SICUREZZA CIBERNETICA. OGGI LA MIA RELAZIONE IN SENATO
Assicurare la sicurezza di reti, sistemi informativi e servizi informatici. È il nucleo del decreto-legge n. 105 del 2019, da me trattato oggi in Senato.
I sette articoli di cui è composto il testo dimostrano una forte attenzione alla sicurezza cibernetica da parte del governo Conte 2. Non è un caso che l’esecutivo abbia presentato un disegno di legge ad hoc (il 1570), a prima firma Giuseppe Conte, per riconvertire il testo in legge.
Lo abbiamo affrontato in Commissione Affari Costituzionali. Da relatrice del testo e da portavoce del MoVimento 5 Stelle da sempre attenta al tema mi permetto di sottolineare alcuni aspetti:
– il perimetro di sicurezza cibernetica è già dalla definizione creato per proteggere “sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale”;
– sono definiti criteri di gradualità con cui intervenire in base alle eventuali minacce alla sicurezza nazionale;
– al Centro di valutazione e certificazione nazionale (Cvcn) sono affidati compiti specifici in merito all’approvvigionamento di prodotti, processi, servizi, infrastrutture e sistemi;
– sono stipulati accordi con il Dipartimento delle informazioni per la sicurezza e con l’organo del Ministero dell’Interno per garantire la sicurezza e la regolarità dei servizi di telecomunicazione;
– sarà quindi creata una rete tra tutti gli organi ministeriali preposti al controllo della sicurezza per valutare al meglio il perimetro;
Il Senato oggi ha approvato il testo, che già era passato in prima lettura alla Camera, con alcune modifiche. Nei prossimi giorni dovrà quindi essere approvato in terza lettura alla Camera. In tal modo si potrà andare sempre avanti e con maggiore sicurezza verso l’Italia Digitale.
Di seguito la mia relazione
AS 1570 -A
Decreto-legge n. 105 del 2019 – Sicurezza cibernetica
RELAZIONE SEN. MANTOVANI
Gentile Presidente,
rappresentanti del Governo,
colleghe senatrici e colleghi senatori,
Il disegno di legge in esame, già approvato dalla Camera dei deputati, reca la conversione in legge del decreto-legge n. 105 del 2019, in materia di sicurezza cibernetica.
Il decreto-legge si compone di sette articoli.
L’articolo 1, modificato durante l’esame presso la Camera dei deputati, istituisce il perimetro di sicurezza nazionale cibernetica, al fine di assicurare la sicurezza di reti, sistemi informativi e servizi informatici necessari allo svolgimento di funzioni o alla prestazione di servizi, dalla cui discontinuità possa derivare un pregiudizio alla sicurezza nazionale.
È demandata a un decreto del Presidente del Consiglio dei ministri, da adottare previo parere delle competenti Commissioni parlamentari, l’individuazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica. In particolare, si fa riferimento ad amministrazioni pubbliche, nonché a enti e operatori nazionali, pubblici e privati – aventi una sede nel territorio nazionale, come specificato nel corso dell’esame presso la Camera – le cui reti e sistemi informativi e informatici sono necessari per l’esercizio di una funzione essenziale dello Stato, per l’assolvimento di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e il cui malfunzionamento, interruzione o uso improprio possono pregiudicare la sicurezza nazionale.
Il medesimo decreto del Presidente del Consiglio dei Ministri dovrà fissare, sulla base di un’analisi del rischio e di un criterio di gradualità che tenga conto delle specificità dei diversi settori di attività, i criteri che i soggetti inclusi nel perimetro dovranno seguire nel compilare l’elenco delle reti, dei sistemi e dei servizi rilevanti ai fini della presente disciplina. Tale elenco dovrà essere aggiornato con cadenza almeno annuale.
Resta ferma, per gli organismi di informazione e sicurezza, la specifica disciplina di cui alla legge n. 124 del 2007 recante “Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto”.
