Cos'è il Perimetro Nazionale di Sicurezza Cibernetica e perché è importante
A cura di Francesco Fabbri, Consultant, Orsetta Mazziotti Di Celso, Associate Manager e Michele Lavorato, Senior Consultant
La digitalizzazione della nostra società è un processo che avanza deciso e rapido; una mole sempre maggiore di dati e informazioni viene elaborata e trasferita su infrastrutture e in banche dati digitali, dove viene trattata, immagazzinata e conservata. Esattamente come per le banche “fisiche”, anche quelle digitali necessitano di adeguate misure di controllo e sicurezza, proprio per il crescente rilievo delle informazioni - in termini numerici e di importanza - che custodiscono. A livello italiano ed europeo cresce di giorno in giorno la consapevolezza e la sensibilità nei confronti di questi temi e si sta assistendo a un generale “processo di ristrutturazione” di tutto ciò che riguarda la cyber security dal punto di vista normativo.
Proprio per far fronte a tale contesto, nonché alle crescenti sfide che caratterizzano il panorama globale in ambito cyber, a livello nazionale sono state delineate una serie di normative al fine innalzare il livello di sicurezza dei settori considerati essenziali per il Paese. In tale contesto, con il Decreto Legge 105/2019 ed i successivi decreti attuativi, è stato istituito il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), con lo scopo di assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e di quelli informatici di alcune pubbliche amministrazioni e di aziende private opportunamente individuate.
I perché del Perimetro Nazionale di Sicurezza Cibernetica e quali soggetti coinvolge
Per prima cosa è importante evidenziare che questa normativa coinvolge soltanto alcuni soggetti; in particolare si tratta di soggetti, pubblici e privati, che svolgono un servizio o una funzione essenziale per gli interessi dello Stato in determinati settori ritenuti più “sensibili” e per i quali è necessario prevedere un livello di sicurezza maggiore. Tra questi settori emergono ad esempio la difesa, le telecomunicazioni, i sistemi bancari, finanziari ed i trasporti.
I soggetti che rientrano in questo gruppo pertanto, devono adottare requisiti di sicurezza e procedurali più stringenti rispetto ad organizzazioni non rientranti all’interno del perimetro. La motivazione che porta all’emanazione di questa normativa è da individuare principalmente nei sempre più frequenti e precisi attacchi informatici che negli ultimi anni hanno colpito, sia in ambito pubblico che privato, numerosi soggetti; tali incidenti possono comportare un impatto e un rischio elevato per la sicurezza nazionale.
Altro elemento importante è il carattere di segretezza di tale perimetro: solo le Pubbliche Amministrazioni e le aziende individuate e rientranti all’interno del perimetro, ne sono a conoscenza. Dall’esterno, infatti, non è dato sapere quali siano i soggetti presenti nella lista, nonché le relative funzioni essenziali o servizi essenziali svolti.
I dettagli del Perimetro Nazionale di Sicurezza Cibernetica
Nel momento in cui un soggetto (azienda o pubblica amministrazione) viene inserito nel Perimetro di Sicurezza Nazionale Cibernetica, lo stesso deve attrezzarsi per garantire un elevato livello di sicurezza dei propri asset, nonché adempiere a quanto indicato nei decreti attuativi, in particolare, stabilire con precisione le procedure per gestire correttamente un eventuale incidente.
Tra i primi adempimenti richiesti vi è inoltre, quello di censire e individuare i beni ICT (Information and Communication Technologies), effettuare un’analisi del rischio e adottare specifiche misure di sicurezza e procedure per la gestione degli incidenti, nonché per la valutazione dei fornitori da parte delle Autorità competenti.
Per ogni adempimento sono indicate specifiche tempistiche, spesso abbastanza stringenti; basti pensare agli incidenti di sicurezza, da notificare alle Autorità entro il termine di 1 o 6 ore a seconda della gravità degli stessi.
In tale contesto, inoltre, acquisisce particolare rilievo l’Agenzia Nazionale per la Cybersicurezza recentemente costituita; la stessa infatti, attraverso il CSIRT (Computer Security Incident Response Team) e l’avvio operativo del CVCN (Centro di Valutazione e Certificazione Nazionale), assume la funzione di interlocutore unico nazionale per i soggetti pubblici e privati in materia di PSNC, confermando così il suo ruolo determinante nella garanzia e salvaguardia della sicurezza nazionale.
I Vantaggi del PNSC
La normativa, oltre ad ambire ad aumentare la sicurezza nazionale, apporta notevoli vantaggi alle singole aziende, le quali, rispondendo agli adempimenti richiesti, possono contare su una maggiore protezione dei propri asset, delle infrastrutture e dei dati trattati.
Il concetto di PSNC va interpretato come uno strumento normativo dinamico: è infatti prevista dalla stessa normativa una costante azione di aggiornamento dell’elenco dei soggetti inclusi. A tal proposito è opportuno infatti evidenziare che è estremamente concreta la possibilità che in futuro possano essere considerati strategici determinati settori o aziende attualmente non incluse e, conseguentemente, che le stesse debbano garantire i medesimi standard di sicurezza.
Concludendo, il PSNC è da considerarsi come un anello fondamentale di una catena di normative nazionali ed europee il cui fine è tutelare gli asset e le infrastrutture critiche per il nostro Paese, con l’obiettivo di affrontare al meglio le sfide del nostro tempo, garantendo un idoneo bilanciamento tra innovazione ed esigenze di sicurezza.
Il supporto di NTT DATA alle Aziende e PA
Vista la delicatezza e l’importanza di queste tematiche, NTT DATA offre il suo supporto alle aziende e alle pubbliche amministrazioni in ognuna delle fasi necessarie, guidando il processo di identificazione dell’impianto normativo e dei relativi impatti, garantendo un supporto completo e puntuale nel processo di adeguamento negli adempimenti richiesti e nelle nuove sfide che si presenteranno, con l’obiettivo di rispondere alle disposizioni previste entro le tempistiche stabilite.