Premetto che mi piacerebbe essere contraddetto rispetto a quello che qui scrivo.
E' stato approvato il Decreto Legge 105 del 2019 con titolo "Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica", noto anche come il decreto sul "Perimetro di sicurezza nazionale cibernetica":
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legge:2019-09-21;105!vig=
Ricordo che si tratta di un Decreto Legge e pertanto dovrebbe essere convertito in Legge entro 3 mesi. La conversione potrebbe avvenire con modifiche o non avvenire proprio. E' pertanto necessario prestare le dovute cautele (e magari ristudiare il testo quando sarà definitivo).
Non l'ho letto (anche perché ci sono troppi incroci con altre normative e non vorrei che poi fra 3 mesi questi siano cambiati), ma ho letto con attenzione l'articolo di Stefano Mele:
- https://www.agendadigitale.eu/sicurezza/sicurezza-nazionale-ict-perche-il-decreto-sul-perimetro-fara-la-differenza/.
Giancarlo Caroti (grazie!) mi ha anche segnalato che ora abbiamo anche la brochure istituzionale:
- https://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/la-rete-diplomatica-promuove-il-cyber-made-in-italy.html.
Detto questo, il DL era già stato proposto qualche tempo fa (precedente Governo) come DDL. Ora sembra che si voglia imprimere maggiore velocità al tema e quindi si è preferita la strada del DL, in modo da avere la Legge entro 3 mesi.
Il DL prevede siano indicate le entità che costituiscono il "Perimetro di sicurezza nazionale nel cyberspazio", in modo simile a quanto fatto per la Direttiva NIS che richiedeva fossero identificati gli operatori di servizi essenziali (OSE). Qui, evidentemente, si pensa di estendere l'insieme delle organizzazioni significative da un punto di vista informatico (io, poi, non capisco le differenze tra gli OSE e le organizzazioni previste dal "perimetro", ma non credo sia così importante).
A queste organizzazioni, come già fatto per gli OSE, si impone l'attuazione del Framework per la Cybersecurity del CINI, che ho già criticato e che continuo a non considerare come valido riferimento (l'uso del framework del CINI non è esplicitato, ma credo si nasconda tra i riferimenti ad altre normative.
Questo vuol dire che è esteso l'obbligo (anche con pesanti sanzioni) di applicare delle misure "minime" di sicurezza ad un numero maggiore di organizzazioni rispetto a quelle previste dalla Direttive NIS. Per quanto io critichi lo schema del CINI, ritengo che sia un bene.
Si aggiunge un meccanismo di segnalazione di incidenti. Questa ossessione per la segnalazione degli incidenti non la capisco molto bene. Infatti, per lo meno a livello di grande pubblico, non mi pare di aver visto nessun ritorno utile per la prevenzione degli attacchi (i bollettini dei CIRT italiani nulla dicono in merito; gli unici che mi sembra facciano riferimento a incidenti segnalati sono gli svizzeri di Melani). Ricordo che l'obiettivo dovrebbe essere proprio la prevenzione degli attacchi.
Il DL stabilisce un centro di valutazione dei prodotti informatici (il Centro di Valutazione e Certificazione Nazionale, o CVCN, del MiSE), come peraltro già previsto, seppur parzialmente, dal Cybersecurity Act (e di cui vorrei capire le relazioni con il già esistente OCSI, http://www.ocsi.isticom.it/).
Il DL dà la possibilità al Governo di spegnere una rete in caso di grave incidente. Spero di non vedere mai attuata questa opzione.
Infine introduce la golden power in alcuni settori. Questo non è tema su cui posso dirmi competente, ma permetterebbe di orientare alcuni acquisti in modo da evitare interferenze da parte di altre entità (al momento l'attenzione è concentrata sulla possibilità che la Cina, con il monopolio degli apparati 5G, possa spiare le nostre comunicazioni; credo però che questa misura avrà ulteriori e significativi impatti).
Lascio in conclusione una nota formale. Purtroppo sembra che la traduzione pigra di cyber (usato solo come prefisso) con "cibernetica" (che è un'altra cosa) sia diventata la traduzione ufficiale. Queste sono cose che mi lasciano molto sconcertato.
Nessun commento:
Posta un commento