Entro sei mesi dall’entrata in vigore del Decreto del Presidente del Consiglio dei Ministri, gli elenchi così predisposti sono inviati alla Presidenza del Consiglio dei ministri dai soggetti pubblici e dai soggetti che intendono fornire servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica certificata o di gestore dell’identità digitale oppure dai soggetti che intendono svolgere l’attività di conservatore di documenti informatici, rispettivamente qualificati Sono invece inviati al Ministero dello sviluppo economico dai soggetti accreditati dall’AgID. Quindi, la Presidenza del Consiglio dei ministri e il Ministero dello sviluppo economico inoltrano i rispettivi elenchi al Dipartimento delle informazioni per la sicurezza (DIS) e all’organo per la regolarità e sicurezza dei servizi di telecomunicazione presso il Ministero dell’interno.
Ancora a un decreto del Presidente del Consiglio dei Ministri è demandata la determinazione delle procedure di notifica degli incidenti prodottisi su reti, sistemi informativi e sistemi informatici inclusi nel perimetro di sicurezza nazionale cibernetica e delle misure di sicurezza. Come specificato con modifica introdotta dalla Camera dei deputati, sullo schema di decreto è acquisito il parere delle competenti Commissioni parlamentari, da esprimere nel termine di 30 giorni. Sono poi determinati i soggetti ministeriali preposti all’elaborazione delle misure di sicurezza ed è previsto un aggiornamento – almeno biennale – di quanto previsto dal decreto del Presidente del Consiglio dei Ministri, anche in tal caso con l’acquisizione del parere delle competenti Commissioni parlamentari.
Si rimette a un regolamento da emanarsi con Decreto del Presidente del Consiglio dei Ministri, entro dieci mesi dalla data di entrata in vigore della legge di conversione del decreto-legge, la definizione delle procedure, delle modalità e dei termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT, destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici individuati nell’elenco trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico. A seguito di una modifica introdotta dalla Camera dei deputati, non si tratterà di tutti i beni, sistemi e servizi ICT potenzialmente oggetto di acquisto ma solo dei beni appartenenti a categorie individuate sulla base di criteri tecnici da un decreto del Presidente del Consiglio dei ministri.
Sono inoltre individuati alcuni compiti del Centro di valutazione e certificazione nazionale (CVCN), con riferimento all’approvvigionamento di prodotti, processi, servizi di tecnologie dell’informazione e della comunicazione (ICT) e associate infrastrutture, qualora destinati a reti, sistemi informativi, sistemi informatici ricompresi nel perimetro di sicurezza nazionale cibernetica.
Sono previsti alcuni obblighi per gli operatori dei servizi essenziali, i fornitori di servizi digitali e le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, inclusi nel perimetro di sicurezza nazionale cibernetica.
Ulteriori disposizioni disegnano un articolato sistema sanzionatorio per i casi di violazione degli obblighi previsti dal decreto-legge e individuano nella Presidenza del Consiglio dei ministri e nel Ministero dello sviluppo economico le autorità competenti all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative, rispettivamente per le amministrazioni, gli enti e gli operatori nazionali pubblici e per gli operatori nazionali privati.
Sono previsti opportuni raccordi con il Dipartimento delle informazioni per la sicurezza e con l’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione.
Sono apportate due novelle al decreto legislativo n. 65 del 2018 il quale ha dato attuazione alla direttiva UE 2016/1148, recante misure per un livello elevato di sicurezza delle reti e dei sistemi informativi nell’Unione e si dispone che gli eventuali adeguamenti delle reti, dei sistemi informativi e dei servizi informatici, che amministrazioni pubbliche, enti pubblici ed operatori pubblici debbano intraprendere, per ottemperare alle prescrizioni di sicurezza come definite dal decreto-legge, siano effettuati con le risorse finanziarie disponibili a legislazione vigente.
Infine, una disposizione introdotta dalla Camera dei deputati affida al Presidente del Consiglio dei ministri il coordinamento della “coerente attuazione” delle disposizioni del decreto-legge che disciplinano il perimetro di sicurezza nazionale cibernetica, anche avvalendosi del DIS che assicura gli opportuni raccordi con le autorità titolari delle attribuzioni e con i soggetti coinvolti.
