Bozza Schema Dl sicurezza cybernetica 5G del 18 e del 19 Settembre 2019

SCHEMA DI DECRETO LEGGE RECANTE DISPOSIZIONI URGENTI IN MATERIA DI PERIMETRO DI SICUREZZA NAZIONALE CIBERNETICA.

Aggiornato al 19 settembre 2019.

Il presente provvedimento reca, in 6 articoli, disposizioni in materia di perimetro di sicurezza nazionale cibernetica.

L’articolo 1 prevede l’istituzione del perimetro di sicurezza nazionale cibernetica allo scopo di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato.

Si provvede, pertanto, entro quattro mesi dalla data di entrata in vigore della legge di conversione del presente decreto, all’individuazione delle amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi.

Di conseguenza, tali soggetti predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica.

Inoltre, nel termine di dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, sono definite le procedure secondo cui i soggetti individuati, notificano gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) italiano, che inoltra tali notifiche al Dipartimento delle informazioni per la sicurezza anche per le attività demandate al Nucleo per la sicurezza cibernetica.

Al fine di garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici, il Ministero dello sviluppo economico e la Presidenza del Consiglio dei ministri, d'intesa con il Ministero della difesa, il Ministero dell'interno, il Ministero dell'economia e delle finanze e il Dipartimento delle informazioni per la sicurezza, stabiliscono – secondo gli ambiti di competenza delineati dal presente decreto – specifiche misure relative alle politiche di sicurezza, alla struttura organizzativa e alla gestione del rischio; alla mitigazione e gestione degli incidenti e alla loro prevenzione, anche attraverso la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza; alla protezione fisica e logica e dei dati; all'integrità delle reti e dei sistemi informativi; alla gestione operativa, ivi compresa la continuità del servizio; al monitoraggio, test e controllo; alla formazione e consapevolezza; all'affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale.

Si prevede, inoltre, l’emanazione di un regolamento – entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto – che disciplini le procedure, le modalità e i termini con cui i soggetti che intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici, diversi da quelli necessari per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati, ne danno comunicazione al Centro di valutazione e certificazione nazionale (CVCN).

I soggetti fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici, assicurano al CVCN e al Centro di valutazione operante presso il Ministero della difesa, la propria collaborazione per l'effettuazione di test software e hardware, sostenendone gli oneri.

Il CVCN assume diversi compiti nell'ambito dell'approvvigionamento di prodotti, processi, servizi ICT e associate infrastrutture destinati alle reti, ai sistemi informativi e per l'espletamento dei servizi informatici. In particolare, contribuisce all'elaborazione delle misure di sicurezza, elabora e adotta schemi di certificazione cibernetica, laddove, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica.

I soggetti di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e quelli di cui all'articolo 16-ter, comma 2, del codice delle comunicazioni elettroniche di cui al decreto legislativo 1° agosto 2003, n. 259, inclusi nel perimetro di sicurezza nazionale cibernetica, sono tenuti ad osservare le misure di sicurezza previste, rispettivamente, dai predetti decreti legislativi e ad assolvere l'obbligo di notifica di cui al comma 3, lettera a), che costituisce anche adempimento, rispettivamente, dell'obbligo di notifica di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e dell'analogo obbligo previsto ai sensi dell'articolo 16-ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, e delle correlate disposizioni attuative.

Il comma 9 dell’articolo 1 disciplina - salvo che il fatto costituisca reato - diverse sanzioni in caso, tra gli altri, di mancato adempimento degli obblighi di predisposizione e di aggiornamento dell'elenco delle reti, dei sistemi informativi e dei servizi informatici (da euro 200.000 a euro 1.200.000); mancato adempimento dell'obbligo di notifica nei termini prescritti (da euro 250.000 a euro 1.500.000); inosservanza delle misure di sicurezza (da euro 250.000 a euro 1.500.000); mancata comunicazione di cui al comma 6, lettera a), nei termini prescritti (da euro 300.000 a euro 1.800.000).

Al comma 10 è previsto che, in caso di inottemperanza alle condizioni o in assenza dell'esito favorevole dei test, il contratto non produce ovvero cessa di produrre effetti. Inoltre, l'esecuzione effettuata in violazione di quanto previsto al primo periodo comporta, oltre alla sanzione di cui al comma 9, lettera e), la sanzione amministrativa accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo negli enti e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione.

