Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale. (Decreto Presidente Consiglio Ministri del 24 gennaio 2013)

E' stato pubblicato in GU del 19 marzo 2013, n. 66 il Decreto Presidente Consiglio Ministri del 24 gennaio 2013, recante "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale".
Leggi il testo completo

Commento

(di Daniele Minussi)
I problemi di protezione dello spazio cibernetico (definibile come “l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti nonché delle relazioni logiche, comunque stabilite, tra di essi”) sono noti: per garantirne la sicurezza anche il Governo italiano, dopo quello di altri Paesi (Francia, Olanda, Gran Bretagna, Usa) ha varato il provvedimento in commento. L’organizzazione dell’architettura istituzionale nel settore della sicurezza cibernetica si fonda su una gerarchia al cui vertice si pone il Presidente del Consiglio ed i ministri che vanno a formare il Comitato per la sicurezza della Repubblica (CISR) e a cui sono demandati i compiti di indirizzo politico-strategico. A tale organo compete la definizione del quadro strategico nazionale per la sicurezza dello spazio cibernetico e di un “Piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali” e l’emanazione delle conseguenti direttive d’indirizzo. Quale supporto del Comitato interministeriale si pone un “organismo collegiale di coordinamento”, presieduto dal Direttore generale del Dipartimento Informazioni per la Sicurezza (DIS). Per ciò che concerne gli aspetti relativi alla prevenzione e alla preparazione rispetto a situazioni di crisi è stato altresì istituito il Nucleo per la sicurezza cibernetica, costituito in via permanente presso l’Ufficio del Consigliere militare e da questo presieduto. Il Nucleo è composto dai rappresentanti degli organismi di Intelligence (DIS, AISE ed AISI), del Ministero dell’interno, del Ministero degli affari esteri, del Ministero della difesa, del Ministero dello sviluppo economico, del Ministero dell’economia, del Dipartimento della protezione civile, dell’Agenzia per l’Italia digitale. Esso ha la funzione di sviluppare attività di prevenzione, allertamento e approntamento in caso di eventuali situazioni di crisi, anche attraverso una propria unità operativa permanente e costantemente attiva, nonché svolgere le opportune azioni di risposta e ripristino rispetto a queste situazioni, provvedendo se del caso ad attivare il Tavolo interministeriale di crisi cibernetica. Tutto questo nell’ipotesi in cui un c.d. “evento cibernetico” (attacco, incidente, furto/spionaggio) assuma “dimensioni, intensità o natura tali da incidere sulla sicurezza nazionale” o non possa “essere fronteggiato dalle singole amministrazioni competenti in via ordinaria”.
Notevole il disposto di cui all'art.11 del provvedimento in esame, ai sensi del quale "gli operatori privati che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, quelli che gestiscono infrastrutture critiche di rilievo nazionale ed europeo, il cui funzionamento è condizionato dall'operatività di sistemi informatici e telematici..."
a) comunicano al Nucleo per la sicurezza cibernetica, anche per il tramite dei soggetti istituzionalmente competenti a ricevere le relative comunicazioni ai sensi dell'art. 16-bis, comma 2, lett. b), del decreto legislativo n. 259/2003, ogni significativa violazione della sicurezza o dell'integrità dei propri sistemi informatici, utilizzando canali di trasmissione protetti;
b) adottano le best practices e le misure finalizzate all'obiettivo della sicurezza cibernetica, definite ai sensi dell'art. 16-bis, comma 1, lett. a), del decreto legislativo n. 259/2003, e dell'art. 5, comma 3, lett. d), del presente decreto;
c) forniscono informazioni agli organismi di informazione per la sicurezza e consentono ad essi l'accesso alle banche dati d'interesse ai fini della sicurezza cibernetica di rispettiva pertinenza, nei casi previsti dalla legge n. 124/2007;
d) collaborano alla gestione delle crisi cibernetiche contribuendo al ripristino della funzionalità dei sistemi e delle reti da essi gestiti.
In particolare va notato come, ai sensi della lettera c) che precede, siano di fatto consentiti accessi alle banche dati che ben potrebbero configurare una potenziale invasione della riservatezza di soggetti terzi, i cui dati personali, quand'anche sensibili, sarebbero consultabili, sia pure per le finalità e nel rispetto della normativa in parola (legge 124/2007: "Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto").

Aggiungi un commento