Governance

Il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) 

Il Perimetro Nazionale di Cyber Sicurezza, introdotto dal Decreto Legge n. 105/2019, protegge reti e servizi critici dalle minacce informatiche. Impone misure di sicurezza rigorose per enti strategici e infrastrutture essenziali. Questo articolo ne esplora il funzionamento, i soggetti coinvolti e le misure richieste.

Perimetro nazionale di sicurezza cibernetica

10 Febbraio 2025

Indice dei contentuti

  • Cos’è il perimetro di sicurezza nazionale cibernetica 
  • Come funziona il perimetro nazionale di sicurezza cibernetica 
  • La normativa: Decreto legge n 105 e i decreti attuativi 
  • I soggetti inclusi nel perimetro di sicurezza nazionale 

La cybersicurezza è diventata una priorità globale a causa della crescente minaccia di attacchi informatici. In Italia, il perimetro di sicurezza nazionale cibernetica, introdotto con il decreto legge n 105 del 2019, rappresenta una risposta strategica per proteggere reti, sistemi e servizi critici da potenziali rischi. 

Questo articolo esplora cos’è il perimetro di sicurezza nazionale cibernetica, come funziona, quali soggetti ne fanno parte e quali misure devono essere adottate per garantire la sicurezza della rete e dei servizi essenziali

Cos’è il perimetro di sicurezza nazionale cibernetica 

Il perimetro di sicurezza nazionale cibernetica è un insieme di misure e normative volte a proteggere le reti, i sistemi informativi e i servizi ICT destinati ad essere impiegati in attività cruciali per la sicurezza del Paese.

Questo quadro legislativo è stato introdotto con il decreto legge n 105 del 2019, convertito in legge 133/2019, come risposta alla crescente necessità di proteggere infrastrutture critiche italiane da incidenti aventi impatto sulla sicurezza nazionale cibernetico

L’obiettivo principale del perimetro è assicurare la protezione di beni, sistemi e servizi fondamentali, come quelli impiegati nelle amministrazioni pubbliche, negli operatori strategici e nelle aziende private coinvolte nella fornitura di servizi essenziali.

Questi soggetti, definiti soggetti inclusi nel perimetro, devono essere conformi a rigidi protocolli di sicurezza per mitigare qualsiasi rischio informatico. 

Come funziona il perimetro nazionale di sicurezza cibernetica 

Il funzionamento del perimetro nazionale di sicurezza cibernetica si basa su un quadro normativo articolato e su decreti attuativi specifici. I soggetti rientranti nel perimetro devono garantire la sicurezza delle proprie infrastrutture attraverso: 

Identificazione dei soggetti e delle infrastrutture critiche 

Attraverso decreti specifici, la presidenza del consiglio e il consiglio dei ministri individuano chi deve adottare le misure di sicurezza. I soggetti vengono selezionati in base a criteri come la funzione essenziale svolta o l’erogazione di un servizio essenziale

Adozione di misure di sicurezza specifiche 

I soggetti identificati devono implementare una serie di misure di sicurezza per proteggere i servizi ICT destinati ad essere impiegati nel perimetro. Tali misure includono: 

  • protezione delle infrastrutture da accessi non autorizzati;
  • sistemi di monitoraggio continuo per individuare vulnerabilità e incidenti aventi impatto;
  • notifica obbligatoria degli incidenti al computer security incident response team (CSIRT) nazionale

Valutazioni tecniche e verifiche 

I beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro devono essere sottoposti a valutazioni da parte del CVCN (Centro di Valutazione e Certificazione nazionale), inizialmente presso il ministero dello sviluppo economico, ora sotto l’Agenzia per la Cybersicurezza Nazionale (ACN). 

Decreto legge n 105

La normativa: Decreto legge n 105 e i decreti attuativi 

Il decreto legge n 105 del 2019 ha gettato le basi per il perimetro di sicurezza nazionale cibernetica, stabilendo i criteri per l’individuazione dei soggetti e delle infrastrutture critiche. Tuttavia, è con i successivi decreti attuativi che il perimetro è stato reso operativo: 

  • DPCM 30 luglio 2020 n. 131
    Stabilisce chi sono i soggetti inclusi nel perimetro e quali beni, sistemi e servizi devono essere protetti. 
  • DPCM 14 aprile 2021 n. 81
    Definisce le modalità di segnalazione degli incidenti aventi impatto e le misure di sicurezza obbligatorie. 
  • DPCM 15 giugno 2021
    Elenca le categorie di beni ICT sottoposti a controlli. 

Questi decreti sono fondamentali per garantire la sicurezza nazionale cibernetico e per creare un ecosistema resiliente alle minacce informatiche. 

I soggetti inclusi nel perimetro di sicurezza nazionale 

I soggetti inclusi nel perimetro sono enti pubblici e privati che svolgono attività ritenute essenziali per la sicurezza del Paese. Questi soggetti vengono selezionati attraverso criteri come: 

  • Funzione essenziale
    Garantiscono attività cruciali per lo Stato. 
  • Servizio essenziale
    Offrono servizi ICT destinati al mantenimento di attività civili e sociali fondamentali. 
  • Gradualità
    Si tiene conto della gravità dell’impatto derivante da un eventuale incidente. 

Le infrastrutture di questi soggetti sono particolarmente sensibili, pertanto devono essere costantemente monitorate e protette da qualsiasi incidenti aventi impatto

Conclusioni 

Il perimetro di sicurezza nazionale cibernetica rappresenta una risposta concreta e necessaria per proteggere infrastrutture critiche e servizi essenziali.

Con l’adozione di misure di sicurezza specifiche e l’implementazione di un sistema di governance centralizzato, il perimetro assicura un’elevata sicurezza della rete e dei sistemi informativi nazionali. 

Domande e risposte

  1. Cos’è il perimetro di sicurezza nazionale cibernetica?
    È un insieme di misure normative e tecniche per proteggere infrastrutture critiche italiane da rischi cyber. 
  2. Quali soggetti rientrano nel perimetro?
    Enti pubblici e privati che svolgono funzioni essenziali o forniscono servizi essenziali. 
  3. Qual è il ruolo del CSIRT?
    Il computer security incident response team gestisce e monitora le segnalazioni di incidenti cyber. 
  4. Quali sono le misure di sicurezza obbligatorie?
    Protezione dei beni ICT, monitoraggio continuo e segnalazione obbligatoria degli incidenti. 
  5. Cos’è il decreto legge n 105?
    È il decreto che ha istituito il perimetro di sicurezza nazionale cibernetica. 
  6. Qual è il ruolo del CVCN?
    Il CVCN valuta e certifica la sicurezza dei beni, sistemi e servizi ICT impiegati nel perimetro. 
  7. Perché è importante il perimetro cibernetico?
    Garantisce la protezione delle infrastrutture cruciali per la sicurezza nazionale. 
  8. Cosa si intende per servizi essenziali?
    Servizi ICT necessari per attività sociali, economiche e civili fondamentali. 
  9. Cosa succede in caso di incidente?
    Gli incidenti devono essere segnalati tempestivamente al CSIRT secondo le normative vigenti. 
  10. Qual è il ruolo del ministero dello sviluppo economico?
    Supervisiona, insieme all’ACN, le valutazioni sulla sicurezza dei beni ICT nel perimetro. 
4
To top