Aggiornamenti recenti Gennaio 21st, 2025 4:08 PM
Ott 05, 2020 Alessia Valentini Approfondimenti, In evidenza, Scenario, Women for Security 0
Cosa significa la sua istituzione, come è stato individuato il Perimetro di sicurezza Cibernetica e quali conseguenze comporta.
Sebbene il Cyberspazio sia considerato “senza confini”, sono lontani gli anni in cui era percepito anche come luogo libero da bandiere e ostilità. Da quei primi anni della “internet libera”, agli attacchi informatici svolti per motivi di spavalderia e/o Cyber-attivismo si sono inizialmente aggiunti quelli perpetrati dalla criminalità organizzata per azioni di Cybercrime e infine quelli indirizzati alla cyberwarfare nello scontro fra attori Statali, senza dimenticare che gli attacchi informatici possono diventare in qualsiasi momento anche un mezzo di Cyber-terrorismo.
Proteggere quindi reti e sistemi connessi al World Wide Web (internet) è progressivamente diventato una priorità non più rimandabile; anzi, in relazione alle nuove tecnologie ed ai sistemi che le adottano, il tema della sicurezza informatica è da considerarsi un elemento intrinseco abilitante senza il quale saremmo di fronte ad un “gigante tecnologico con le ginocchia di argilla”. In Italia la definizione ed attuazione del Perimetro di Sicurezza Cibernetica è solo l’ultimo tassello in ordine temporale di un lungo percorso di organizzazione della Protezione Cyber e della sicurezza informatica per tutti gli operatori pubblici e privati e tutte le istituzioni del Bel Paese. Dunque, da spazio senza confini, l’ambito Cyber diventa una dimensione in cui si rende necessario definire un perimetro di sicurezza di carattere nazionale, per organizzarne protezione e difesa. Il concetto stesso di perimetro, come vedremo, ha una accezione diversa da singolo bordo geometrico di una sola entità Nazionale. Infatti, il Perimetro Nazionale consta della sommatoria dei perimetri infrastrutturali delle reti di tante singole organizzazioni chiamate ad essere parte attiva della protezione nel proprio ambito.
Un primo importante passo in ambito militare
Un primo e importante momento nella roadmap della legislazione dedicata alla protezione e sicurezza informatica è avvenuto in ambito militare. In parte anche per motivi di attribuzione ma soprattutto per poter attuare azioni di difesa militare nel Cyberspazio, il primo passaggio è stata la sua identificazione come quinto dominio della conflittualità nell’ambito degli accordi fra nazioni (Summit NATO Varsavia 2016) a cui sono seguiti progressivi investimenti fatti dell’agenzia NCIA per potenziare esperti e struttura organizzativa dedicata in modo da poter fronteggiare situazioni critiche. Ne sono un esempio il Cyber Security Collaboration Hub che a regime dovrebbe consentire lo scambio sicuro di informazioni fra tutti gli stati dell’alleanza e l’agenzia NCIA e il Cyber Operations Center concordato nel Summit di Bruxelles nel 2018. Esercitazioni periodiche annuali internazionali come il Locked Shields organizzato dal CcdCoe (Cooperative Cyber Defence Centre of Excellence) di Tallin sono invece eseguite per mantenere e accrescere la prontezza dei difensori nei singoli stati.
La regolamentazione Civile Europea
Di pari passo alla definizione del quinto dominio, sempre nel 2016, anche il comparto civile ed in particolare l’Unione Europea, si sono mossi per introdurre misure di protezione e prevenzione che potessero contribuire a fortificare anche le reti e i sistemi civili, interconnessi con Internet. Dopo una gestazione significativa è stata emanata la Direttiva NIS che insieme al successivo Cybersecurity Act traccia gli approcci e le modalità di gestione degli incidenti e della sicurezza informatica nel territorio dell’Unione. In egual misura al rafforzamento della sicurezza però, l’Europa ha voluto intervenire sulla privacy con il GDPR perché Sicurezza e Privacy possano essere due elementi paritetici. Ogni nazione Europea dunque ha dovuto procedere al recepimento della NIS e per la sua piena attuazione, avviare anche l’organizzare di una struttura nazionale Cyber.
Il perimetro di sicurezza nazionale
Senza addentrarci del dettaglio nella lunga serie di passi legislativi che hanno portato alla definizione del Perimetro di sicurezza cibernetica nazionale ricordiamo solo gli step principali della normativa italiana in tema di sicurezza informatica:
L’ultimo decreto-legge/legge è quello che sancisce la creazione del Perimetro di Sicurezza Nazionale come insieme di reti e sistemi afferenti a tutti quegli operatori pubblici, privati e istituzionali che erogano servizi essenziali, il cui pregiudizio per incidente informatico possa comportare un problema di sicurezza nazionale (gli ambiti sono gli stessi della direttiva NIS). Su questa impostazione di sicurezza, fatta da un insieme di singoli che collettivamente contribuiscono alla protezione nazionale, il Ministro Lamorgese al recente Meeting Ambrosetti (6 settembre) ha dichiarato: “In questa nuova arena digitale, non ci possiamo permettere nessun anello debole: è sufficiente una singola vulnerabilità perché tutto il sistema diventi permeabile alla minaccia, mentre la condivisione di competenze, risorse, informazioni e best practices rafforza, in progressione esponenziale, la capacità di tutelare le nostre collettività”.