Si prevede la reclusione da uno a cinque anni, e all'ente privato la sanzione pecuniaria fino a quattrocento quote, nel caso in cui qualcuno fornisca informazioni, dati o elementi di fatto non rispondenti al vero allo scopo di ostacolare o condizionare l'espletamento dei procedimenti o delle attività ispettive e di vigilanza previste dal comma 6, lettera c).

Infine, per la realizzazione, l'allestimento e il funzionamento del CVCN di cui al comma 6 è autorizzata la spesa di euro 3.200.000 per l'anno 2019 e di euro 2.850.000 per ciascuno degli anni dal 2020 al 2023 e di euro 750.000 annui a decorrere dall'anno 2024.

L’articolo 2 del decreto in esame contiene disposizioni sul personale per le esigenze di funzionamento del CVCN e della Presidenza del Consiglio dei ministri.

In particolare, il Ministero dello sviluppo economico è autorizzato ad assumere a tempo indeterminato un contingente massimo di cinquantasette unità, nel limite di spesa annua di euro 1.002.000 per l'anno 2019 ed euro 3.005.000 annui a decorrere dall'anno 2020.

La Presidenza del Consiglio dei ministri è autorizzata, invece – per lo svolgimento delle funzioni in materia di digitalizzazione – ad assumere con contratti di lavoro a tempo indeterminato un contingente massimo di dieci unità di personale non dirigenziale, da inquadrare nella Categoria funzionale A, parametro retributivo F I, nel limite di spesa di euro 692.972 annui a decorrere dall’anno 2020.

Il reclutamento di tale personale avverrà con uno o più concorsi pubblici da espletare anche in deroga all'articolo 4, commi 3-quinquies e 3-sexies, del decreto-legge 31 agosto 2013, n. 101, convertito, con modificazioni, dalla legge 30 ottobre 2013, n. 125, e all'articolo 35, comma 5, del decreto legislativo 30 marzo 2001, n. I 65.

L’articolo 3 ha ad oggetto disposizioni in materia di reti di telecomunicazione elettronica a banda larga con tecnologia 5G.

Più in dettaglio, si prevede che dalla data di entrata in vigore del regolamento previsto dall'articolo 1, comma 6, i poteri speciali di cui all'articolo I -bis del decreto-legge 15 marzo 20 I 2, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono esercitati in base ad una preliminare valutazione, da parte dei centri di valutazione di cui all'articolo 1, comma 6, lettera a), degli elementi indicanti la presenza di fattori di vulnerabilità, capaci di compromettere l'integrità e la sicurezza delle reti e dei dati.

Inoltre, entro sessanta giorni dalla data di entrata in vigore del suddetto regolamento, le condizioni e le prescrizioni relative ai beni e servizi acquistati con contratti già autorizzati con decreti del Presidente del Consiglio dei ministri in data anteriore alla data di entrata in vigore del medesimo regolamento, qualora attinenti alle reti, ai sistemi informativi e ai servizi informatici inseriti negli elenchi di cui all'articolo 1, comma 2, lettera b), possono essere modificate o integrate, con la procedura di cui al comma 2, con misure aggiuntive necessarie al fine di assicurare livelli di sicurezza equivalenti a quelli previsti dal presente decreto, anche prescrivendo, ove necessario, la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza.

L’articolo 4 dispone, invece, in materia di infrastrutture e tecnologie critiche, apportando modifiche all'articolo 2, comma 1-ter, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, richiamando le attività di rilevanza strategica di cui all'articolo 4, paragrafo 1, del regolamento (UE) n. 2019/452 del Parlamento europeo e del Consiglio, del 19 marzo 2019

L’articolo 5 ha ad oggetto le Determinazioni del Presidente del Consiglio dei ministri in caso di crisi di natura cibernetica. Difatti, in presenza di un rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e servizi di cui all'articolo I , comma 2, lettera b), il Presidente del Consiglio dei ministri, può comunque disporre, ove indispensabile e per il tempo strettamente necessario alla eliminazione dello specifico fattore di rischio o alla sua mitigazione, la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l'espletamento dei servizi interessati.

L’articolo 6, infine, è dedicato alla copertura finanziaria degli oneri di cui agli articoli 1, comma 19, e 2, commi 1 e 3, per complessivi euro 4.436.000 per l'anno 2019, euro 6.555.000 per ciascuno degli anni dal 2020 al 2023, ed euro 4.455.000 annui a decorrere dall'anno 2024.

