione potrebbe arrecare un pregiudizio alla sicurezza nazionale, da valutare in termini di perdita di disponibilità, integrità o riservatezza dei dati e delle informazioni, nonché le tempistiche necessarie per ristabilire l’erogazione della funzione o del servizio in condizioni di sicurezza. L’amministrazione competente, inoltre, dovrà identificare e graduare in una scala crescente le funzioni e i servizi essenziali per i quali, in caso di interruzione o compromissione, il rischio di pregiudizio alla sicurezza nazionale sia ritenuto massimo e le possibilità di mitigazione minime[12]. I soggetti così individuati dovranno essere inclusi in una lista da sottoporre alla valutazione del CISR. Dopodiché, la loro elencazione sarà contenuta in un atto amministrativo adottato e periodicamente aggiornato dalla Presidenza del Consiglio dei Ministri su proposta del CISR. Spetterà, tuttavia, al Dipartimento delle Informazioni per la Sicurezza (DIS)[13] il compito di comunicare l’inclusione nella lista (che rimane comunque secretata) all’ente interessato entro trenta giorni dall’avvenuta inclusione nell’atto, con indicazione delle funzioni in relazione alle quali il soggetto in questione rientra nel Perimetro[14].

Sui soggetti ricompresi nel Perimetro gravano tre diversi obblighi.

In primo luogo, un obbligo di notifica entro sei ore al team di risposta agli incidenti di sicurezza informatica (Computer Security Incident Response Team, CSIRT)[15] qualora si rimanga vittime di un attacco cyber-informatico, con il successivo coinvolgimento del Nucleo di Sicurezza Cibernetica (NSC)[16] in caso di particolare gravità della violazione.

In secondo luogo, l’obbligo di aggiornare, con cadenza almeno annuale, l’elenco dei prodotti e dei servizi delle tecnologie dell’informazione e della comunicazione (information and communication technology, ICT) di rispettiva pertinenza con l’indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono. Più particolarmente, i soggetti che rientrano nel Perimetro dovranno effettuare un’analisi del rischio al fine di identificare i fattori di pericolo di un incidente, valutandone la probabilità e l’impatto potenziale sulla continuità, sulla sicurezza o sulla efficacia della funzione o del servizio essenziale, individuando successivamente, per ognuno di essi, i beni ICT necessari a svolgerli, valutando altresì l’impatto potenziale di un eventuale incidente sul bene in questione, tanto in termini di limitazione dell’operatività del bene stesso, quanto di compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, nonché le inter-dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti[17].

Infine, l’obbligo di predisporre un secondo elenco contenente la descrizione dell’architettura e della componentistica relative ai propri beni ICT, ossia l’insieme delle architetture realizzate e delle componenti utilizzate a livello di rete, dati e software[18].

Entrambi gli elenchi dovranno essere trasmessi, entro sei mesi dalla comunicazione dell’inclusione nel Perimetro, alla struttura della Presidenza del Consiglio dei Ministri competente per l’innovazione tecnologica e la digitalizzazione (per i soggetti pubblici) o al Ministero dello Sviluppo Economico (per i soggetti privati)[19].

Il DPCM 131/2000 rappresenta solamente il primo dei quattro DPCM attuativi del Perimetro di sicurezza nazionale cibernetica previsti dal Decreto legge n. 105/2019. Nuovi sviluppi e chiarimenti, pertanto, sono da attendersi nel corso dei prossimi mesi.

Più particolarmente, oltre a chiarire le procedure in materia di affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati dai soggetti rientranti nel Perimetro, che dovranno essere sottoposti al controllo preventivo del Centro di valutazione e certificazione nazionale (CVCN)[20] istituito presso il Ministero dello Sviluppo Economico, rimane ancora incerto il rapporto tra il Perimetro e la normativa europea, soprattutto alla luce della recente proposta della Commissione di rivedere le norme contenute nella Direttiva NIS al fine di adeguare l’attuale quadro giuridico europeo alla crescente digitalizzazione del mercato interno[21]. Mentre, infatti, il Decreto-legge n. 105/2019 prevede che un soggetto ricompreso nel del Perimetro che sia contemporaneamente un operatore di servizi essenziali (OSE) o un fornitore di servizi digitali (FSD) secondo la Direttiva NIS sia tenuto all’osservanza delle regole ivi contenute solo se di livello almeno equivalente a quelle contenute nel Perimetro[22], la futura Direttiva NIS II abolirà la distinzione tra OSE e FSD, introducendo invece quella tra entità essenziali[23] ed entità importanti[24]. Va da sé che queste evoluzioni del quadro europeo di riferimento dovranno a tempo debito venire trasposte anche al livello domestico.