Golden power rafforzato per 5G e Cloud, piano annuale obbligatorio

Golden power rafforzato nel “decreto Ucraina” (Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina)  per quanto riguarda 5G e Cloud, con quest’ultimo che per la prima volta assurge a infrastruttura critica per la sicurezza nazionale, alla stregua delle reti di telecomunicazioni. L’obbligo di notifica si amplia alle aziende europee, sono previste multe fino al 3% del fatturato, l’introduzione della pre-notifica è una misura ulteriore che di certo non semplificherà le cose per le telco e per le imprese. Di certo, questo aggravio normativo non renderà le cose più facili agli operatori impegnati nel rollout delle nuove reti.

Leggi anche: Golden power, poteri speciali estesi anche al controllo di dati sensibili. La cabina di regia e la società della nuova infrastruttura?

Tra le misure introdotte, si segnalano le seguenti

• nei settori della difesa e della sicurezza nazionale, le operazioni oggetto di notifica comprenderanno anche quelle che hanno per effetto modifiche alla titolarità o alla disponibilità degli attivi, similmente a quanto avviene oggi per gli altri settori; 
• è introdotta, per l’impresa acquirente e per l’impresa target, la notifica congiunta dell’operazione, in modo da evitare una notifica da parte dell’impresa acquirente e una notifica successiva da parte dell’impresa target una volta rinnovati gli organi sociali; 
• sono stabilizzate, quanto al termine di efficacia che verrebbe meno il 31 dicembre 2022, alcune previsioni relative sia all’obbligo di notifica delle acquisizioni di minoranza da parte di operatori extra-UE, sia all’obbligo di notifica delle acquisizioni di controllo da parte di operatori intra-UE; 
• è rivista la disciplina dei poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologica 5G e cloud.  
• saranno individuate misure di semplificazione delle modalità di notifica delle operazioni, dei termini e delle procedure relativi all’istruttoria, senza che sia necessaria la delibera del Consiglio dei ministri, per la definizione dei procedimenti in caso di mancato esercizio dei poteri speciali; 
• saranno altresì individuate le modalità di presentazione di una pre-notifica delle operazioni al fine di ricevere una preliminare valutazione circa l’effettiva applicabilità della disciplina in materia di golden power e l’autorizzabilità dell’operazione. 

Rafforzamento della disciplina sulla cybersicurezza

Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, queste procedono tempestivamente alla diversificazione dei prodotti in uso, anche mediante procedure negoziate. Le procedure di acquisto riguarderanno determinate categorie di prodotti e servizi sensibili quali applicativi antivirus, antimalware, endpoint detection and response (EDR) e web application firewall (WAF). 

Articoli dal 24 al 29

Gli articoli dal 24 in poi della bozza di decreto rafforzano i poteri speciali della Presidenza del Consiglio in materia di infrastrutture critiche. L’articolo 28 è dedicato in particolare al 5G e prevede la notifica a Palazzo Chigi da parte delle imprese di contratti e accordi

5G  e Cloud

• Notifica di un piano annuale nel quale sono contenuti:
• il settore interessato dalla notifica;
• dettagliati dati identificativi del soggetto notificante;
• il programma di acquisti;
• dettagliati dati identificativi dei relativi, anche potenziali, fornitori;
• dettagliata descrizione, comprensiva delle specifiche tecniche, dei beni, dei servizi e delle componenti ad alta intensità tecnologica funzionali alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle attività;
• un’informativa completa sui contratti in corso e sulle prospettive di sviluppo della rete 5G, ovvero degli ulteriori sistemi e attivi;
• ogni ulteriore informazione funzionale a fornire un dettagliato quadro delle modalità di sviluppo dei sistemi di digitalizzazione del notificante, nonché dell’esatto adempimento alle condizioni e alle prescrizioni imposte a seguito di precedenti notifiche;
• un’informativa completa relativa alle eventuali comunicazioni effettuate, ai fini dello svolgimento delle verifiche di sicurezza da parte del Centro di valutazione e certificazione nazionale (CVCN), inclusiva dell’esito della valutazione, ove disponibile, e delle relative prescrizioni, qualora imposte.

Notifica annuale

• La notifica di cui di cui al comma 2 è trasmessa annualmente, prima di procedere all’attuazione del piano, salva la possibilità di aggiornarlo in corso di anno, con cadenza quadrimestrale.
• I poteri speciali sono esercitati nella forma dell’imposizione di specifiche prescrizioni o condizioni ogniqualvolta ciò sia sufficiente ad assicurare la tutela degli interessi essenziali della difesa e della sicurezza nazionale.
• Il Governo, tenendo conto dei contenuti del piano notificato, dell’obsolescenza, del costo e dei tempi di sostituzione degli apparati e dell’esigenza di non rallentare lo sviluppo della tecnologia 5G o di altre tecnologie nel Paese, nel rispetto dei principi di proporzionalità e adeguatezza, approva, in tutto o in parte, il piano per un periodo temporale, anche limitato, indicando un termine per l’eventuale sostituzione di determinati beni o servizi ovvero non approva il piano esercitando il potere di veto.

Centro di valutazione e certificazione nazionale (CVCN)

• Per l’esercizio dei poteri speciali di cui al presente articolo il gruppo di coordinamento per l’esercizio dei poteri speciali è composto dai rappresentanti della Presidenza del Consiglio dei ministri, del Ministero dello sviluppo economico, del Ministero dell’economia e delle finanze, del Ministero dell’interno, del Ministero della difesa, del Ministero per gli affari esteri e la cooperazione internazionale, dal Ministro per l’innovazione tecnologica e la transizione digitale, ove previsto, nonché dai rappresentanti dell’Agenzia per la cybersicurezza nazionale. Il gruppo di coordinamento si avvale anche del Centro di valutazione e certificazione nazionale (CVCN) e delle articolazioni tecniche dei Ministeri dell’interno e della difesa, per le valutazioni tecniche della documentazione relativa al piano annuale di cui al comma 2, e ai suoi eventuali aggiornamenti, propedeutiche all’esercizio dei poteri speciali e relative ai beni e alle componenti ad alta intensità tecnologica funzionali alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle attività di cui al comma 1 nonché ad altri possibili fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti, dei dati che vi transitano o dei sistemi.

Cybersecurity

L’articolo 29 del decreto prevede un rafforzamento della normativa per la difesa cyber che prevede la sostituzione di tecnologie russe per evitare il rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti, in conseguenza della crisi in Ucraina, le medesime amministrazioni procedono tempestivamente alla diversificazione dei prodotti in uso.

Sono coinvolti la sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR); b) “web application firewall” (WAF).