Il dl sulla sicurezza cibernetica è Legge dello Stato. Ieri la maggioranza ha approvato il decreto del governo giallo-rosso, le opposizioni si sono astenute.
La legge, scrive il Sole 24Ore, prevede di creare un “perimetro” nazionale dove entro quattro mesi si faranno rientrare le amministrazioni pubbliche, gli enti e gli operatori nazionali – pubblici e privati – obbligati a tutelarsi contro le minacce informatiche. Sono enti e amministrazioni pubbliche e private che svolgono una funzione essenziale per lo Stato o un servizio essenziale per le attività civili, sociali ed economiche nazionali. Nel “perimetro” ci saranno infrastrutture strategiche. Ose (operatori di servizi essenziali) e anche gli Fsd (fornitori di servizi digitali). Non tutti subito, sarebbe impossibile. La previsione è di cominciare con circa un centinaio di soggetti, i più a rischio. La partenza, lo dice testualmente la legge, sarà infatti graduale.
Saranno obbligatorie le segnalazioni di attacco informatico: andranno fatte al Csirt (computer security incident response team), un organismo di nuova costituzione presso il Dis (Dipartimento informazioni e sicurezza).
Il Dis sarà quindi la regia della sicurezza nazionale nella nuova dimensione di confronto internazionale, il cyber world. Alla base dell’accelerazione in Italia vi è la direttiva europea Nis (network and information security) che stabilisce i requisiti minimi per la sicurezza informatica per gli operatori di servizi essenziali e servizi digitali – sono stati conteggiati più di 460 Ose. Ora si è in attesa di altro dpcm per definire le caratteristiche di questi beni per poter passare i test del Cvcn, il centro di valutazione e certificazione nazionale presso il Mise (ministero dello sviluppo).
Il problema saranno i costi delle piccole e medie imprese per potersi adeguare alle esigenze informatiche di questa nuovo scudo contro le minacce cyber. Allo studio ci potrebbero essere delle agevolazioni fiscali per poter adeguare immediatamente le architetture informatiche delle aziende italiane considerate a rischio per la sicurezza nazionale.
Sempre Il Sole 24Ore precisa che ci saranno sanzioni severe, da uno a tre anni di carcere, per chi falsifica oppure omette le comunicazioni sugli elenchi delle reti, servizi informatici e informativi. Per gli illeciti amministrativi si parte da un minimo di 200mila euro fino a un massimo di 1.800.000 euro. La maggior parte delle norme attende dunque decreti attuativi ma entra subito in vigore la facoltà del presidente del Consiglio di disattivare apparecchi o prodotti in caso di attacchi con rischio grave e imminente per la sicurezza nazionale. Partono nell’immediato anche le disposizioni per estendere le norme sul “perimetro” alle imprese nel settore del 5G.