Franco Guida
Franco Guida Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Responsabile Area Cyber Security Fondazione Ugo Bordoni
“Per ciò che concerne la cyber security nel contesto dei sistemi energetici, una importante novità è intervenuta a livello normativo prima con l’approvazione del decreto-legge 21 settembre 2019, n. 105 e poi della legge 18 novembre 2019, n. 133 che lo ha convertito con modifiche. La nuova norma prevede infatti l’istituzione del cosiddetto perimetro di sicurezza nazionale cibernetica nel quale saranno inseriti, su proposta del Comitato Interministeriale per la Sicurezza della Repubblica (CISR), i soggetti che forniscono un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e che per la fornitura di tale servizio si avvalgono di reti, sistemi informativi e servizi informatici dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale. E’ importante il riferimento alla sicurezza nazionale in quanto ciò dovrebbe preludere all’individuazione di un insieme più ristretto di soggetti rispetto a quelli già individuati ai fini della Direttiva UE 2016/1148 del 6 luglio 2016 (meglio nota con il nome Direttiva NIS). I soggetti che saranno inseriti nel perimetro saranno tenuti al rispetto di una serie di misure e obblighi indicati nella legge. Tra questi si possono citare: la comunicazione con cadenza almeno annuale della lista delle predette reti, sistemi informativi e servizi informatici; la notifica di incidenti aventi impatto sulle predette reti, sistemi informativi e servizi informatici; la realizzazione e il rispetto delle misure di gestione della sicurezza che saranno definite in un apposito DPCM; il rispetto di particolari procedure nell’affidamento di forniture di beni, sistemi e servizi ICT, destinati a essere impiegati sulle predette reti, sistemi informativi e servizi informatici, e appartenenti a categorie individuate, sulla base di criteri di natura tecnica, con apposito DPCM. Riguardo alle forniture di beni, sistemi e servizi ICT, un ruolo importante sarà svolto dal Centro di Valutazione e Certificazione Nazionale (CVCN) istituito presso il Ministero dello Sviluppo Economico. Tale Centro potrà infatti effettuare verifiche preliminari sui predetti beni, sistemi e servizi ICT oggetto della fornitura ed imporre condizioni e test di hardware e software".