La ley de seguridad cibernética es la Ley del Estado. Ayer, la mayoría aprobó el decreto del gobierno amarillo-rojo, las oposiciones se abstuvieron.
La ley, escribe el único 24Ore, prevé la creación de un "perímetro" nacional donde en cuatro meses volverán las administraciones públicas, los organismos y los operadores nacionales, públicos y privados, obligados a protegerse de las ciberamenazas. Son entidades y administraciones públicas y privadas que cumplen una función esencial para el Estado o un servicio esencial para las actividades civiles, sociales y económicas nacionales. En el "perímetro" habrá infraestructuras estratégicas. Ose (operadores de servicios esenciales) y también los FSD (proveedores de servicios digitales). No de una vez, sería imposible. La previsión es comenzar con un centenar de sujetos, los de mayor riesgo. La salida, como dice literalmente la ley, será de hecho gradual.
Los informes de ciberataques serán obligatorios: se enviarán al Csirt (equipo de respuesta a incidentes de seguridad informática), un organismo de reciente creación en el Dis (Departamento de Información y Seguridad).
Dis será, por tanto, la dirección de la seguridad nacional en la nueva dimensión de la confrontación internacional, el mundo cibernético. En la base de la aceleración en Italia se encuentra la directiva europea NIS (seguridad de la red y la información) que establece los requisitos mínimos de seguridad informática para los operadores de servicios esenciales y servicios digitales: se han contabilizado más de 460 Ose. Ahora estamos a la espera de otra dpcm para definir las características de estos activos para pasar las pruebas del Cvcn, el centro nacional de evaluación y certificación del Mise (Ministerio de Fomento).
El problema serán los costes de las pequeñas y medianas empresas para poder adaptarse a las necesidades informáticas de este nuevo escudo frente a las ciberamenazas. Se podrían considerar concesiones fiscales para adaptar de inmediato las arquitecturas de TI de las empresas italianas consideradas en riesgo para la seguridad nacional.
Il Sole 24Ore también especifica que habrá penas severas, de uno a tres años de prisión, para quienes falsifiquen u omitan comunicaciones en las listas de redes, TI y servicios de información. Por infracciones administrativas, comienza desde un mínimo de 200 mil euros hasta un máximo de 1.800.000 euros. Por lo tanto, la mayoría de los reglamentos esperan decretos de implementación, pero el derecho del Primer Ministro a desactivar dispositivos o productos en caso de ataques con riesgo grave e inminente para la seguridad nacional entra en vigor de inmediato. Las disposiciones para extender las reglas sobre el "perímetro" a las empresas del sector 5G también están comenzando de inmediato.