Cyber Security: il nuovo decreto-legge n.105/2019

Il decreto-legge n. 105/2019 prevede anzitutto sub art. 1 co. 1° l’istituzione del c.d. “perimetro di sicurezza nazionale cibernetica”, a cui devono far parte le amministrazioni pubbliche, gli enti e operatori nazionali (anche privati), laddove: (a) esercitino una funzione essenziale dello Stato, ovvero prestino un servizio essenziale per il mantenimento di attività civili ed economiche fondamentali per lo Stato, e (b) l’esercizio di tale funzione o la prestazione di tale servizio dipenda da reti, sistemi informativi e servizi informatici il cui malfunzionamento, interruzione, o utilizzo improprio, possa causare un danno per la sicurezza nazionale.
L’art. 1 del decreto-legge n. 105/2019 prevede quindi una duplice deadline per rendere operativo il “perimetro di sicurezza nazionale cibernetica”. 

Anzitutto, entro 4 mesi dall’entrata in vigore del decreto-legge, tramite decreto del Presidente del Consiglio dei ministri, saranno individuati i soggetti concretamente rientranti nel perimetro e anche i criteri in base ai quali tali soggetti individueranno le reti, i sistemi informativi e servizi informatici rilevanti ai fini del perimetro. 

Dopodiché, entro 10 mesi dall’entrata in vigore del decreto-legge, sempre tramite decreto del Presidente del Consiglio dei ministri, saranno definite le procedure per notificare gli incidenti che impattano sulle reti e i sistemi informativi rilevanti, nonché gli standards di sicurezza volti a garantire l’integrità di quest’ultimi.
Parimenti, entro il termine di 10 mesi dall’entrata in vigore, tramite regolamento attuativo, saranno definite le modalità e i termini con i quali i soggetti appartenenti al perimetro potranno affidare con appalto pubblico forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle proprie reti e sistemi informativi. In questo contesto, l’art. 1 comma 6° attribuisce sin da ora un ruolo di primo piano al Centro di valutazione e certificazione nazionale (CVCN), organo istituito lo scorso febbraio presso il Ministero dello Sviluppo Economico, che potrà imporre condizioni e test di hardware e software con la conseguente integrazione nei bandi di gara di clausole valevoli a sospendere o risolvere l’affidamento del contratto a uno specifico soggetto in base all’esito dei predetti test. Il CVCN potrà inoltre elaborare e adottare schemi di certificazione cibernetica qualora quelli attualmente in forze non risultino adeguati per la tutela del perimetro di sicurezza.
A testimoniare la straordinaria importanza e urgenza attribuita al perimetro, va poi segnalato il severissimo regime sanzionatorio, previsto dall’art. 1 comma 9° del decreto-legge n. 105/2019, a carico dei soggetti appartenenti al perimetro che si dimostrino inadempienti alle previsioni di attuazione del decreto-legge. Basta qui solo pensare che l'impiego di prodotti e servizi sulle reti, sui sistemi informativi, in violazione delle condizioni imposte dal CVCN determina l’elevazione di una sanzione pecuniaria massima pari a 1.800.000 euro.

Il decreto-legge pone, infine, particolare attenzione al tema del 5G e ai rischi ad esso associati. Infatti, l’art. 3 prevede l’esercizio dei poteri speciali in tema di sicurezza, assicurati dal Decreto-legge 15 marzo 2012, n. 21 (convertito dalla legge 11 maggio 2012, n. 5), sulle reti e i sistemi basati sulla tecnologia 5G previa effettuazione di stringenti verifiche sulle loro eventuali vulnerabilità. Tale verifica, svolta dal CVCN, potrà comportare, con riferimento alle autorizzazioni già rilasciate ai sensi del decreto-legge 15 marzo 2012, n. 21, la possibilità di modificare le misure prescrittive già previste alla luce dei nuovi standard.
Ciò detto, è necessario specificare che la realizzazione di un perimetro di sicurezza in ambito IT non è il solo obiettivo del Decreto.

Il provvedimento introduce anche nuove fattispecie rilevanti in materia di responsabilità amministrativa degli enti di cui al D. lgs 231/2001. L’art. 1 comma 11 sanziona i soggetti che, allo scopo di ostacolare o condizionare gli adempimenti e le attività ispettive e di vigilanza sopra menzionate, forniscono informazioni, dati o elementi di fatto non rispondenti al vero, necessari per la predisposizione delle comunicazioni o per l’aggiornamento degli elenchi delle reti, dei sistemi informativi e dei sistemi informatici di cui al Decreto medesimo. La norma in parola prevede inoltre che sia punito chi omette di comunicare entro i termini prescritti i suddetti dati, informazioni, elementi di fatto.