di Annamaria Villafrate - Pubblicata in Gazzetta Ufficiale il 20 novembre, la legge di conversione (n. 133/2019 sotto allegata) del decreto legge n. 105 del 21 settembre 2019 che definisce il perimetro di sicurezza nazionale cibernetica (cosiddetta legge cybersecurity) è entrata in vigore il 21 novembre 2019. Importanti le modifiche apportate in sede di conversione, non solo all'art. 1 che definisce il perimetro, ma anche all'apparato sanzionatorio e ai poteri dell'esecutivo in materia (Golden Power) che sono stati notevolmente ampliati (anche al 5G), garantendo così al Governo la possibilità di effettuare controlli più stringenti sull'ITC e di esercitare, in casi particolari, un importante potere di veto.

Vediamo le novità più significative:

• Cos'è il perimetro di sicurezza cibernetica
• Sanzioni pesanti per chi trasgredisce
• Golden Power, più potere all'esecutivo
• 5G

Cos'è il perimetro di sicurezza cibernetica

Il perimetro di sicurezza nazionale è istituito per assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, con una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato o la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, o utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

Entro 4 mesi dall'entrata in vigore della legge di conversione un provvedimento del PdCM, su proposta del CISR, è tenuto a definire le amministrazioni e gli enti con sede in Italia compresi nel perimetro di sicurezza e quindi tenuti al rispetto delle regole.

Individuazione che deve avvenire in base a un criterio di gradualità, tenendo conto dell'entità del pregiudizio per la sicurezza nazionale derivante dal malfunzionamento o interruzione, anche parziale del servizio e valutando la specificità dei settori.

Entro 10 mesi dall'entrata in vigore della legge di conversione un provvedimento del PdCM deve altresì individuare le procedure che i soggetti devono seguire per notificare gli incidenti in grado di avere un impatto sui sistemi al gruppo di intervento per la sicurezza informatica, tenuto a trasmetterlo al Dipartimento delle informazioni per la Sicurezza che a sua volta deve trasmetterlo all'organo del Ministero dell'Interno appositamente istituito. Sempre entro 10 mesi dall'entrata in vigore della legge di conversione con decreto del PdCM sono stabilite misure finalizzate a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e informatici, tenendo conto degli standard definiti a livello internazionale e dell'Unione europea, relative alla gestione della sicurezza, del rischio e alla mitigazione e prevenzione del rischio e all'affidamento di forniture di beni, sistemi e servizi ITC.

Con regolamento da adottare entro dieci mesi dalla data di entrata in vigore della legge di conversione sono disciplinati le procedure, le modalità e i termini con cui i soggetti di cui al comma 2, lettera a), ovvero le centrali di committenza "intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici (…) ne danno comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso il Ministero dello sviluppo economico (…)

Entro quarantacinque giorni dalla ricezione della comunicazione, prorogabili di quindici giorni, una sola volta, in caso di particolare complessità, il CVCN può effettuare verifiche preliminari ed imporre condizioni e test di hardware e software ..." I soggetti devono collaborare alla fase di test, in caso contrario il CVCN segnala questo problema al Ministero dello Sviluppo Economico, se i soggetti sono privati, alla Presidenza del Consiglio se i soggetti sono pubblici, che possono sottoporli a ispezioni e verifiche.

Sanzioni pesanti per chi trasgredisce

Salvo che il fatto costituisca reato le sanzioni amministrative applicate nei confronti di chi non si attiene alle regole sono molto pesanti:

• il mancato adempimento degli obblighi di predisposizione e di aggiornamento dell'elenco delle reti, dei sistemi informativi e dei servizi informatici è punito con la sanzione amministrativa pecuniaria da euro 200.000 a euro 1.200.000;
• il mancato adempimento dell'obbligo di notifica relative agli incidenti con impatto sulle reti nei termini prescritti, è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
• l'inosservanza delle misure predisposte per garantire elevati livelli di sicurezza delle reti dei sistemi informativi e informatici è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
• la mancata comunicazione da parte dei soggetti che intendono procedere all'affidamento di forniture di beni e servizi ITC nei termini prescritti, è punita con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000;
• l'impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), in violazione delle condizioni o in assenza del superamento dei test imposti dal CVCN ovvero dai Centri di valutazione, è punito con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000;
• la mancata collaborazione per l'effettuazione delle attività di test è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
• il mancato adempimento delle prescrizioni indicate dal Ministero dello sviluppo economico o dalla Presidenza del Consiglio dei ministri in esito alle attività di ispezione e verifica è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
• il mancato rispetto delle prescrizioni relative alle metodologie di test e di verifica, è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
• l'impiego di prodotti e di servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici in assenza della comunicazione o del superamento dei test o nel mancato rispetto delle condizioni previste comporta anche l'applicazione della sanzione amministrativa accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione.
• chi, allo scopo di ostacolare o condizionare l'espletamento dei procedimenti o delle attività ispettive e di vigilanza, fornisce informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l'aggiornamento degli elenchi o ai fini delle comunicazioni o per lo svolgimento delle attività ispettive e di vigilanza od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto, è punito con la reclusione da uno a tre anni.

Le sanzioni vengono irrogate dalla Presidenza del Consiglio per i soggetti pubblici, dal Ministero dello sviluppo economico se i trasgressori sono privati.

Golden Power, più potere all'esecutivo

La legge di conversione riconosce al Governo più potere nei settori altamente tecnologici e in materia di esercizio di poteri speciali (Golden Power) nell'ambito della difesa, della sicurezza nazionale, nelle attività rilevanti da un punto di vista strategico nei settori dell'energia, dei trasporti e delle comunicazioni.

Il Governo nel valutare l'acquirente esterno all'Unione Europea deve tenere conto se questi:

• è controllato direttamente o indirettamente dalla PA di un paese extra UE, inclusi gli organismi statali o forze armate, anche attraverso l'assetto proprietario o finanziamenti;
• è stato coinvolto in attività che influiscono sulla sicurezza o sull'ordine pubblico in uno Stato membro dell'Unione Europea;
• possa, con una certa probabilità, intraprendere attività illegali o criminali.

Alla Presidenza del Consiglio dei Ministri il potere di veto sulla conclusione del contratto, come l'imposizione di specifiche condizioni o prescrizioni, previo invio di un'informativa completa entro dieci giorni dalla conclusione di un contratto o accordo da parte dell'impresa che ha acquisito, a qualsiasi titolo, i beni o i servizi.

L'art. 5 riconosce infine al Presidente del Consiglio, in presenza di un rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi informativi e servizi informatici, previa delibera del Comitato interministeriale per la sicurezza della Repubblica, il potere di disporre se indispensabile e per il tempo strettamente necessario all'eliminazione dello specifico fattore di rischio o alla sua mitigazione, nel rispetto del criterio di proporzionalità, la disattivazione totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l'espletamento dei servizi interessati.

5G

Le norme si applicano ai soggetti inclusi nel perimetro e valgono anche per contratti e accordi relativi ai servizi di comunicazione elettronica a banda larga basati sul 5G. Rispetto a questi, è prevista una notifica alla presidenza del Consiglio per l'eventuale esercizio del potere di veto o di specifiche condizioni o prescrizioni.

Leggi anche:

- Decreto Cybersecurity: ok dalla Camera

- Cybersecurity: la guida