Il DL 82 del 2021 istituisce la "Agenzia per la cybersicurezza nazionale".
NB: trattandosi di un DL, il suo recepimento in Legge potrà comportare alcune modifiche al testo che commento nel seguito.
Innanzi tutto va specificato cosa si intende per "cybersicurezza" (e qui
apprezzo il fatto che non si usa più lo scorretto "sicurezza cibernetica",
anche se il termine "cibernetico" è comunque, e sempre scorrettamente, usato
in altre parti del DL). Copio e incollo: l'insieme delle attività
necessarie per proteggere dalle minacce informatiche reti, sistemi
informativi, servizi informatici e comunicazioni elettroniche,
assicurandone la disponibilità, la confidenzialità e l'integrità, e
garantendone altresì la resilienza".
Mi chiedo perché qui usino "confidenzialità", quando nella PA si parla in
altre norme, di "riservatezza". Non ho una risposta e spero qualcuno me la
possa fornire.
Poi, istigato da Chiara Ponti (degli Idraulici della privacy), osservo che
la definizione tratta di "minacce informatiche", senza però esplicitare cosa
si intende con questa espressione. Io sicuramente includerei le minacce da e
a sistemi informatici (p.e. virus, tentativi di intrusioni da esterni via
rete Internet). Includerei anche le minacce originate da errori (p.e. il
blocco perché lo spazio per i log è esaurito perché configurato o monitorato
male). Escluderei invece quelle fisiche (incendi, danneggiamenti, guasti),
ma includerei quelle derivate dalle minacce fisiche (p.e. la lettura da
dispositivi di memoria dismessi o l'accesso a file su pc rubati).
Sicuramente sono escluse le minacce alle informazioni su supporto cartaceo o
quelle trasmesse oralmente, ma sono incluse le minacce rivolte ai sistemi IT "senza informazioni" o "con solo informazioni di configurazione", come molti
dispositivi IoT e molti sistemi di controllo industriale e di domotica.
Poi il provvedimento si fa di difficile lettura a causa dei molti
riferimenti verso altre norme. Provo a sintetizzare alcuni punti e a
commentarli, ricordando che io sono interessato principalmente agli impatti verso le "normali organizzazioni" e non all'organizzazione complessiva della PA.
- L'Agenzia diventa il "punto di contatto unico" previsto dal D. Lgs.
65/2018 (Direttiva NIS).
- L'Agenzia sarà la "Autorità nazionale di certificazione della
cybersicurezza" secondo quanto previsto dal Cybersecurity Act (Regolamento
UE 2019/881). Questo è molto importante per le future attività di certificazione di prodotti e servizi informatici.
- L'Agenzia incorpora il CVCN (Centro di valutazione e certificazione
nazionale, parte del MiSE), istituito dal DL 105/2019 (cosiddetto "Perimetro
di sicurezza nazionale cibernetica") e le relative attività di ispezione e
verifica.
- Come autorità di certificazione, accredita le appropriate strutture del
Ministero della difesa e del Ministero dell'interno quali organismi di
valutazione della conformità per i sistemi di rispettiva competenza. Al
momento sono un po' confuso su chi fa cosa, ma capirò meglio quando saranno
attivati gli schemi di certificazione. Le ultime notizie, però, suggeriscono
che dovremo aspettare ancora qualche anno.
- Accentra le attività di definizione delle misure di sicurezza che devono
adottare gli operatori di telecomunicazione e le relative attività di
verifica, previste dal D. Lgs. 259 del 2003 (Codice delle comunicazioni
elettroniche) e in precedenza attribuite al MiSE.
- Assume le funzioni attribuite alla Presidenza del Consiglio dei ministri e
al DIS dal Perimetro nazionale e dal DPCM di attuazione e (cose relative al
settore spazio e aerospazio). Importante, mi sembra, è il fatto che quindi
sia responsabile dell'elencazione dei soggetti inclusi nel perimetro e della raccolta delle descrizioni dei sistemi e delle valutazioni del rischio di
tali soggetti.
- Assume le funzioni attribuite ad AgID in materia di sicurezza informatica.
Pertanto le PA dovranno monitorare le indicazioni fornite dall'Agenzia in
questo ambito.
- Diventa punto di riferimento per numerose attività. Leggerle tutte
richiede molta attenzione e dovremo soprattutto vederne in futuro gli
impatti. Per certo dovremo monitorare le attività dell'Agenzia.
- Incorpora il CSIRT Italia, già istituito da più di un anno.
Concludo dicendo che il DL è pieno di ulteriori disposizioni, ma azzardo
dicendo che la sua vera portata la vedremo dispiegarsi nei prossimi mesi, in
termini di messa a disposizione di indicazioni utili per tutti gli operatori
e di supporto.
Nessun commento:
Posta un commento