Alcune misure contenute nel Dpr attuativo della legge sul Perimetro di Sicurezza Nazionale Cibernetica, appena approvato da Mise, aprono a nuovi scenari e nuovi oneri per le aziende coinvolte nelle forniture destinate agli enti pubblici e sensibili. Facciamo il punto nel mio nuovo articolo per Agenda Digitale
Ha appena ottenuto l’approvazione dal Ministero dello Sviluppo Economico un Dpr attuativo della legge sul Perimetro di Sicurezza Nazionale Cibernetica, che nasce per garantire la sicurezza delle reti di Tlc nazionali in vista della realizzazione delle infrastrutture 5G.
Il Dpr è stato approvato dopo diversi mesi in cui era in valutazione sul tavolo del Consiglio dei Ministri, da un pre-Cdm di agosto 2020, al parere di ottobre 2020 del Consiglio di Stato e un ulteriore pre-Cdm del 26 gennaio scorso e mette in piedi una serie di normative e provvedimenti mirati a contrastare in maniera più incisiva il rischio cyber nelle forniture destinate agli enti pubblici e sensibili. Parliamo dei soggetti che fanno parte del perimetro cibernetico e di tutto il sistema di information and communication technology.
Facciamo il punto sulle novità e le criticità.
Cosa prevede il Dpr sul perimetro cibernetico
I 20 articoli di cui si compone il Dpr in questione espongono le procedure che dovrà seguire il Centro di Valutazione e Certificazione Nazionale, anche detto CVCN, deputato al controllo delle forniture ICT agli enti pubblici. I fornitori dei suddetti beni, sistemi e servizi destinati alle reti, ai sistemi e ai servizi rilevanti assicurano la propria collaborazione anche ai Centri di valutazione (CV) del Ministero della Difesa e del Ministero dell’Interno, per quanto di rispettiva competenza. Queste procedure saranno messe in atto attraverso una valutazione divisa in tre passaggi.
Secondo il primo passaggio, si passa in rassegna “la comunicazione trasmessa dal soggetto incluso nel perimetro e si conclude con l’individuazione di test e condizioni da includere nei bandi di gara o nei contratti”. In seguito, ottenuta l’informazione riguardante l’identità dell’oggetto e il fornitore, il secondo step è finalizzato alla preparazione all’esecuzione dei test, fino al terzo e ultimo passaggio di verifica che riguarda l’esecuzione effettiva dei test.
Il carico per i fornitori ICT
Da quanto si legge dall’articolo 9 (Oneri economici a carico del fornitore) “Le spese a carico del fornitore per le attività di valutazione svolte dal CVCN e dai CV e per le attività di test condotte dai LAP sono calcolate sulla base delle disposizioni di cui all’articolo 6 del decreto legislativo 30 dicembre 2003, n. 366”. Pertanto, saranno le imprese stesse a doversi accollare i costi di tutta la procedura di valutazione dei beni e dei servizi. In più, alla valutazione in tre passaggi di cui abbiamo parlato, potrebbe aggiungersi un’ispezione ulteriore anche a seguito della validazione delle forniture di beni e servizi informatici e, dato che si avrà a che fare anche con procedimenti particolari che necessitano l’accesso a documentazioni e sistemi di un determinato livello di riservatezza, bisogna essere ancora più cauti nel campo minato del cyber contro il rischio di attacco. In questo senso, nel paragrafo 2.2. lettera f del parere del Consiglio di Stato di ottobre 2020, si dà la definizione esatta di “incidente”, che richiama specificatamente l’intervento per la sicurezza informatica in caso di incidente (il CSIRT). Quindi gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici volte a minacciare e non garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici.
Contratti e accordi sul 5G
Nell’articolo 12 del parere del Consiglio di Stato di ottobre 2020 vengono messi in evidenza i casi particolari che sono quei casi in cui i predetti soggetti inclusi nel perimetro sono tenuti ad effettuare la notifica alla Presidenza del Consiglio dei Ministri della stipula di contratti o accordi aventi ad oggetto l’acquisizione, a qualsiasi titolo, di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti inerenti i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G. Ossia l’acquisizione, specificandone la filiera e la provenienza, di componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione.
Le criticità
Al di là del momento politico, a dir poco surreale, quello che stride fortemente è proprio il fatto che il fornitore si dovrà occupare di tutta la procedura di beni e servizi (vedi punto 10.1. del parere del Consiglio di Stato di ottobre 2020 “La previsione che gli oneri per l’effettuazione delle attività di test siano a carico dei soggetti individuati quali fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici”).
Facciamo una riflessione: se tale procedura deve prevedere una filiera, obbligatoria per le aziende, oltre le ISO (9001 per citarne una), che vengono normalmente applicate sulle procedure aziendali, si devono completare anche altre procedure, come la 27001 e 37001, che non devono essere più quindi appannaggio di grossi gruppi. Si aprirebbe, così, uno scenario del tutto nuovo, che permetterebbe alle piccole e medie imprese di essere coinvolte in questo processo. Per fare questo, ovviamente, si devono generare anche degli elenchi su questo settore e a corredo, che permettano alle stesse aziende di essere formati, attingendo direttamente a persone qualificate. Detto ciò, ecco un’altra faccia della medaglia: tantissime aziende, se dovranno seguire questo percorso, dovranno dotarsi della cosiddetta figura di Auditor di terza parte. Ovvero una persona esterna che verifichi e non comprometta l’organigramma interno, portando ad una sorta di eccellenza l’azienda stessa. In questo modo, tutte le figure preposte e formate (in termini di investimento interno) dalle aziende stesse, dai Security Manager agli Innovation Manager, vedrebbero sgretolarsi tutti i loro studi e qualifiche di fronte ad un livello ancora più alto rispetto alle proprie conoscenze.
Infatti, sappiamo tutti che per rilasciare determinate procedure sopra citate, c’è bisogno di un corso specifico e di un ulteriore investimento. Quindi, le aziende dovranno avere anche e soprattutto delle disponibilità economiche che non solo vadano a riqualificarle da un punto di vista di sicurezza e di asset, ma che diano maggiori impulsi per formare il personale interno, a sua volta obbligato ad entrare a contatto con nuovi sistemi e nuove forme di interfaccia.
Un altro limite della questione è che si stanno prediligendo sempre più figure altamente tecniche a scapito di figure che provengono da cultura umanistica e addirittura da cultura scientifica.
Si tratta di un minus in questo contesto poiché, come ci insegna per esempio la Business Continuity, la trasversalità e l’approccio che alza l’attenzione su un potenziale attacco Cyber segue una filiera che va dalla parte economica fino all’interfaccia e a quella meramente esposta da un punto di vista tecnico.
Conclusioni
Insomma, per evitare di far tracollare quella che potrebbe essere una buona idea, che segue delle direttive europee ben precise, dovremmo cercare di non far finire tutto (anche questo rimbalzo di ministeri è pericoloso), come i buoni propositi degli audit energetici (come da decreto legislativo 4 luglio 2014, n. 102), che, anziché essere strettamente e seriamente obbligatori, sono diventati un mero accessorio utilizzato solo da aziende energivore, tagliando fuori il vero tessuto imprenditoriale italiano rappresentato dalla piccola e media impresa.
Fonte: Agenda Digitale