A cura del Dott. Rocco Orefice


 

 

SCHEMA DI DECRETO LEGGE RECANTE DISPOSIZIONI URGENTI IN MATERIA DI PERIMETRO DI SICUREZZA NAZIONALE CIBERNETICA. (Bozza del 18 Settembre 2019)

Il presente provvedimento reca, in 6 articoli, disposizioni in materia di perimetro di sicurezza nazionale cibernetica.

L’articolo 1 prevede l’istituzione del perimetro di sicurezza nazionale cibernetica allo scopo di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato.

Si provvede, pertanto, entro quattro mesi dalla data di entrata in vigore della legge di conversione del presente decreto, all’individuazione delle amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi.

Di conseguenza, tali soggetti predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica.

Inoltre, nel termine di dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, sono definite le procedure secondo cui i soggetti individuati, notificano gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) italiano, che inoltra tali notifiche al Dipartimento delle informazioni per la sicurezza anche per le attività demandate al Nucleo per la sicurezza cibernetica.

Al fine di garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici, il Ministero dello sviluppo economico e la Presidenza del Consiglio dei ministri, d'intesa con il Ministero della difesa, il Ministero dell'interno, il Ministero dell'economia e delle finanze e il Dipartimento delle informazioni per la sicurezza, stabiliscono – secondo gli ambiti di competenza delineati dal presente decreto – specifiche misure relative alle politiche di sicurezza, alla struttura organizzativa e alla gestione del rischio; alla mitigazione e gestione degli incidenti e alla loro prevenzione, anche attraverso la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza; alla protezione fisica e logica e dei dati; all'integrità delle reti e dei sistemi informativi; alla gestione operativa, ivi compresa la continuità del servizio; al monitoraggio, test e controllo; alla formazione e consapevolezza; all'affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale.

Si prevede, inoltre, l’emanazione di un regolamento – entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto – che disciplini le procedure, le modalità e i termini con cui i soggetti che intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici, diversi da quelli necessari per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati, ne danno comunicazione al Centro di valutazione e certificazione nazionale (CVCN).

I soggetti fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici, assicurano al CVCN e al Centro di valutazione operante presso il Ministero della difesa, la propria collaborazione per l'effettuazione di test software e hardware, sostenendone gli oneri.

Il CVCN assume diversi compiti nell'ambito dell'approvvigionamento di prodotti, processi, servizi ICT e associate infrastrutture destinati alle reti, ai sistemi informativi e per l'espletamento dei servizi informatici. In particolare, contribuisce all'elaborazione delle misure di sicurezza, elabora e adotta schemi di certificazione cibernetica, laddove, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica.

I soggetti di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e quelli di cui all'articolo 16-ter, comma 2, del codice delle comunicazioni elettroniche di cui al decreto legislativo 1° agosto 2003, n. 259, inclusi nel perimetro di sicurezza nazionale cibernetica, sono tenuti ad osservare le misure di sicurezza previste, rispettivamente, dai predetti decreti legislativi e ad assolvere l'obbligo di notifica di cui al comma 3, lettera a), che costituisce anche adempimento, rispettivamente, dell'obbligo di notifica di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e dell'analogo obbligo previsto ai sensi dell'articolo 16-ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, e delle correlate disposizioni attuative.

Il comma 9 dell’articolo 1 disciplina - salvo che il fatto costituisca reato - diverse sanzioni in caso, tra gli altri, di mancato adempimento degli obblighi di predisposizione e di aggiornamento dell'elenco delle reti, dei sistemi informativi e dei servizi informatici (da euro 200.000 a euro 1.200.000); mancato adempimento dell'obbligo di notifica nei termini prescritti (da euro 250.000 a euro 1.500.000); inosservanza delle misure di sicurezza (da euro 250.000 a euro 1.500.000); mancata comunicazione di cui al comma 6, lettera a), nei termini prescritti (da euro 300.000 a euro 1.800.000).

Al comma 10 è previsto che, in caso di inottemperanza alle condizioni o in assenza dell'esito favorevole dei test, il contratto non produce ovvero cessa di produrre effetti. Inoltre, l'esecuzione effettuata in violazione di quanto previsto al primo periodo comporta, oltre alla sanzione di cui al comma 9, lettera e), la sanzione amministrativa accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo negli enti e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione.

