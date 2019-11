Con il via libera definitivo da parte della Camera, diventa legge il decreto sulla Cybersicurezza che ha l’obiettivo di mettere in sicurezza le infrastrutture critiche del Paese da attacchi informatici e di intervenire in modo più tempestivo ed efficace in caso di minacce e pericoli per la sicurezza nazionale provenienti dal cyberspazio.

La legge amplia anche i poteri speciali del Governo (la cosiddetta Golden power), che vengono estesi anche al 5G.

Spetta al Premier individuare il perimetro di sicurezza nazionale cibernetica

In particolare, la legge prevede un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi di attacchi informatici.

Quali sono le amministrazioni pubbliche, gli enti e gli operatori nazionali – pubblici e privati – obbligati a tutelarsi contro le minacce informatiche e presenti nel perimetro di sicurezza nazionale cibernetica? Entro 4 mesi dall’entrata in vigore della legge, l’istituzione del perimetro di sicurezza nazionale cibernetica è demandata ad un decreto del presidente del Consiglio dei ministri, da adottare su proposta del CISR (Comitato interministeriale per la sicurezza della Repubblica), previo parere delle competenti Commissioni parlamentari.

Le procedure di notifica degli attacchi subìti

Entro 10 mesi dall’entrata in vigore della legge spetta ad un decreto del presidente del Consiglio dei ministri adottare su proposta del CISR, previo parere delle competenti Commissioni parlamentari, la determinazione delle procedure di notifica degli incidenti prodottisi su reti, sistemi informativi e sistemi informatici inclusi nel perimetro di sicurezza nazionale cibernetica e le misure di sicurezza.

Coinvolte anche le Pmi

È infine rimessa ad un regolamento – da emanarsi con decreto del Presidente del Consiglio dei ministri, entro 10 mesi dalla data di entrata in vigore della legge di conversione – la definizione delle procedure, delle modalità e dei termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT, destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici individuati nell’elenco trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico

Nasce il centro di valutazione al ministero dell’Interno

La legge prevede l’istituzione di un Centro di valutazione (CEVA) presso il Ministero dell’interno e i conseguenti adeguamenti nel testo, compresa la copertura finanziaria per la realizzazione, l’allestimento e il funzionamento del Centro. È stato altresì specificato che l’istituendo Centro di valutazione del Ministero dell’interno, così come quello del Ministero della difesa, siano accreditati presso il Centro di Valutazione e certificazione nazionale (CVCN) e sono tenuti ad impiegare metodologie di verifica e test quali definiti dal medesimo CVCN. Con decreto del presidente del Consiglio dei ministri saranno inoltre definiti gli obblighi di informativa di tali Centri con il CVCN

Gli obblighi

Sono determinati alcuni obblighi per: gli operatori dei servizi essenziali; i fornitori di servizi digitali; le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, inclusi nel perimetro di sicurezza nazionale cibernetica.

I poteri del premier

È altresì previsto che il Presidente del Consiglio – su deliberazione del CISR – possa disporre la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati.

Sanzioni

Il provvedimento reca quindi un articolato sistema sanzionatorio per i casi di violazione degli obblighi previsti ed individua le autorità competenti all’accertamento delle violazioni e all’irrogazione delle sanzioni.

L’assunzione di 87 esperti di Cybersecurity e digitale

Parallelamente è autorizzata l’assunzione a tempo indeterminato, attraverso concorsi pubblici, di un contingente massimo di 77 unità di personale, di cui 67 di area terza e 10 di area seconda, tenuto conto dell’esigenza di disporre di personale in possesso della professionalità necessaria per lo svolgimento delle funzioni del Centro di valutazione e certificazione nazionale (CVCN). A sua volta, la Presidenza del Consiglio è autorizzata ad assumere fino a 10 unità di personale non dirigenziale, per lo svolgimento delle funzioni in materia di digitalizzazione.

Il Golden Power esteso al 5G

Sono in particolare previste le seguenti modifiche:

Viene in generale allungato il termine per l’esercizio dei poteri speciali da parte del Governo, con contestuale arricchimento dell’informativa resa dalle imprese detentrici degli asset strategici; si amplia l’oggetto di alcuni poteri speciali; sono modificati e integrati gli obblighi di notifica finalizzati all’esercizio dei poteri speciali;

Viene modificata la disciplina dei poteri speciali in tema di tecnologie 5G, per rendere il procedimento sostanzialmente simmetrico rispetto a quello per l’esercizio dei poteri speciali nei settori della difesa e della sicurezza nazionale;

Ridefinito il concetto di “soggetto esterno all’Unione europea”