Diritto e Fisco | Articoli

In arrivo decreto sicurezza contro rischi 5G

17 Settembre 2019
In arrivo decreto sicurezza contro rischi 5G

Cybersecurity: il provvedimento al prossimo Cdm, misure e sanzioni per sicurezza reti e sistemi informativi strategici.

Alzare un ‘muro’ normativo che metta al riparo le istituzioni statali sotto il profilo della sicurezza cibernetica, delineare un quadro di parametri certi da rispettare per tutte le imprese coinvolte, assicurare una cornice di sicurezza adeguata ai tempi e anche ai rischi, anche in previsione della diffusione delle reti di ultima generazione come il 5G: è l’obiettivo dello schema di decreto legge della Presidenza del Consiglio ‘disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica‘ che approderà al prossimo Consiglio dei ministri.

Nel provvedimento, sono elencate disposizioni volte ad assicurare, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica, un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato.

Il decreto sarà emanato in considerazione della “straordinaria necessità ed urgenza, nell’attuale quadro normativo ed a fronte della realizzazione in corso di importanti e strategiche infrastrutture tecnologiche, anche in relazione a recenti attacchi alle reti di Paesi europei, di disporre, per le finalità di sicurezza nazionale, di un sistema di organi, procedure e misure, che consenta una efficace valutazione sotto il profilo tecnico della sicurezza degli apparati e dei prodotti, in linea con le più elevate ed aggiornate misure di sicurezza adottate a livello internazionale”.

A questo fine, si legge nel decreto, è necessario assicurare il “raccordo con le disposizioni in materia di valutazione della presenza di fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti inerenti ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G e dei dati che vi transitano”. In presenza “un rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e servizi” è previsto nel provvedimento che il presidente del Consiglio possa “disporre, ove indispensabile e per il tempo strettamente necessario alla eliminazione dello specifico fattore di rischio o alla sua mitigazione, secondo un criterio di proporzionalità, la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati”.

Il decreto prevede un sistema sanzionatorio di multe per chi non si atterrà alle disposizioni del decreto e anche “la reclusione da uno a 5 anni” per chiunque fornisca informazioni false o ometta di comunicare dati e informazioni.

Considerata “la straordinaria necessità ed urgenza di disporre anche dei più idonei strumenti d’immediato intervento che consentano di affrontare con la massima efficacia e tempestività eventuali situazioni di emergenza in ambito cibernetico”, sono quindi definiti i criteri in base ai quali i soggetti interessati “predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica; all’elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, l’organismo tecnico di supporto al CISR, integrato con un rappresentante della Presidenza del Consiglio dei ministri”.

La Presidenza del Consiglio dei ministri e il ministero dello Sviluppo Economico inoltrano, quindi, gli elenchi di rispettiva pertinenza “al Dipartimento delle informazioni per la sicurezza, anche per le attività di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la sicurezza cibernetica, nonché all’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione di cui all’articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155″.

Le misure, volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici, sono relative alle politiche di sicurezza, alla struttura organizzativa e alla gestione del rischio; alla mitigazione e gestione degli incidenti e alla loro prevenzione, anche attraverso la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza; alla protezione fisica e logica e dei dati; all’integrità delle reti e dei sistemi informativi; alla gestione operativa, ivi compresa la continuità del servizio; al monitoraggio, test e controllo; alla formazione e consapevolezza; all’affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale.

Di rilievo l’attività del Centro di valutazione e certificazione nazionale (CVCN), istituito presso il ministero dello Sviluppo Economico, “che, sulla base di una valutazione del rischio, anche in relazione all’ambito di impiego e in un’ottica di gradualità, può, entro trenta giorni, imporre condizioni e test di hardware e software’, in tale ipotesi, i relativi bandi di gara e contratti sono integrati con clausole che condizionano, sospensivamente ovvero risolutivamente, l’affidamento ovvero il contratto al rispetto delle condizioni e all’esito favorevole dei test disposti dal CVCN”.

Tra le sanzioni previste dal provvedimento, “salvo che il fatto costituisca reato” il mancato adempimento degli obblighi di predisposizione e di aggiornamento dell’elenco delle reti, dei sistemi informativi e dei servizi informatici è punito con la sanzione amministrativa pecuniaria da 200.000 a 1.200.000 euro. Il mancato adempimento dell’obbligo di notifica nei termini prescritti, è punito con la sanzione amministrativa pecuniaria da 250.000 a 1.500.000 euro; l’inosservanza delle misure di sicurezza è punita con la sanzione amministrativa pecuniaria da 250.000 a 1.500.000 euro; l’impiego di prodotti e servizi sulle reti, sui sistemi informativi e l’espletamento dei servizi informatici in violazione delle condizioni imposte dal CVCN o in assenza del superamento dei test è punito con la sanzione amministrativa pecuniaria da 300.000 a 1.800.000 euro; il mancato adempimento delle prescrizioni indicate dal ministero dello Sviluppo Economico o dalla Presidenza del Consiglio dei ministri in esito alle attività di ispezione e verifica è punito con la sanzione amministrativa pecuniaria da 250.000 a 1.500.000 euro.

“Chiunque fornisce informazioni, dati o elementi di fatto non rispondenti al vero allo scopo di ostacolare o condizionare l’espletamento dei procedimenti di cui al comma 2, lettera b), o al comma 6, lettera a), o delle attività ispettive e di vigilanza previste dal comma 6, lettera c), ovvero allo stesso scopo omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto, è punito con la reclusione da uno a cinque anni e all’ente privato, responsabile ai sensi del decreto legislativo 8 giugno 2001, n. 231, si applica la sanzione pecuniaria fino a quattrocento quote”, si legge nel decreto.


Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA