Una breve analisi del nuovo D.L. 105/2019 cosiddetto “Perimetro nazionale cibernetico”. L’Italia prepara elevati livelli di sicurezza nazionale per rispondere alla sfida del 5G e ridisegna la governance in ambito cyber.
Con il decreto legge 105 del 21 settembre 2019 si fissano i nuovi confini del “perimetro di sicurezza nazionale cibernetica”. Secondo gli esperti questo rappresenta un importante passo avanti nella legislazione cyber in termini di sicurezza nazionale. Infatti, obbiettivo fondamentale del decreto legge è quello di anticipare “la presenza di fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti inerenti ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G e dei dati che vi transitano”.
La normativa, pertanto, riprendendo la legge 56/2012, tende ad armonizzare e a rafforzare la sicurezza nazionale, alla luce della nuova tecnologia in ambito di telefonia mobile. Com’è noto, questa tecnologia tenderà a migliorare ulteriormente la potenza delle telecomunicazioni, il che potrebbe rivoluzionare il settore e essere impiegata anche settori diversi, quali trasporti, sanità, energia e industria manifatturiera.
Con l’introduzione della normativa 105/2019 l’Italia sceglie di rafforzare la cosiddetta “golden power” sulla fornitura delle reti telco, in funzione dell’implementazione del 5G. La “golden power”,già introdotta con il decreto legge 21/2012, dà potere all’esecutivo, in linea con la normativa europea, in settori definiti strategici per l’interesse nazionale, tra cui le comunicazioni: la Presidenza del Consiglio di concerto con il comitato interministeriale, composto dal Ministero degli Esteri, Giustizia, Interno, Economia, Difesa e Sviluppo Economico, potrà, infatti, esercitare tale potere per sospendere e/o interrompere una rete 5G, nonché rendere inefficace un contratto di fornitura o appalto, laddove venga ravvisato un pericolo per la sicurezza nazionale o una crisi cibernetica. Tale determinazione comporterà, ai sensi dell’articolo 5 del decreto legge 105/2019,
“di disporre per il tempo strettamente necessario all’eliminazione dello specifico fattore di rischio o alla sua mitigazione, secondo criteri di proporzionalità, la disattivazione, totale o parziale, di uno o più appararti o prodotti impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati.”
Nella ratio del decreto si considerano le reti Telco come operatori di servizi essenziali, in linea con quanto previsto anche dalla Direttiva NIS, e pertanto rientranti nel perimetro nazionale cibernetico.
Il decreto legge ridisegna la governance in ambito di sicurezza cibernetica: l’Agid (Agenzia per l’Italia digitale), infatti, cede i poteri di ispezione e verifica della tutela della sicurezza a favore della Presidenza del Consiglio, per quanto riguarda gli operatori pubblici; rimane invariata la competenza al Mise, per quanto riguarda gli operatori privati. Incardinato nel medesimo Ministero, ai sensi del art.1 comma 6 lettera a, il Centro di valutazione e certificazione nazionale potrà, sulla base di una valutazione del rischio, “imporre condizione e test di hardware e software”.
Le procedure, modalità e i termini verranno disciplinati entro dieci mesi da un apposito regolamento. Viene demandato ad un apposito decreto del Presidente del Consiglio dei ministri la mappatura di tutte le amministrazioni pubbliche, degli enti e degli operatori nazionali pubblici e privati che entreranno nel perimetro. L’individuazione comporterà il rispetto delle misure e degli obblighi previsti dal decreto. È importante valutare come con questo decreto legge, il Governo si ponga di stare al passo con il 5G e con il rischio cibernetico, operando, da un lato un potenziamento della “golden power”, dall’altro, attraverso una nuova governance, che include lo CSIRT Italia (Computer Security Incident Response Team) come organo preposto a cui comunicare eventuali incidenti cibernetici, la presenza della Presidenza del Consiglio a tutela della sicurezza e dell’interesse nazionale.
Dott. Benedetto Fucà