L’articolo 2 autorizza il MISE ad assumere a tempo indeterminato, con incremento della vigente dotazione organica nel limite delle unità eccedenti, in aggiunta alle ordinarie facoltà assunzionali, un contingente massimo di 77 unità di personale, di cui 67 di area terza e 10 di area seconda, nel limite di spesa di euro 3 milioni e 5 mila euro annui a decorrere dal 2020, tenuto conto dell’esigenza di disporre di personale in possesso della professionalità necessaria per lo svolgimento delle funzioni del Centro di valutazione e certificazione nazionale (CVCN). Prevede altresì che, fino al completamento delle procedure di assunzione, il MISE possa avvalersi per le esigenze del CVCN di un contingente di personale non dirigenziale appartenente alle pubbliche amministrazioni per un massimo del 40 per cento delle unità di personale da assumere. Anche la Presidenza del Consiglio è autorizzata ad assumere fino a dieci unità di personale non dirigenziale, per lo svolgimento delle funzioni in materia di digitalizzazione. La relativa autorizzazione di spesa è nel limite di 640 mila euro annui, a decorrere dall’anno 2020. Nelle more di tali assunzioni, la Presidenza del Consiglio potrà avvalersi di esperti o di personale di altre amministrazioni pubbliche. Il reclutamento del personale necessario al funzionamento del CVCN e allo svolgimento delle funzioni di digitalizzazione della Presidenza del Consiglio avviene attraverso l’espletamento di uno o più concorsi pubblici.
L’articolo 3, modificato nel corso dell’esame presso la Camera dei deputati, detta disposizioni di raccordo tra il decreto in esame e la normativa in materia di esercizio dei poteri speciali governativi sui servizi di comunicazione a banda larga basati sulla tecnologia 5G.
In particolare, si stabilisce che le disposizioni del decreto-legge si applicano ai soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, anche per i contratti o gli accordi – ove conclusi con soggetti esterni all’Unione europea – relativi ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, rispetto ai quali è prevista, dall’articolo 1-bis del decreto-legge n. 21 del 2012 in materia di poteri speciali, una notifica alla Presidenza del Consiglio dei ministri al fine dell’eventuale esercizio del potere di veto o dell’imposizione di specifiche prescrizioni o condizioni. Sono poi dettate norme in materia di esercizio dei poteri speciali ed è stabilita una disciplina transitoria.
L’articolo 4 è stato soppresso nel corso dell’esame presso l’altro ramo del Parlamento: la materia è disciplinata in maniera più capillare all’articolo 4-bis inserito in quella sede e recante modifiche alla disciplina dei poteri speciali nei settori di rilevanza strategica dell’energia, dei trasporti e delle comunicazioni. Contiene norme analoghe a quelle già recate dal decreto-legge n. 64 del 2019, non convertito, con una serie di modifiche e integrazioni.
Le norme in esame, come già il decreto-legge n. 64, modificano il decreto legge n. 21 del 2012 in tema di poteri speciali del Governo nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell’energia, dei trasporti e delle comunicazioni (cd. golden power). Sono in sintesi riproposte le seguenti modifiche:
– viene in generale allungato il termine per l’esercizio dei poteri speciali da parte del Governo, con contestuale arricchimento dell’informativa resa dalle imprese detentrici degli asset strategici;
– si amplia l’oggetto di alcuni poteri speciali;
– sono modificati e integrati gli obblighi di notifica finalizzati all’esercizio dei poteri speciali;
– viene modificata la disciplina dei poteri speciali in tema di tecnologie 5G, per rendere il procedimento sostanzialmente simmetrico rispetto a quello per l’esercizio dei poteri speciali nei settori della difesa e della sicurezza nazionale;
– viene ridefinito il concetto di “soggetto esterno all’Unione europea” e sono precisati i criteri per determinare se un investimento estero è suscettibile di incidere sulla sicurezza o sull’ordine pubblico.