Si prevede la reclusione da uno a cinque anni, e all'ente privato la sanzione pecuniaria fino a quattrocento quote, nel caso in cui qualcuno fornisca informazioni, dati o elementi di fatto non rispondenti al vero allo scopo di ostacolare o condizionare l'espletamento dei procedimenti o delle attività ispettive e di vigilanza previste dal comma 6, lettera c).

Infine, per la realizzazione, l'allestimento e il funzionamento del CVCN di cui al comma 6 è autorizzata la spesa di euro 3.200.000 per l'anno 2019 e di euro 2.850.000 per ciascuno degli anni dal 2020 al 2023 e di euro 750.000 annui a decorrere dall'anno 2024.

L’articolo 2 del decreto in esame contiene disposizioni sul personale per le esigenze di funzionamento del CVCN e della Presidenza del Consiglio dei ministri.

In particolare, il Ministero dello sviluppo economico è autorizzato ad assumere a tempo indeterminato un contingente massimo di cinquantasette unità, nel limite di spesa annua di euro 1.002.000 per l'anno 2019 ed euro 3.005.000 annui a decorrere dall'anno 2020.

La Presidenza del Consiglio dei ministri è autorizzata, invece – per lo svolgimento delle funzioni in materia di digitalizzazione – ad assumere con contratti di lavoro a tempo indeterminato un contingente massimo di dieci unità di personale non dirigenziale, da inquadrare nella categoria funzionale A, parametro retributivo F I, nel limite di spesa di euro 234.000 per l'anno 2019 ed euro 700.000 annui a decorrere dall'anno 2020.

Il reclutamento di tale personale avverrà con uno o più concorsi pubblici da espletare anche in deroga all'articolo 4, commi 3-quinquies e 3-sexies, del decreto-legge 31 agosto 2013, n. 101, convertito, con modificazioni, dalla legge 30 ottobre 2013, n. 125, e all'articolo 35, comma 5, del decreto legislativo 30 marzo 2001, n. I 65.

L’articolo 3 ha ad oggetto disposizioni in materia di reti di telecomunicazione elettronica a banda larga con tecnologia 5G.

Più in dettaglio, si prevede che dalla data di entrata in vigore del regolamento previsto dall'articolo 1, comma 6, i poteri speciali di cui all'articolo I -bis del decreto-legge 15 marzo 20 I 2, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono esercitati in base ad una preliminare valutazione, da parte dei centri di valutazione di cui all'articolo 1, comma 6, lettera a), degli elementi indicanti la presenza di fattori di vulnerabilità, capaci di compromettere l'integrità e la sicurezza delle reti e dei dati.

Inoltre, entro sessanta giorni dalla data di entrata in vigore del suddetto regolamento, le condizioni e le prescrizioni relative ai beni e servizi acquistati con contratti già autorizzati con decreti del Presidente del Consiglio dei ministri in data anteriore alla data di entrata in vigore del medesimo regolamento, qualora attinenti alle reti, ai sistemi informativi e ai servizi informatici inseriti negli elenchi di cui all'articolo 1, comma 2, lettera b), possono essere modificate o integrate, con la procedura di cui al comma 2, con misure aggiuntive necessarie al fine di assicurare livelli di sicurezza equivalenti a quelli previsti dal presente decreto, anche prescrivendo, ove necessario, la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza.

L’articolo 4 dispone, invece, in materia di infrastrutture e tecnologie critiche, apportando modifiche all'articolo 2, comma 1-ter, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, richiamando le attività di rilevanza strategica di cui all'articolo 4, paragrafo 1, del regolamento (UE) n. 2019/452 del Parlamento europeo e del Consiglio, del 19 marzo 2019.

L’articolo 5 ha ad oggetto le Determinazioni del Presidente del Consiglio dei ministri in caso di crisi di natura cibernetica. Difatti, in presenza di un rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e servizi di cui all'articolo I , comma 2, lettera b), il Presidente del Consiglio dei ministri, può comunque disporre, ove indispensabile e per il tempo strettamente necessario alla eliminazione dello specifico fattore di rischio o alla sua mitigazione, la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l'espletamento dei servizi interessati.

L’articolo 6, infine, è dedicato alla copertura finanziaria degli oneri di cui agli articoli 1, comma 19, e 2, commi 1 e 3, per complessivi euro 4.436.000 per l'anno 2019, euro 6.555.000 per ciascuno degli anni dal 2020 al 2023, ed euro 4.455.000 annui a decorrere dall'anno 2024.

 

A cura del Dott. Rocco Orefice


 

 


Allegati