Logos Audit srl

Il perimetro cyber di sicurezza nazionale e suo impatto con il decreto legislativo 231 del 2001

di Flavio Corsinovi.    

Il periodo di crisi sanitaria legata alla diffusione del Covid -19 ha accresciuto l’interesse del governo italiano per la sicurezza informatica e ha favorito una maggiore consapevolezza dei rischi, dall’interruzione della supply chain (da qui la necessità di proteggere le infrastrutture) alla fuga di dati, incrementati proprio a causa della pandemia.

Il 30 luglio 2020 è stato emanato infatti un DPCM, pubblicato in Gazzetta il 21 ottobre 2020, che rappresenta sicuramente primo passo verso la realizzazione del perimetro di sicurezza nazionale cibernetica e, quindi, un grande passo in avanti per la “messa in sicurezza” dell’infrastruttura ICT.

Quale è la legislazione in materia di perimetro cyber?

Il DPCM del 30 luglio 2020, n. 131 definisce le regole del Perimetro nazionale di sicurezza cibernetica e stabilisce i parametri con cui sono individuati i soggetti che si occupano di funzioni vitali per l’Italia. Il DCPM costituisce l’attuazione di quanto disposto col decreto-legge n. 105 del 2019 convertito, con modificazioni, dalla  legge  18  novembre  2019,  n.  133, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica

Cosa è il perimetro nazionale di sicurezza informatica?

Il perimetro di sicurezza nazionale cibernetica intende assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

Cosa definisce il Decreto- legge?

Il Decreto n.131 definisce i criteri di individuazione dei soggetti inclusi nel perimetro e gli obblighi imposti agli stessi per salvaguardare la sicurezza nazionale.

il nuovo DPCM impone ai soggetti rientranti nel perimetro di sicurezza nazionale cibernetica una serie di obblighi per garantire un elevato livello di sicurezza.

In primis, i soggetti devono predisporre e aggiornare annualmente la lista dei beni ICT di rispettiva pertinenza.

I soggetti inclusi nel perimetro devono, poi, individuare i beni ICT necessari a svolgere la funzione o il servizio essenziale, al fine di:

Infine, i soggetti devono individuare i beni ICT che, in caso di incidente, causerebbero l’interruzione totale dello svolgimento della funzione essenziale o del servizio essenziale.

L’art.9 sancisce che gli elenchi redatti vengano trasmessi alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione e al Ministero dello sviluppo economico, i quali li inoltrano al Dipartimento delle informazioni per la sicurezza (DIS), al fine di permettere le attività di prevenzione, preparazione e gestione delle crisi cibernetiche affidate al Nucleo per la sicurezza cibernetica (NSC), dipendente dal DIS.

La trasmissione degli elenchi di beni ICT avviene per il tramite di una piattaforma digitale costituita proprio presso il DIS.

Quali sono i soggetti inclusi nel perimetro cyber?

Il Perimetro di sicurezza nazionale cibernetica risulta composto da attori privati e pubblici che esercitano funzioni essenziali dello stato o assicurano un servizio essenziale alle attività fondamentali per l’interesse dello Stato operanti nei seguenti settori  di  attività: a) interno; b) difesa; c) spazio e aerospazio; d) energia; e) telecomunicazioni; f) economia e finanza; g) trasporti; h) servizi digitali;  i) tecnologie critiche e  l) enti previdenziali/lavoro.

Perimetro di sicurezza nazionale cibernetica e d.lgs 231/2001

L’importanza della tutela del presidio del perimetro di sicurezza nazionale cibernetica rileva anche sotto il punto di vista del d.lgs. 231/2001. Lo stesso D.L. 21 settembre 2019, n. 105, convertito, con modificazioni, dalla L. 18 novembre 2019, n. 13 ha esteso l’applicabilità dell’art. Art. 24-bis.  Delitti informatici e trattamento illecito di dati del d.lgs. 231 proprio ai soggetti rientranti nel perimetro prevedendo l’applicazione all’ente della sanzione pecuniaria sino a quattrocento quote.

Cosa possiamo fare per voi

Grazie alla nostra esperienza e alla nostra professionalità, possiamo fornirvi supporto e assistenza per le vostre decisioni. Il nostro studio Logos Audit vanta una pluriennale e riconosciuta esperienza nella consulenza in materia di attuazione del Modelli 231.

 

Link al DCPM: Gazzetta Ufficiale n.261 21 ottobre 2020