Regent
Sicurezza
 

18/07/2013

Share    

Maggiore cooperazione auspicio di una protezione migliore

La sicurezza informatica nazionale alla luce degli ultimi interventi normativi

Con il Decreto del Presidente del Consiglio dei Ministri del 24 gennaio 2013 n. 67251 - in tema di “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale” - il legislatore ha avvertito la necessità di definire un piano strategico nazionale in ragione del rischio causato dalla minaccia cibernetica che rappresenta, sempre di più, un pericolo per la sicurezza informatica nazionale. Attualmente, il sistema di informazione per la sicurezza nazionale è regolato dalla L. 124/2007 recante disposizioni specifiche per le attività di informazioni per la sicurezza della Repubblica e la nuova disciplina sul segreto di Stato, che sono state in parte assorbite e in parte rese funzionali all’emanazione del decreto in esame. Tale normativa infatti dispone che il Presidente del Consiglio dei Ministri provveda all’adozione di apposite direttive per rafforzare le attività di informazione per la protezione delle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionale.

 

 

I tre indirizzi di intervento
 

Ravvisata tale esigenza il Presidente ha emanato il D.P.C.M. n. 67251/2013 che rappresenta uno strumento organizzativo volto a delineare un’architettura istituzionale basata sulla chiara individuazione dei soggetti chiamati ad intervenire a tutela della protezione cibernetica per la sicurezza informatica nazionale.
Con il presente decreto si definisce, in un contesto unitario e integrato, l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionale.
L’architettura istituzionale della sicurezza informatica è sviluppata su tre distinti livelli/indirizzi di intervento, ciascuno dei quali presieduto da organismi deputati all’esercizio di particolari funzioni, quali:
1. di indirizzo politico e coordinamento strategico. In tal caso sarà necessario affidare ad organi istituzionali l’individuazione degli obiettivi funzionali per garantire la protezione cibernetica e la sicurezza informatica nazionale, anche attraverso l’elaborazione di un “Piano nazionale per la sicurezza dello spazio cibernetico”. Tale livello/indirizzo fa capo a: il Presidente del Consiglio dei Ministri (art. 3); e il Comitato interministeriale per la sicurezza della Repubblica (art. 4);
2. di supporto, a carattere permanente, con funzioni di raccordo nei confronti di tutte le Amministrazioni ed enti competenti, ai fini dell’attuazione degli obiettivi e delle linee di azione indicate dalla pianificazione nazionale e che provveda, al contempo, a programmare l’attività operativa a livello interministeriale e ad attivare le procedure di allertamento in caso di crisi. Tale livello/indirizzo fa capo a: l’organismo collegiale di coordinamento (art. 5); il comitato scientifico (art. 6); il DIS (Dipartimento delle informazioni per la sicurezza) e le Agenzie per l’ informazioni e sicurezza interna ed esterna (art. 7);
3. di gestione delle crisi, con il compito di curare e coordinare le attività di risposta e di ripristino della funzionalità dei sistemi, avvalendosi di tutte le componenti interessate. Tale livello/indirizzo fa capo a: il Nucleo per la sicurezza cibernetica (art. 8); il Nisp, Nucleo interministeriale situazione e pianificazione (art. 10).

 

 

Il piano strategico
 

Le funzioni attribuite a tali organismi sono finalizzate alla determinazione di un piano strategico a tutela dei rischi connessi alla minaccia cibernetica, alla predisposizione di misure attuative, alla sorveglianza sulla corretta informazione della sicurezza nonché alla gestione dei rischi. Di contro, l’art. 11 del Dpcm, anche al fine di garantire che tali organismi possano assolvere tali compiti, indica gli obblighi di comunicazione posti in capo agli operatori privati ogniqualvolta sia ravvisato un rischio alla sicurezza e all’integrità dei sistemi informatici.
Pertanto gli operatori privati che forniscono reti pubbliche di comunicazione (l’art. 1, comma 1, lett. aa) d. lgs. 259/03 definisce le reti pubbliche di comunicazioni come: “Una rete di comunicazione elettronica utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di reti”) e forniscono servizi di comunicazione elettronica accessibili al pubblico (l’art. 1, comma 1, lett. gg) d. lgs. 259/03 definisce i servizi di comunicazione elettronica come “i servizi, forniti di norma a pagamento, consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazione elettronica, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, a esclusione dei servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti; sono inoltre esclusi i servizi della società dell’informazione di cui all’articolo 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70 non consistenti interamente o prevalentemente nella trasmissione di segnali su reti di comunicazione elettronica”), precisamente quelli che gestiscono infrastrutture critiche di rilievo nazionale ed europeo, il cui funzionamento è condizionato dall’operatività di sistemi informatici e telematici sono tenuti a comunicare al Nucleo per la sicurezza cibernetica ogni significativa violazione della sicurezza o dell’integrità dei propri sistemi informatici, utilizzando canali di trasmissione protetti.
Tra gli obblighi previsti rientra anche la necessità di adottare le best practice e le misure finalizzate all’obiettivo della sicurezza cibernetica, fornire le informazioni agli organismi di informazione per la sicurezza e consentire a essi l’accesso alle banche dati d’interesse ai fini della sicurezza cibernetica di rispettiva pertinenza e infine collaborare alla gestione delle crisi cibernetiche.
L’architettura istituzionale degli organismi predisposti e delle funzioni attribuite rappresentano senza dubbio un segnale di cooperazione alla salvaguardia dei sistemi informatici di rilevanza nazionale e di forte attenzione alla necessità di presidiare i rischi di violazioni, abusi o utilizzi illegittimi degli stessi.
 

 

TORNA INDIETRO >>