Perimetro di sicurezza nazionale cibernetica: approvato il decreto attuativo dal Consiglio dei Ministri
Nuovo passo avanti verso il completamento del Perimetro di sicurezza nazionale cibernetica per mettere in sicurezza le infrastrutture nazionali per la telecomunicazione in vista della realizzazione della rete 5G. Il Consiglio dei Ministri del 29 gennaio 2020 ha infatti approvato il decreto attuativo che rende operativo il Centro di valutazione e certificazione nazionale (Cvcn) e gli altri centri di valutazione (Cv) dei procedimenti di verifica e valutazione dei beni, sistemi e servizi di Information and Communication Technologies (Ict) che i soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica intendono acquisire, nel caso in cui da questi ultimi dipenda la fornitura di servizi essenziali ovvero l’esercizio di una funzione essenziale dello Stato.
Il Centro di valutazione e certificazione nazionale è nato con l’obiettivo di mitigare il rischio cyber attraverso la certificazione e la valutazione di prodotti e servizi Ict impiegati da realtà nazionali strategiche nell’ambito delle proprie reti e sistemi informativi, il cui malfunzionamento, interruzione, anche parziali, o utilizzo improprio possano arrecare danno alla sicurezza nazionale.
In particolare, in caso di particolare complessità il Centro di valutazione e certificazione nazionale, che è anche coinvolto nel vaglio delle forniture di tecnologie 5G extra-Ue rientranti nella disciplina Golden Power, può effettuare verifiche preliminari e imporre condizioni e test di hardware e software per la valutazione degli elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano.
Tra le misure del regolamento del Perimetro di sicurezza nazionale cibernetica è previsto che in caso di gravi incidenti informatici i soggetti individuati dal perimetro non avranno più di un’ora per la notifica al Computer security incident response team o Csirt del Dipartimento informazioni per la sicurezza (o Dis), mentre in casi di minore gravità la notifica dovrà essere inviata anche entro sei ore di tempo. Una volta avvenuto e registrato l’eventuale attacco informatico, l’ente dovrà quindi avviare i piani di ripristino e comunicare quanto avvenuto in una relazione tecnica per il Dis. Per approfondimenti vedere l’articolo “Perimetro di sicurezza nazionale cibernetica: dalla forma alla sostanza” dell’11 gennaio 2021.