Con l’aumento degli attacchi informatici nei confronti di Istituzioni, organi e agenzie governative, gli Stati spingono sull’adozione di misure vote ad aumentare la sicurezza dei propri sistemi e delle proprie reti.
In Italia, vige (tra gli altri) un articolato corpus normativo volto a istituire un “Perimetro di Sicurezza Nazionale Cibernetica”: normativa che introduce diversi obblighi legali al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici degli operatori nazionali (pubblici e privati), che esercitino o eroghino una funzione o un servizio essenziale e il cui malfunzionamento – anche parziale – può portare ad un pregiudizio per la sicurezza nazionale.
Tale normativa e le diverse fonti che l’affiancano hanno un impatto notevole sull’organizzazione degli attori coinvolti.
In questo panorama si parla di certificazione della cybersecurity.
In altri termini, il Dpr interviene su procedure, modalità e termini: ambiti ai quali i soggetti interessati dalla normativa devono attenersi per poter proseguire con l’affidamento di forniture di beni, sistemi e servizi Ict, avviando di conseguenza un processo di valutazione da parte del CVCN (Centro di Valutazione e Certificazione Nazionale).
Tale Centro ha quindi il compito di effettuare una valutazione tecnologica dei beni, dei sistemi e dei servizi Ict che appartengono alle categorie individuate dal Dpcm del 15 giugno 2021, per quelle infrastrutture che forniscono servizi o funzioni essenziali.
Inoltre, il CVCN ha il potere di imporre condizioni di utilizzo dei prodotti acquistati e di richiedere lo svolgimento di test hardware e software prima dell’uso. Svolgendo, di conseguenza, un controllo preventivo che accerti la sicurezza e l’assenza di vulnerabilità delle forniture Ict.
Il fine di questa verifica consiste nel ridurre il rischio di attacchi informatici volti a carpire informazioni sensibili e ad interrompere o limitare il funzionamento di istituzioni, organi e agenzie governative nazionali: ovvero prevenire pregiudizi di sicurezza informatica.
Questo processo di valutazione impatta sul business sia degli operatori soggetti al processo di valutazione sia dei loro fornitori. Infatti, l’esito negativo della valutazione blocca l’esecuzione dei contratti o dei bandi di gare, richiedendo l’integrazione con clausole che implicano il rispetto delle condizioni imposte o l’esito favorevole dei test.
Così, come sottolineato dall’Agenzia che tutela gli interessi nazionali nel cyberspazio nella recente Strategia Nazionale di Cybersicurezza, sono indispensabili la definizione ed il mantenimento di un quadro giuridico aggiornato e coerente in materia di cybersicurezza in modo da poter assicurare un livello di protezione efficace e duraturo.
In materia di sicurezza cibernetica occorre quindi considerare sempre sia gli aspetti tecnici che quelli legali, come due facce della stessa medaglia. Inoltre, essendo una materia traversale, occorre dotarsi di competenze che permettano di far dialogare il mondo della cybersecurity tecnico con quello legale, ponendo un’effettiva tutela alla business strategy.
Se vuoi maggiori informazioni, vi invitiamo a richiedere on line un appuntamento oppure a contattare William Piccione, CTO di Miller Group: william.piccione@millergroup.it, tel. 02.36762490.
