la-cyber-sicurezza-diventa-legge

La cyber-sicurezza diventa legge

Il provvedimento, approvato in via definitiva alla Camera, istituisce il Perimetro della sicurezza cibernetica nazionale. Golden power anche sul 5G

Ok definitivo dell’Aula della Camera al decreto legge in materia di cybersicurezza. Il testo è stato approvato il 13 novembre con i voti della sola maggioranza e l’astensione delle opposizioni. Il provvedimento amplia i poteri speciali del Governo (la cosiddetta Golden power), che vengono estesi anche al 5G. Questa è una delle novità, introdotte durante l’esame in commissione a Montecitorio, attraverso un emendamento governativo. Anche durante l’esame del Senato il testo è stato modificato, con una norma che attribuisce anche al ministero degli Interni un proprio Centro di valutazione accreditato per reti e forniture Ict di competenza. I compiti di certificazione restano in capo al Centro di valutazione e certificazione del Mise.

Secondo Emanuele Scagliusi, capogruppo del MoVimento 5 Stelle in commissione Trasporti alla Camera e relatore del provvedimento, si tratta di “un testo importante, perché rappresenta finalmente una risposta di carattere strutturale a un fenomeno già molto diffuso e che sarà sempre più rilevante negli anni a venire. Secondo i massimi esperti di cyber security, infatti, l'era della guerra cibernetica è già cominciata. Viviamo in un mondo sempre più dipendente dai dati: il decreto sulla sicurezza cibernetica, consente al nostro Paese di difendere le infrastrutture di rete e i dati che vi transitano, tutelando al contempo i cittadini e la sicurezza nazionale”.
Elemento fondante del decreto, l’istituzione di un Perimetro nazionale sulla sicurezza cibernetica nazionale, al cui interno saranno incluse non solo tutte le Amministrazioni pubbliche, ma anche tutte le aziende che offrono servizi strategici (telefonia, trasporti ferroviari, fornitura di elettricità ecc). Gli enti che rientreranno nel Perimetro saranno identificati da un decreto della Presidenza del Consiglio, sulla base delle indicazioni del Comitato interministeriale per la sicurezza della Repubblica (Cisr). Quando una Amministrazione pubblica o una azienda inserita nel Perimetro intenderà “procedere all'affidamento di forniture di beni, sistemi e servizi Ict destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici", dovra' comunicarlo al Centro di valutazione e certificazione nazionale (Cvcn), istituito presso il Mise. Il Cvcn, valutando i rischi sulla sicurezza, “può, entro trenta giorni, imporre condizioni e test di hardware e software"; in questo caso i contratti "sono integrati con clausole" che pongono delle condizioni, che potranno portare alla sospensione o anche alla risoluzione del contratto. Nell’esame del Senato è stato introdotto al Viminale un proprio Centro di valutazione accreditato per reti e forniture Ict di competenza. I compiti di certificazione restano in capo al Centro di valutazione e certificazione.
Queste norme, inoltre, si applicano ai soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica, anche per i contratti - ove conclusi con soggetti esterni all’Ue - relativi al 5G, rispetto ai quali le attuali leggi sulla golden power prevedono la possibilita' che il governo possa esercitare il potere di veto o di imposizione di specifiche condizioni. In più per i contratti, l'Autorità può imporre che essi siano "modificati o integrati con misure aggiuntive necessarie al fine di assicurare livelli di sicurezza" adeguati, "anche prescrivendo, ove necessario, la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza”. Il governo può inoltre opporre la golden power contro "soggetti esterni all'Unione europea" che vogliano acquistare partecipazioni azionarie in società che detengono specifici beni e rapporti, fra cui le infrastrutture e le tecnologie critiche legate alla gestione dei dati e alla cybersicurezza, nonché le infrastrutture finanziarie, ivi compresa Borsa Italiana. Con un emendamento del governo inserito nel corso dell’esame, è stata rafforzata la golden power nei settori strategici, rispetto all'attuale legge del 2012. In particolare il potere di veto da parte dell'esecutivo viene esteso dalle delibere a “l’adozione di atti o operazioni” da parte delle società che detengono gli asset strategici.