Cybersecurity: nasce il «fortino» della sicurezza

Hacker’s Dictionary. Il Consiglio dei ministri istituisce il Perimetro di sicurezza nazionale cibernetica. Dovrà passare tra le forche caudine di camere, franchi tiratori e lentezze burocratiche, con la crisi sullo sfondo. Prevede multe fino a 2 milioni di euro.

di ARTURO DI CORINTO per Il Manifesto del 25 Luglio 2019

Il 19 luglio scorso il Consiglio dei ministri ha approvato un disegno di legge sulla Cybersecurity. Il testo, che prevede un percorso attuativo di circa un anno fra decreti applicativi e regolamenti, dovrà ora percorrere l’iter parlamentare per diventare effettivamente operativo.

Se fosse stato un decreto sarebbe stato al riparo da un’eventuale crisi di governo.

Il disegno di legge istituisce il “Perimetro di sicurezza nazionale cibernetica” e ha l’obiettivo di «assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati». ‘Perimetro’, in gergo cyber, è l’area da difendere quando parliamo di attacchi ai sistemi informatici.

Convertito in legge definisce le finalità del perimetro e individua i soggetti, le reti, i sistemi e i servizi che ne fanno parte e il meccanismo di procurement più sicuro per i soggetti inclusi nel perimetro stesso; definisce le competenze del Ministero dello sviluppo economico per i soggetti privati e dell’Agenzia per l’Italia Digitale per le amministrazioni pubbliche in termini di vigilanza e controllo sul rispetto degli obblighi introdotti; prevede attività di ispezione e verifica da parte delle strutture specializzate in tema di protezione con sanzioni elevate, che vanno da 200mila a 1,8 milioni di euro mentre l’azione di verifica è affidata al Centro di valutazione e certificazione nazionale, istituito presso il Mise, che deve valutare, nel caso di acquisti di tecnologie estere per beni e servizi Ict, l’opportunità di effettuare test su software o hardware.

È la naturale conclusione di un percorso che è partito con la riforma Monti nel 2013 e proseguito con il decreto Gentiloni nel 2017, per finire con l’adozione della Nis, la direttiva sulla Sicurezza di reti e infrastrutture e della Gdpr, il Regolamento per il trattamento e la protezione dei dati personali nello scorso 2018. Il 3 luglio l’Italia ha elaborato le linee guida per la gestione dei rischi, la prevenzione e mitigazione degli incidenti relativi alla fornitura dei servizi essenziali.

Il 27 giugno invece è entrato in vigore il Cybersecurity Act, uno strumento normativo europeo che mira a una sicurezza informatica coerente su tutto il territorio dell’Unione. Il cuore del Regolamento è la creazione di un quadro europeo unico per la certificazione della sicurezza informatica ICT e dei servizi digitali “A salvaguardia degli interessi dei cittadini e delle imprese europee», secondo Mariya Gabriel commissaria Ue al digitale.

Il Cybersecurity Act dovrebbe rendere l’Europa più forte in caso di attacchi alle infrastrutture critiche e ai servizi digitali da cui dipendono i suoi cittadini. Ma l’idea sottostante è quella di creare un mercato unico della cybersecurity in fatto di prodotti, processi e servizi certificati, anche grazie al nuovo ruolo attribuito all’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione, l’Enisa, sia nell’elaborazione delle strategie di cybersecurity, che nelle certificazioni che potranno sostituire quelle nazionali grazie a un set di linee guida riconosciute a livello comunitario.

Era ora. Il mercato europeo della sicurezza informatica vale 130 miliardi di euro con una crescita annua del 17%. Solo in Italia, secondo UnionCamere, tra la fine del 2017 e i primi tre mesi del 2019 le imprese italiane che offrono servizi di cybersecurity sono aumentate del 300%, passando da circa 700 a 2.800 con un aumento nello stesso periodo da 5.600 a 23.300 addetti.