Con tale decreto viene richiesto di nominare i soggetti che rientrano nel Perimetro di Sicurezza Nazionale. Attenzione a non confondere tale lista con quella dei soggetti identificati come Operatori di servizi Essenziali (OSE) dalle Autorità competenti NIS. Tale elenco è secretato per ovvi motivi di sicurezza perché potrebbero essere considerati dei TARGET. La differenza è che questi soggetti non sono ancora formalmente nominati nel Perimetro di Sicurezza Nazionale.
Nel decreto sono trattati anche ruolo e organizzazione del Centro di Valutazione e Certificazione Nazionale (CVCN) a cui è richiesto di elaborare e adottare schemi di certificazione cibernetica, valutare il rischio e verificare le condizioni di sicurezza nonché l’assenza di vulnerabilità e di contribuire all’elaborazione delle misure di sicurezza. Per completare l’organico necessario al CVCN il DL prevede anche lo stanziamento di fondi per assunzione di nuovo personale specifico, il cui bando di selezione dei 70 esperti è stato pubblicato in Gazzetta Ufficiale ai primi di Agosto. I sistemi e apparati soggetti alle valutazioni del CVCN sono specificati con criteri tecnici e categorie di appartenenza. Ultimo ma non meno importante il ruolo del 5G trattato mediante adozione di poteri speciali (Golden Power) esercitabili dal Governo in settori ad alta intensità tecnologica (energia, trasporti e comunicazioni).
L’approccio introdotto dal DL 105 richiede ad ogni componente del Perimetro di Sicurezza Nazionale di attenersi alle indicazioni di protezione mediante analisi di rischio e di impatto sulla sicurezza dei propri sistemi e reti. Quindi ogni organizzazione è tenuta a identificare e mantenere una corretta postura di sicurezza e l’adozione di standard Ue e internazionali. Per ogni soggetto del Perimetro sono anche previsti obblighi di notifica degli incidenti e sanzioni in caso di inadempienze per tutte le prescrizioni previste. Sono inoltre individuati i soggetti preposti al controllo.
Le misure di sicurezza sono individuate nel Comma 3 lettera b e sono attinenti a:
L’attuazione della disciplina del Perimetro di Sicurezza Cibernetica è stata articolata in due fasi: un primo passo per definire i criteri per l’identificazione dei servizi e l’elenco degli operatori, individuando anche i criteri per stabilire, predisporre e aggiornare l’elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica. Un secondo passo sarà invece dedicato alle specifiche per l’interazione con lo CSIRT Italia in occasione della notifica degli incidenti.
Lo Schema di D.P.C.M. in materia di Perimetro di Sicurezza Nazionale Cibernetica, che riguarda la fase uno è contenuta nell’Atto del Governo n.177 ed è tuttora soggetto all’esame della Commissione preposta e quindi passibile di eventuali variazioni. E’ stato anche predisposto un nuovo decreto che ha la forma di DPR centrato sulle procedura di valutazione del CVCN e dei CV, sulle categorie di tipologie di beni, sistemi e servizi ICT e sulle Ispezioni e verifiche dei controlli (Fonte StartMag).
Nel frattempo l’ultimo decreto semplificazioni legge 11 settembre 2020, n. 120 si dedica a temi correlati al Perimetro di Sicurezza Nazionale ed in particolare, all’articolo 31 tratta gli obblighi di comunicazione in caso di affidamento di forniture ricadenti nel Perimetro di Sicurezza Nazionale Cibernetica e all’articolo 32 introduce il Codice di condotta tecnologica che “disciplina le modalità di progettazione, sviluppo e implementazione dei progetti, sistemi e servizi digitali delle amministrazioni pubbliche, nel rispetto del principio di non discriminazione, dei diritti e delle libertà fondamentali delle persone e della disciplina in materia di Perimetro Nazionale di Sicurezza Cibernetica.” (capo 2). Per approfondimenti si veda anche il Dossier 275 della Camera.
Mag 02, 2024 0
Nov 20, 2023 0
Gen 16, 2023 0
Nov 28, 2022 0
Gen 21, 2025 0
Gen 20, 2025 0
Gen 17, 2025 0
Gen 16, 2025 0
Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Dic 31, 2024 0
Negli ultimi anni gli attacchi zero-day nei dispositivi...Dic 30, 2024 0
Nonostante gli sforzi per redigere e consegnare i report...Dic 23, 2024 0
Tempo di bilanci di fine anno anche per il mondo della...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Gen 21, 2025 0
La Commissione Europea ha dato il via libera a SECURE,...Gen 20, 2025 0
SentinelOne ha annunciato che Purple AI, la soluzione di...Gen 20, 2025 0
Di queste, 29 erano mirate specificamente a obiettivi...Gen 17, 2025 0
Microsoft esteso i test per la feature Administrator...Gen 16, 2025 0
I ricercatori di ESET hanno scoperto una nuova...