Rispetto al contenuto del decreto-legge n. 64, l’articolo aggiuntivo 4-bis:
– introduce ulteriori circostanze che il Governo può tenere in considerazione, per l’esercizio dei poteri speciali, nel caso in cui l’acquirente di partecipazioni rilevanti sia un soggetto esterno all’Unione europea;
– sottopone all’obbligo di notifica anche l’acquisizione, a qualsiasi titolo – in luogo del solo acquisto – di beni o servizi relativi alle reti 5G, quando posti in essere con soggetti esterni all’Unione europea;
– consente di aggiornare i regolamenti che individuano gli attivi di rilevanza strategica tramite decreti del Presidente del Consiglio dei ministri, in luogo di decreti del Presidente della Repubblica, anche in deroga alle procedure richieste dalla legge n. 400 del 1988; viene semplificata la procedura per l’espressione del parere delle Commissioni parlamentari competenti;
– disciplina la notifica riguardante delibere, atti e operazioni relativi a specifici asset di rilevanza strategica per l’interesse nazionale nei settori dei trasporti, dell’energia e delle comunicazioni, in presenza di condizioni particolari relative alla provenienza dell’acquirente ovvero agli effetti delle operazioni compiute.
L’articolo 5 dispone circa alcune attribuzioni emergenziali in capo alla Presidenza del Consiglio, in caso di rischio grave e imminente per la sicurezza nazionale. In particolare, prevede che il Presidente del Consiglio – su deliberazione del Comitato interministeriale per la sicurezza della Repubblica (CISR) – possa disporre la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati. Come specificato con una modifica introdotta presso la Camera dei deputati, entro 30 giorni il Presidente del Consiglio è tenuto a informare il Comitato parlamentare per la sicurezza della Repubblica delle misure disposte.
Infine, l’articolo 6 reca la copertura finanziaria e l’articolo 7 dispone in ordine all’entrata in vigore del provvedimento.
Di seguito la mia replica oggi in aula
AS 1570 -A
Decreto-legge n. 105 del 2019 – Sicurezza cibernetica
REPLICA IN AULA RELATRICE SEN. MANTOVANI
Signor Presidente, rappresentanti del Governo, senatrici e senatori, dobbiamo considerare che la conversione in legge del decreto-legge in esame in materia di perimetro di sicurezza nazionale e cibernetica è un argomento molto importante perché, se vogliamo effettivamente dare un impulso, cominciare a fare in modo che il nostro Paese si evolva in ambito digitale, la sicurezza deve andare di pari passo. Oggi nella classifica del Digital economy and society index (DESI), che ci monitora e che ci giudica a livello europeo, siamo al ventiquattresimo posto nell’ordine dei Paesi europei nell’ambito digitale; se vogliamo risalire questa classifica, colmare il divario digitale e investire in tale ambito, di pari passo dobbiamo investire anche in sicurezza e per questo il decreto-legge che andiamo ad approvare è molto importante.
Il testo istituisce il perimetro di sicurezza nazionale cibernetica al fine di assicurare la sicurezza di reti, sistemi informativi e servizi informatici necessari allo svolgimento di funzioni o alla prestazione di servizi dalla cui discontinuità possa derivare un pregiudizio alla sicurezza nazionale.
