Sicurezza cibernetica: cosa cambia con il decreto cybersecurity

Lo scorso ottobre la Camera ha approvato il decreto per definire le nuove regole in materia di sicurezza cibernetica. Si tratta di un disegno di legge che vuole andare a ridefinire i parametri e le limitazioni in tema non solo di cybersicurezza, ma in generale di tutto quello che riguarda il mondo dell’ICT, ovvero le tecnologie dell’informazione e della comunicazione. Queste ultime comprendono l’insieme di metodi e tecniche utilizzate per la trasmissione e l’elaborazione dei dati. Il decreto è stato approvato con 269 voti favorevoli, 157 astenuti e tre contrari. Ma quali sono le sue caratteristiche principali e i cambiamenti in esso previsti ?

Sicurezza cibernetica: le nuove regole del disegno di legge

Il disegno di legge n°105 dell’ottobre 2019 ridisegna quelli che sono i parametri in tema di sicurezza cibernetica. Sono diverse le novità all’interno del testo. La principale è l’istituzione di un perimetro per la sicurezza cibernetica nazionale. Il decreto stabilisce i criteri attraverso i quali individuare gli attori da inserire all’interno del perimetro. In particolare, si tratta di:

“Enti pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.

Questi soggetti, proprio in virtù del ruolo che vanno a rivestire, legato alla trasmissione di informazioni essenziali per il funzionamento della cosa pubblica e la funzione all’interno del tessuto economico e sociale, avranno l’obbligo di rispettare alcune misure di sicurezza essenziali. Inoltre essi adempiranno a specifici standard definiti dal decreto.  Fanno parte di questi enti tutte le amministrazioni pubbliche, ma anche fornitori privati di servizi essenziali, come servizi di elettricità, telefonia e dei trasporti.

Il protocollo di sicurezza

Secondo le nuove norme, ogni volta che un ente pubblico o privato, posto all’interno del perimetro per la sicurezza cibernetica, intenda procedere all’assegnazione di beni o servizi, destinati ad essere usati sulle reti e sui sistemi informativi che fanno affidamento a servizi informatici, dovrà comunicarlo al Cvcn,ovvero  il Centro di valutazione e prevenzione nazionale. Si tratta di un ente preposto alla valutazione di eventuali rischi informativi e di sicurezza, attraverso quella che il governo chiama una definizione graduale del rischio.

Una volta stimati i rischi da parte dei funzionari del Cvcn, segue un periodo di 30 giorni nel quale possono essere richiesti ulteriori test software e hardware all’azienda fornitrice di servizi. In questo contesto il governo ha quindi la possibilità di inserire eventuali clausole nel contratto di fornitura, come per esempio il superamento di specifici test di sicurezza o al rispetto di condizioni particolari determinate dalle autorità preposte.

Sicurezza cibernetica e polemica sul 5G

Il decreto è stato oggetto di una polemica relativa alle reti 5G e alle sue restrizioni. Il termine 5G indica la tecnologia mobile di quinta generazione, più veloce e potente rispetto al suo precursore, ovvero il 4G. Si tratta di una tecnologia centrale estremamente importante per lo sviluppo della digitalizzazione in ogni paese industrializzato. Essa consentirà di potenziare, ampliare e rendere maggiormente accessibili servizi digitali di nuova generazione come i pagamenti digitali, l’intelligenza artificiale e le blockchains.

Attualmente in Italia il 5G viene regolato dalla normativa sulla Golden Power, introdotta nel 2012. Questa regolamentazione permette al governo di utilizzare determinati poteri, quali diritto di veto sull’adozione di delibere societarie e la possibilità di erogare contratti soggetti ad alcune clausole. La normativa è stata successivamente estesa anche ai settori ad alta intensità tecnologica. Fanno parte di questa categoria le infrastrutture finanziarie e le tecnologie critiche, tra le quali sono presenti le reti 5G.

Il decreto cybersicurezza rafforza ulteriormente i poteri del governo previsti dalla Golden Power e la possibilità di intervento da parte di quest’ultimo nell’ambito dell’acquisizione di atti e operazioni di società che detengono risorse fondamentali nello sviluppo e l’implementazione di questo genere di tecnologie.

Cybersicurezza: le reazioni

Non sono mancate le reazioni in seguito all’approvazione del disegno di legge. L’obiettivo degli esponenti del M5s è la creazione di un sistema di governance più efficiente nel garantire la sicurezza ai cittadini in ambito di cybersecurity. Il presidente degli Stati Uniti, Donald Trump, ha elogiato questo decreto, criticato invece dalle opposizioni. Si tratta di misure riguardanti dei nodi centrali per lo sviluppo di reti tecnologiche più moderne ed efficienti e allo stesso tempo più sicure, per garantire così uno sviluppo tecnologico e digitale in un’ottica basata su controlli rapidi e maggiore trasparenza.

 

A cura di

Miriam Salamone


FONTI:

CREDITS: