Misure in materia di perimetro di sicurezza nazionale cibernetica (dl n.105/2019)

Il decreto-legge n.105/2019 ha introdotto misure in materia di perimetro di sicurezza nazionale cibernetica e, sulla base di quanto disposto nel corso dell’esame del disegno di legge di conversione, disposizioni riguardanti la disciplina dei poteri speciali nei settori di rilevanza strategica. Con tale provvedimento normativo si vuole infatti assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali – pubblici e privati – attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica con annesse misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi.

In particolare, il decreto fa riferimento a quei sistemi informatici: necessari per l’esercizio di una funzione essenziale dello Stato; necessari per l’assolvimento di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato; il cui malfunzionamento, interruzione o uso improprio possono pregiudicare la sicurezza nazionale.

Più nel dettaglio, l’istituzione del perimetro di sicurezza nazionale cibernetica è demandata ad un DPCM, da adottare su proposta del CISR (Comitato interministeriale per la sicurezza della Repubblica), previo parere delle competenti Commissioni parlamentari, entro 4 mesi dall’entrata in vigore della legge di conversione. Una volta stabilito il perimetro, verranno definite le procedure con le quali i soggetti che ne fanno parte dovranno notificare gli eventuali incidenti “aventi impatto su reti, sistemi informativi e servizi informatici” e vengono stabilite le misure “volte a garantire elevati livelli di sicurezza”. A tal riguardo, come previsto dal comma 3 del d.l. in questione, il DPCM è chiamato a definire: le procedure in base alle quali i soggetti del perimetro di sicurezza nazionale cibernetica segnalino gli incidenti aventi impatto su reti, sistemi informativi e sistemi informatici (lett. a)) e le misure volte a garantirne elevati livelli di sicurezza (lett. b)).

In proposito, si ricorda che l’art. 27 del decreto-legge n. 162 del 2019 ha successivamente modificato l’art. 1, comma 2, lettera a), del decreto-legge n. 105 del 2019 introducendo contestualmente un nuovo comma 2-bis. A seguito delle modifiche è stata affidata – secondo le procedure previste dal decreto-legge n.105 del 2019 e, quindi, su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR) e previo parere delle competenti Commissioni parlamentari – ad un decreto del Presidente del Consiglio dei ministri (di cui all’art. 1, comma 2), la definizione delle modalità e dei criteri procedurali di individuazione dei soggetti da includere nel perimetro. A sua volta, la puntuale elencazione dei soggetti inclusi nel perimetro ed individuati ai sensi dello stesso decreto del Presidente del Consiglio dei ministri è rimessa ad un “atto amministrativo”, da adottare da parte del Presidente del Consiglio dei ministri, su proposta del CISR, entro 30 giorni dalla data di entrata in vigore del predetto decreto del Presidente del Consiglio dei ministri (nuovo comma 2-bis). Per tale atto amministrativo è espressamente escluso il diritto di accesso e viene specificato come lo stesso non sia soggetto a pubblicazione. Dell’avvenuta iscrizione nell’elenco viene data, separatamente e senza ritardo, comunicazione a ciascun soggetto.

Tale modifica, rispetto all’impianto iniziale del DL 105 del 2019 che affidava l’individuazione dei soggetti inclusi interamente al DPCM, si è resa opportuna in quanto l’elenco dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, considerato nella sua interezza, presenta particolari profili di sensibilità sotto il profilo della sicurezza. Ciò in quanto, dalla sua conoscenza, è possibile ricostruire il quadro complessivo delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati dalle cui reti, sistemi informativi e servizi informatici dipende l’esercizio di funzioni essenziali dello Stato ovvero la prestazione di servizi essenziali per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale. È poi rimessa ad un regolamento la definizione delle procedure, delle modalità e dei termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT, destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici individuati nell’elenco trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico (art.1, c. 6).

Sono poi individuati alcuni compiti del Centro di valutazione e certificazione nazionale (CVCN), con riferimento all’approvvigionamento di prodotti, processi, servizi di tecnologie dell’informazione e della comunicazione (ICT) e associate infrastrutture – qualora destinati a reti, sistemi informativi, sistemi informatici ricompresi nel perimetro di sicurezza nazionale cibernetica. Al contempo sono determinati alcuni obblighi per: gli operatori dei servizi essenziali; i fornitori di servizi digitali; le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, inclusi nel perimetro di sicurezza nazionale cibernetica. È altresì previsto che il Presidente del Consiglio – su deliberazione del CISR – possa disporre la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati. Entro 30 giorni il Presidente del Consiglio è tenuto a informare il Comitato parlamentare per la sicurezza della Repubblica (Copasir) delle misure disposte.

Il provvedimento reca quindi un articolato sistema sanzionatorio per i casi di violazione degli obblighi ivi previsti ed individua le autorità competenti all’accertamento delle violazioni e all’irrogazione delle sanzioni. Le autorità titolari delle attribuzioni quali configurate dal decreto-legge, sono chiamate inoltre ad assicurare “gli opportuni raccordi” con il Dipartimento delle informazioni per la sicurezza (DIS) e con l’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione (art.1, c. 9-11).

Alcune disposizioni sono dettate per assicurare il raccordo tra il decreto-legge e la normativa in materia di esercizio dei poteri speciali governativi sui servizi di comunicazione a banda larga basati sulla tecnologia 5G. In dettaglio, l’art.3, comma 1, stabilisce che – fatta eccezione per quanto previsto dall’articolo 1, comma 6, lettera a) in materia di procurement – le disposizioni del decreto in esame si applicano ai soggetti indicati dall’articolo 1, comma 2, lettera a) inclusi nel perimetro di sicurezza nazionale cibernetica, anche nei casi in cui questi siano tenuti alla notifica al Governo delle operazioni di cui all’articolo 1-bis del decreto-legge n. 21 del 2012, in materia di poteri speciali. Tale articolo 1-bis qualifica i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G quali attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale, ai fini dell’esercizio dei poteri speciali; esso stabilisce l’assoggettamento a notifica (di cui all’articolo 1, comma 4 del decreto legge n. 21 del 2012) per i contratti o gli accordi ivi indicati – ove conclusi con soggetti esterni all’Unione europea – al fine dell’eventuale esercizio del potere di veto o dell’imposizione di specifiche prescrizioni o condizioni.

È inoltre esteso l’ambito operativo delle norme in tema di poteri speciali esercitabili dal Governo nei settori ad alta intensità tecnologica (cd. golden power).