In Commissione è stata sollevata un’obiezione per cui il decreto che sarà da adottare da parte del Presidente del Consiglio dei ministri non sia un indirizzo autonomo del Presidente del Consiglio, ma possa essere valutato anche dal Parlamento. Il recepimento di questa richiesta sollevata in Commissione è comunque già avvenuto nella fase di valutazione alla Camera dei deputati, quando è stata inserita la previsione che le Commissioni parlamentari competenti possano esprimere i giudizi per l’individuazione dei soggetti inclusi nel perimetro della sicurezza nazionale; pertanto, tutte le volte che il Presidente del Consiglio dei ministri adotterà propri regolamenti, questi saranno soggetti a controllo anche del Parlamento. In particolare, si fa riferimento ad amministrazioni pubbliche, enti e operatori nazionali pubblici e privati aventi una sede nel territorio nazionale (come specificato nel corso dell’esame presso la Camera), le cui reti e sistemi informativi e informatici sono necessari per l’esercizio di una funzione essenziale dello Stato, per l’assolvimento di un servizio essenziale per il mantenimento di attività civili, sociali ed economiche fondamentali per gli interessi dello Stato e il cui malfunzionamento, interruzione o uso improprio possono pregiudicare la sicurezza nazionale. Quando i decreti del Presidente del Consiglio dei ministri agiranno sui diversi settori di attività, i criteri inclusi nel perimetro dovranno seguire, nel compilare l’elenco delle reti e dei sistemi, una precisa disciplina e anche in questo caso si seguirà un criterio di gradualità.
Entro sei mesi dall’entrata in vigore del decreto del Presidente del Consiglio dei ministri, gli elenchi predisposti sono inviati alla Presidenza del Consiglio dei ministri da soggetti pubblici che intendono fornire servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica o di gestore dell’identità digitale, oppure dai soggetti che intendono svolgere l’attività di conservatore di documenti informatici rispettivamente qualificati.
La Presidenza del Consiglio dei ministri e il Ministero dello sviluppo economico inoltrano i rispettivi elenchi al Dipartimento delle informazioni per la sicurezza (DIS) e all’organo per la regolarità e la sicurezza dei servizi di telecomunicazione presso il Ministero dell’interno.
Ancora, a un decreto del Presidente del Consiglio dei ministri è demandata la determinazione delle procedure di notifica degli incidenti prodottisi su reti e sistemi inclusi nel perimetro di sicurezza nazionale cibernetica e delle misure di sicurezza.
Con modifica introdotta dalla Camera dei deputati, sullo schema di decreto è acquisito il parere delle Commissioni parlamentari competenti, chiamate a esprimersi entro trenta giorni.
Sono inoltre individuati i compiti del Centro di valutazione e certificazione nazionale (CVCN), con riferimento all’approvvigionamento di prodotti, processi, servizi di tecnologie dell’informazione e della comunicazione (ICT) e associate infrastrutture, qualora destinati a reti, sistemi informativi, sistemi informatici ricompresi nel perimetro di sicurezza cibernetica.
Sono previsti gli opportuni raccordi con il Dipartimento delle informazioni per la sicurezza e con l’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione. Quindi tutti gli organi ministeriali preposti al controllo della sicurezza saranno coinvolti e collegati tra di loro, al fine di attuare al meglio il perimetro della sicurezza.
Infine, con una disposizione adottata dalla Camera dei deputati si affida al Presidente del Consiglio dei ministri il coordinamento della coerente attuazione delle disposizioni del decreto-legge, che disciplinano il perimetro di sicurezza nazionale cibernetica, anche avvalendosi del DIS, che assicura gli opportuni raccordi con le autorità titolari di attribuzioni e con i soggetti coinvolti.
È stato sollevato il problema delle competenze: è assolutamente vero che l’attuazione della sicurezza informatica richiede determinate competenze. Per questa ragione il MISE è autorizzato ad assumere a tempo determinato la dotazione organica che si ritiene necessaria a soddisfare le esigenze di personale con le opportune competenze, in un contingente massimo di 77 unità, nel limite di spesa di 3.005.000 euro annui.
Per quanto riguarda gli ultimi due articoli, che trattano specificamente della tecnologia 5G, l’obiettivo del provvedimento è che essa sia soggetta ai controlli necessari sulle tecnologie utilizzate, ma che, nello stesso tempo, si possa al più presto raggiungere quel livello di implementazione che attualmente ci consente ancora un vantaggio competitivo rispetto agli altri Paesi europei. In questo ambito abbiamo questa possibilità e mediante l’attuazione del presente decreto-legge potremo portare avanti contemporaneamente e coerentemente le esigenze di implementazione della nuova tecnologia 5G con le esigenze di sicurezza nazionale. (Applausi dal Gruppo M5S).