Anche se lo schema di DPCM che riguarda il perimetro di sicurezza nazionale cibernetica potrebbe essere ancora soggetto a variazioni, il suo iter dovrebbe concludersi entro il mese di luglio, possiamo fare una prima estrema sintesi di quanto già introdotto nel testo.
Il perimetro individua soggetti che appartengono a due macro-categorie: quelli che assolvono a una funzione essenziale dello Stato e quelli che prestano un servizio essenziale per gli interessi dello Stato.
Alla prima categoria appartengono quei soggetti a cui l'ordinamento
attribuisce compiti rivolti ad assicurare:
- La continuità dell'azione del
Governo e degli Organi costituzionali
- La sicurezza interna ed esterna
e la difesa dello Stato
- Le relazioni internazionali
- La sicurezza e l'ordine
pubblico
- L'amministrazione della
giustizia
- La funzionalità dei sistemi
economico e finanziario, e dei trasporti
Alla seconda categoria appartengono quei soggetti anche privati che
esercitano servizi essenziali in connessione con le seguenti attività:
- Attività strumentali
all'esercizio di funzioni essenziali dello Stato
- Attività necessarie per
l'esercizio e il godimento dei diritti fondamentali
- Attività necessarie per la
continuità degli approvvigionamenti e l'efficienza delle infrastrutture e
della logistica
- Attività di ricerca e attività
relative alle realtà produttive nel campo dell'alta tecnologia e in ogni altro
settore; ove presentano rilievo economico e sociale, anche ai fini della
garanzia dell'autonomia strategica nazionale, della competitività e dello
sviluppo del sistema economico nazionale.
La norma individua le amministrazioni che dovranno in concreto predisporre una lista dei soggetti appartenenti alle macro-categorie sopra elencate che ricadono nel perimetro. Ciascuna amministrazione competente in relazione ai rispettivi settori di attività dovrà valutare attraverso un'analisi dei rischi gli effetti dell'interruzione della funzione o servizio essenziale in caso di incidente ICT e di minaccia per la disponibilità, l'integrità e la riservatezza delle informazioni con particolare riguardo all'estensione territoriale, al numero e alla tipologia di utenti potenzialmente interessati, ai livelli di servizio garantiti, alle possibili ricadute economiche, individuando quei casi in cui il rischio per la sicurezza nazionale è ritenuto massimo e le possibilità di mitigazione minime.
I soggetti inclusi nell'elenco riceveranno comunicazione dal DIS
(Dipartimento per le informazioni sulla sicurezza) di essere stati inclusi nel
perimetro e conseguentemente dovranno predisporre ed aggiornare con cadenza
almeno annuale un elenco dei loro beni ICT ovvero reti, sistemi informativi e
servizi informatici, descrizione della loro architettura e componentistica ed a
trasmettere tali elenchi attraverso apposita piattaforma digitale costituita
presso il DIS alla struttura della Presidenza del Consiglio dei ministri per l'innovazione
tecnologica e al Ministero dello sviluppo economico.
Aggiornamento del 22/10/2020: è stato finalmente pubblicato in Gazzetta Ufficiale il Decreto del Presidente del Consiglio dei Ministri (DPCM) di attuazione del Perimetro di Sicurezza Nazionale Cibernetica
Commenti
Posta un commento