Pubblicato in Gazzetta ufficiale il Decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131 recante il Regolamento in materia di Perimetro di sicurezza nazionale cibernetica. Il Regolamento getta le prime basi per la creazione del Perimetro di sicurezza nazionale cibernetica e definisce i criteri e le modalità per individuare i soggetti da includere nel perimetro di sicurezza nazionale cibernetica.

Di Maria Vittoria Aprigliano


Lo scorso 21 ottobre è stato pubblicato in Gazzetta ufficiale il Decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131 recante il Regolamento in materia di perimetro di sicurezza nazionale cibernetica.

Si tratta del primo di quattro DPCM attuativi del Perimetro di sicurezza nazionale cibernetica e rappresenta una integrazione del quadro normativo in materia di sicurezza, introdotto dal Decreto Legislativo n. 65 del 2018 (che recepisce la Direttiva NIS).

Che cos’è il Perimetro di sicurezza nazionale cibernetica?

Il Decreto-legge n. 105 del 2019, convertito con modificazioni dalla legge 18 novembre 2019, n. 133, ha istituito il Perimetro di sicurezza nazionale cibernetica. Obiettivo del Perimetro è quello di assicurare la sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale. In particolare, tali soggetti, esercitano le cosiddette funzioni o servizi essenziali dello Stato dal cui malfunzionamento, interruzione o dall’utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

Il contenuto del Regolamento.

Il Regolamento si occupa di:

  • definire le caratteristiche dei soggetti che svolgono una funzione essenziale per lo Stato;
  • individuare i settori di attività in cui operano i soggetti da inserire nel Perimetro di sicurezza cibernetica;
  • definire modalità e i criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati inclusi nel Perimetro nazionale di sicurezza cibernetica;
  • definire i criteri per la predisposizione e l’aggiornamento deli elenchi delle reti, dei sistemi informativi e dei servizi informatici.
I soggetti protetti dal Perimetro.

Il Regolamento indica le modalità e i criteri mediante i quali i Ministeri dovranno individuare, tra amministrazioni pubbliche, enti e operatori pubblici e privati, i soggetti che svolgono funzioni essenziali per lo Stato, e che, pertanto, saranno tenuti al rispetto delle misure e degli obblighi previsti dal richiamato Decreto-legge.

L’articolo 2 del Regolamento definisce le modalità ed i criteri volti all’individuazione dei soggetti inclusi nel Perimetro. In particolare:

  1. un soggetto esercita una funzione essenziale dello Stato laddove l’ordinamento gli attribuisca compiti rivolti ad assicurare:
  2. la continuità dell’azione di Governo e degli Organi costituzionali;
  3. la sicurezza interna ed esterna e la difesa dello Stato;
  4. le relazioni internazionali;
  5. la sicurezza e l’ordine pubblico;
  6. l’amministrazione della giustizia;
  7. la funzionalità dei sistemi economico e finanziario e dei trasporti.
  8. un soggetto, pubblico o privato, presta un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato laddove ponga in essere:
  9. attività strumentali all’esercizio di funzioni essenziali dello Stato;
  10. attività necessarie per l’esercizio e il godimento dei diritti fondamentali;
  11. attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica;
  12. attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.

I soggetti da includere nel Perimetro saranno circa 150 e verranno elencati in una lista che verrà completata nei prossimi giorni e, poi, trasmessa al CISR (Comitato interministeriale per la sicurezza della Repubblica). L’elenco dei soggetti inclusi nel Perimetro sarà contenuto in un atto amministrativo, adottato e periodicamente aggiornato dal Presidente del Consiglio dei ministri, su proposta del CISR.

Secondo il Regolamento, nel caso in cui uno di questi soggetti dovesse rimanere vittima di un attacco cyber, sarà obbligato ad informare, entro 6 ore al massimo (e non 24 come prevede invece la Direttiva NIS) il CSIRT (Computer Security Incident Response Team – Italia) e il gruppo di esperti istituito presso il DIS (Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei Ministri). Qualora la violazione dovesse essere particolarmente grave, verrà attivato l’NSC (Nucleo per la sicurezza cibernetica), che ha il compito di proporre al Presidente del Consiglio una possibile risposta all’attacco e coordinare il ripristino del servizio.

I beni ICT.

Entro sei mesi dalla comunicazione di inserimento nel Perimetro, i soggetti inclusi, dovranno predisporre due elenchi, previsti agli artt. 7 e 8 del regolamento, da inviare alla struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione, nel caso dei soggetti pubblici, o al Mise, nel caso dei privati.

All’articolo 7 del Regolamento sono disposti i criteri con i quali, i soggetti inclusi nel Perimetro, dovranno predisporre e aggiornare (con cadenza almeno annuale) l’elenco dei beni ICT di rispettiva pertinenza, con l’indicazione reti, dei sistemi informativi e dei servizi informatici che li compongono.

Allo stesso modo, ai sensi dell’articolo 8, dovrà essere predisposto un elenco con la descrizione dell’architettura e della componentistica tech.

Il Tavolo interministeriale per l’attuazione del Perimetro.

Il Regolamento istituisce, all’articolo 6, un tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica a supporto del CISR.

Il Tavolo sarà presieduto da un vice direttore generale del DIS e composto da due rappresentanti di ciascuna amministrazione CISR (e cioè la Presidenza del Consiglio dei ministri e i Ministeri di cui all’art. 5 della legge 3 agosto 2007, n. 1249), da un rappresentante dell’Agenzia informazioni e sicurezza esterna (AISE) e da uno dell’Agenzia informazioni e sicurezza interna (AISI), nonché da due rappresentanti degli altri Ministeri di volta in volta interessati.

Il Tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica si riunirà periodicamente, ogni sei mesi.

I prossimi sviluppi.

Originariamente, il completamento delle attività volte ad attivare per intero il Perimetro di sicurezza nazionale cibernetica era previsto per la primavera 2021. Oggi, a causa dei ritardi dovuti anche alla emergenza epidemiologica COVID-19, non è certo quando i lavori potranno dirsi terminati, né è possibile fare una prima valutazione circa le misure adottate. Ad ogni modo, la pubblicazione del Regolamento n. 131/2020 rappresenta un grande primo passo nell’attuazione del Perimetro.


Immagine di Philipp Katzenberger su Unsplash

Author Maria Vittoria Aprigliano

More posts by Maria Vittoria Aprigliano