Perimetro di sicurezza cibernetica

 

Articolo a cura di Roberto Camilli, Partner - Law e Gabriele Ferrante, Manager - Law

 

Il terzo dei quattro decreti attuativi del decreto-legge 21 settembre 2019 n. 105 (“Perimetro di Sicurezza Cibernetica” o “Legge Perimetro”) è stato pubblicato in Gazzetta Ufficiale in data 19 agosto 2021.

Si tratta del Decreto del Presidente del Consiglio dei ministri del 15 giugno 2021 o “DPCM3^”​[1] che, assieme al DPR 5 febbraio 2021, n. 54 (ovvero il regolamento recante attuazione dell’articolo 1, comma 6, della Legge Perimetro o più brevemente, “Regolamento” o “DPR”), individua le modalità e le procedure relative al funzionamento del Centro di Valutazione e Certificazione Nazionale (CVCN).

In particolare, il DPR individua:

• procedure, modalità e termini da seguire ai fini delle valutazioni da parte del CVCN in ordine all’acquisizione in fornitura, da parte dei soggetti inclusi perimetro (soggetti che forniscono servizi essenziali per lo Stato, individuati ai sensi del DPCM 131/2020 o DPCM1), di beni, sistemi e servizi ICT rientranti nelle categorie individuate secondo criteri stabiliti all’art. 13, comma 1 dello stesso DPR. Si tratta di beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici di cui all’art. 1, comma 2, lett. b) della legge Perimetro.

I soggetti inclusi nel perimetro sono tenuti a dare comunicazione al CVCN dell’intenzione di avviare le procedure di procurement in relazione ai suddetti beni, sistemi e servizi ICT.

• procedure, modalità e termini con cui le Autorità competenti effettuano attività di verifica e ispezione ai fini dell’accertamento del rispetto degli obblighi stabiliti nella legge Perimetro e nei decreti attuativi.

Il DPR prevedeva inoltre l’emanazione di un successivo DPCM che, seguendo i criteri direttivi di cui all’art. 13 del DPR stesso, individuasse in dettaglio le categorie di beni, sistemi e servizi ICT in relazione ai quali i soggetti inclusi nel perimetro saranno tenuti ad effettuare la comunicazione al CVCN.

 

Il nuovo DPCM3:

Il nuovo DPCM3, attuativo sia dell’art. 1, comma 6, lett. a) che del sopracitato art. 13, comma 1 del DPR, individua le categorie di beni, sistemi e servizi ICT attenendosi ai criteri tecnici stabiliti dal medesimo DPR, prevedendo che tali categorie siano aggiornate mediante successivi DPCM con cadenza almeno annuale.

In particolare, il DPCM 3 individua (sulla base dei criteri tecnici di cui all’art. 13, comma 1, del Regolamento) quattro categorie di beni, sistemi e servizi ICT oggetto di valutazione da parte del CVCN, ovvero:

1. Componenti hardware e software che svolgono funzionalità e servizi di rete di telecomunicazione (accesso, trasporto, commutazione) tra cui componenti quali Router, Switch, Repeater, Bilanciatori di carico, Traffic shaper, Proxy, Ponte radio, Access Network per reti radiomobili (2G, 3G, 4G, 5G), Gateway Wifi, Network Function Virtualizatio (NFV): Switch, vRouter, Application Function (5G), Optical transmission board, Multiservice Provisioning Platform (MSPP), Automotive ECU switch (Ethernet, CAN, LIN), e dispositivi IoT Edge Gateway.
    
2. Componenti hardware e software che svolgono funzionalità per la sicurezza di reti di telecomunicazione e dei dati da esse trattati, ossia Firewall, Security Gateway, Hardware Security Module (HSM), Intrusion Detection System (IDS), Intrusion Prevention System (IPS), Network Function Virtualization (NFV): Authentication Server Function (5G) e Whitelisting dei processi, Virtual Private Network (VPN), Trusted Platform Module.
    
3. Componenti hardware e software per acquisizione dati, monitoraggio, supervisione controllo, attuazione e automazione di reti di telecomunicazione e sistemi industriali e infrastrutturali, ossia Sistemi SCADA (Supervisory Control And Data Acquisition), Manufacturing Execution Systems (MES), Software Defined Network (SDN) Controller, Sistemi Artificial Intelligence (AI) e Machine Learning (ML) per gestione reti/sistemi, 5G Mobile Edge Computing (MEC), NFV (Network Slice Selection Function (5G), Application Function (5G), Policy Control Function (5G), Unified Data Management (5G), Session Management Function (5G)), Management and Orchestration (MANO), IoT orchestrator.
    
4. Applicativi software per l’implementazione di meccanismi di sicurezza, ossia Applicazioni informatiche per la sicurezza (Public Key Infrastructure (PKI), Single Sign-On (SSO), Controllo Accessi), Moduli software che implementano Web Service mediante API, per protocolli di comunicazione.

Appare chiaro come il DPCM3, come anche il DPR 54/2021, pur rivolgendosi all’acquisto dei prodotti e servizi da parte dei soggetti ricompresi nel Perimetro, in realtà risulta fondamentale anche per tutti i produttori e fornitori di beni, sistemi e servizi ICT, i quali vedranno i propri prodotti e servizi oggetto della valutazione del neonato CVCN.

È però anche vero che l’obbligo di comunicazione al CVCN decorrerà soltanto dal “trentesimo giorno successivo alla pubblicazione in Gazzetta Ufficiale di un ulteriore decreto del Presidente del Consiglio dei ministri che, sentita l’Agenzia per la cybersicurezza nazionale, attesterà l’operatività del CVCN e comunque dal 30 giugno 2022”, secondo quanto stabilito dall’art. 16, comma 9, del decreto-legge 14 giugno 2021, n. 82, che ha così modificato le previsioni in materia di CVCN contenute nella legge Perimetro.

Conseguentemente, per l’operatività del CVCN si dovrà attendere l’emanazione di un ulteriore decreto attuativo o, in caso di mancata emanazione, il termine ultimo fissato al 30 giugno 2022.

 

Questo articolo è redatto a scopo informativo e non rappresenta un parere legale esaustivo in materia di cybersecurity. Per ulteriori informazioni e approfondimenti in materia contattare Roberto Camilli

Iscriviti per ricevere le ultime notizie e approfondimenti BDO