L’approvazione del quarto DPCM attuativo del perimetro di sicurezza nazionale cibernetica completa il quadro normativo dello “scudo cibernetico” italiano, avvicinando il traguardo di arrivo al raggiungimento degli obiettivi della Strategia cyber nazionale che consistono nel potenziare la sicurezza della supply chain delle infrastrutture impiegate nei servizi essenziali dello Stato.
In particolare, il quarto DPCM stabilisce le procedure, i requisiti e i termini per l’accreditamento dei laboratori accreditati di prova, i cosiddetti LAP a supporto del Centro di valutazione e certificazione nazionale (CVCN): da adesso sarà dunque possibile individuare i laboratori che dovranno verificare la sicurezza tecnologica delle aziende e delle pubbliche amministrazioni ritenute essenziali per la sicurezza dello Stato.
Con questo nuovo regolamento, adottato con il DPCM n. 92 del 18 maggio 2022 e atteso da tempo, si completa il quadro normativo del perimetro di sicurezza nazionale cibernetica istituito tre anni fa dal governo Conte-bis con l’obiettivo di difendere gli asset strategici nazionali dagli attacchi cyber.
Come si legge nella nota pubblicata dall’Agenzia per la cybersicurezza nazionale diretta da Roberto Baldoni, il nuovo regolamento rappresenta l’ultimo tassello “per raggiungere gli obiettivi contenuti nella Strategia nazionale di cybersicurezza, volto a innalzare il livello di sicurezza della supply chain di infrastrutture da cui dipende l’erogazione dei servizi essenziali dello Stato”.
Tutte le misure della Strategia che grazie a questo DPCM vengono realizzate sono le seguenti:
La misura n. 1 riguarda il potenziamento del sistema di “scrutinio tecnologico nazionale” a supporto della sicurezza della supply chain degli asset del Perimetro e l’adozione di un sistema di certificazione europea di cybersecurity, anche attraverso l’accreditamento di laboratori di valutazione. Sarà il Centro di Valutazione e Certificazione Nazionale ad accreditare i LAP, i laboratori Accreditati di Prova esterni, pubblici o privati, che faranno parte della rete a supporto del Centro Nazionale e dei Centri di Valutazione del Ministero della Difesa e del Ministero dell’Interno nelle attività di certificazione di specifiche categorie di asset ICT impiegati nel perimetro.
La misura n. 2 si riferisce allo sviluppo di questi ultimi centri di valutazione, quelli legati al Ministero dell’Interno e al Ministero della Difesa accreditati dall’Agenzia per la Cybersicurezza Nazionale.
La misura n. 5 ha lo scopo di favorire lo sviluppo degli schemi di certificazione di cybersicurezza e la loro adozione da parte di fornitori di servizi e imprese nazionali, per contribuire alla specializzazione dell’imprenditoria italiana e la sua competitività sul mercato.
La misura n. 8 intende introdurre norme giuridiche per la tutela degli approvvigionamenti delle infrastrutture ICT mirate alla sicurezza nazionale.
Infine, con la misura n. 53 si vuole supportare il rafforzamento dell’autonomia industriale e tecnologica italiana in ambito strategico e lo sviluppo di algoritmi di proprietà, così come lo sviluppo di nuove capacità crittografiche nazionali.
