GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/482/01.png
mercoledì 3 febbraio 2021
di s-mart.biz
Il Consiglio dei Ministri del 29 Gennaio 2021 ha approvato il decreto attuativo che rende operativo il Centro di valutazione e certificazione nazionale (CVCN) e gli altri centri di valutazione (CV) dei procedimenti di verifica e valutazione per beni, sistemi e servizi IT: è l'ennesimo passo avanti verso la concretizzazione del Perimetro di Sicurezza Nazionale Cibernetica.
Il Perimetro di sicurezza nazionale cybernetica in pillole
In breve è lo scudo difensivo dell'Italia dai cyber attacchi che potrebbero minacciare aziende e PA nazionale, introdotto con legge n.133 del 2019: sono previsti 4 passi-decreti per l'istituzione del Perimetro. Il primo di questi DPCM è entrato in vigore il 5 Novembre 2020 e definisce non solo le regole del Perimetro, ma anche i parametri tramite i quali i Ministeri individuano quei soggetti dai quali "dipenda la fornitura di servizi essenziali ovvero l'esercizio di una funzione essenziale dello Stato" (tutti i soggetti pubblici e privati che svolgono funzioni di rilevante impatto per la sicurezza nazionale) e quindi, poiché sono meritevoli di cyber protezione mirata e puntuale, da inserire entro il Perimetro. La lista di tali soggetti è già stata redatta, elenca circa 100 soggetti, ed è statao secretata per motivazioni di sicurezza nazionale.
Il primo decreto ha fissato anche le modalità con cui questi soggetti devono assolvere ad alcuni obblighi, primo tra tutti quello di censire le infrastrutture di servizio notificandole alle autorità: di contro sono istituite anche strutture di supporto per gestire processi e flussi operativi e sono dettagliate le modalità con le quali gli operatori individuati dovranno segnalare allo CSIRT cyber eventi significativi.
Importante l'art 3 che fissa i settori entro i quali ricercare prioritariamente i soggetti da includere nel perimetro:
L' art 6 ha anche istituito un tavolo interministeriale per l' attuazionale del Perimetro.
Il nuovo passo avanti: il decreto attuativo del 29 Gennaio 2021
Il Centro di valutazione e certificazione nazionale (CVCN) nasce allo scopo precipuo di mitigare il cyber rischio tramite certificazione e valutazione dei prodotti e servizi ICT impiegati dai soggetti iscritti al Perimetro di sicurezza nazionale, per scongiurare eventuali rischi alla sicurezza nazionale dovutoi a malfunzionamento, interruzione (totale o parziale), uso improprio di tali sistemi / servizi. Il nuovo DPCM individua più in dettaglio procedure, modalità e termini con cui i CVCN e CV valutano l' acquisizione da parte delle entità incluse nel Perimetro di sicurezza di tecnologie e software ITC che potrebbero presentare vulnerabilità e, quindi, cyber rischi: il CVCN è coinvolto anche nel vaglio di forniture 5G extra UE, materia rientrante nella disciplina Golden Power, data l'estrema delicatezza del tema.
Il decreto prevede che i soggetti inclusi nel Perimetro diano comunicazione al CVCN o ai CV PRIMA dell'avvio di qualsiasi procedura di affidamento o della conclusione di contratti per le forniture. A seguito della prima comunicazione, si dovranno articolare tre diverse fasi:
Le spese da sostenere per le attività di valutazione del CVCN e dei CV, da svolgersi in appositi laboratori, sono a carico di chi fornisce i beni/sistemi/servizi IT. Inoltre, i soggetti del perimetro avranno a disposizione non più di un'ora per notificare allo CSIRT (Computer Security Incident Response Team) o al DIS (Dipartimento informazioni per la sicurezza) cyber incidenti gravi, mentre è previsto un lasso di 6 ore massimo per incidenti di minore gravità.
venerdì 15 novembre 2024
Leggi tutto...
CONDIVIDI QUESTA PAGINA!