Cybersecurity, al via il processo di certificazione. Come funziona? 

Portando un esempio della grande pervasività della disciplina, il Dpr interviene sulle procedure, sulle modalità e sui termini ai quali devono attenersi i soggetti interessati dalla normativa che intendano procedere all'affidamento di forniture di beni, sistemi e servizi Ict, introducendo un processo di valutazione da parte del Centro di Valutazione e Certificazione Nazionale (Cvcn).

Il Cvcn, operativo dal 30 giugno, è incaricato di effettuare uno scrutinio tecnologico sui beni, sistemi e servizi Ict appartenenti alle categorie individuate con l'apposito Dpcm del 15 giugno 2021 e destinati a essere impiegati sulle infrastrutture che supportano servizi o funzioni essenziali ricompresi nell'ambito di applicazione della normativa in esame.

Ciò implica un sindacato sulla catena di approvvigionamento e, in particolar modo, sui fornitori selezionati e sui prodotti utilizzati dal soggetto incluso nel Perimetro di Sicurezza Nazionale Cibernetica. Nel merito, tra i principali poteri del Cvcn vi è quello di imporre condizioni di utilizzo dei prodotti acquistati, nonché di richiedere lo svolgimento di test di hardware e software prima del loro uso. Dunque, svolgerà un controllo preventivo volto ad accertare la sicurezza e l'assenza di vulnerabilità note di forniture Ict che interagiscono con i sistemi deputati allo svolgimento delle funzioni o dei servizi essenziali.

Tra i vari obiettivi di questa verifica vi è quello di ridurre il rischio che i prodotti e servizi acquistati o le vulnerabilità ivi presenti possano essere sfruttate per attacchi informatici volti a esfiltrare informazioni sensibili o a interrompere o limitare il funzionamento di infrastrutture critiche nazionali. Pertanto, le verifiche del Cvcn potrebbero rispondere a logiche analoghe a quelle che hanno recentemente imposto alle pubbliche amministrazioni di “diversificare” prodotti e servizi tecnologici provenienti dalla Russia al fine di prevenire pregiudizi alla sicurezza informatica.

Quest'esigenza di protezione comporta un nuovo onere in capo agli attori inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, che, oltre ad essere già chiamati a notevoli sforzi di compliance sia sul piano organizzativo, che su quello dei processi, dovranno ridisegnare le procedure di procurement tenendo conto del nuovo assetto normativo.

È, inoltre, evidente il notevole impatto che il processo di valutazione può avere sul business non solo degli operatori soggetti al processo di valutazione, ma anche dei loro fornitori. Infatti, in caso di esito negativo della valutazione il soggetto interessato dalla normativa sul Perimetro di Sicurezza Nazionale Cibernetica non potrà dare esecuzione ai contratti. La possibilità di bloccare l'esecuzione dei contratti o dei bandi di gara, richiede la loro integrazione con clausole che li condizionino, sospensivamente o risolutivamente, al rispetto delle condizioni imposte o all'esito favorevole dei test.

Questi aspetti e la sempre maggiore regolamentazione del settore denotano la crescente importanza delle competenze legali quando si parla di cybersecurity. Infatti, la tendenza ad approcciare questo argomento in maniera esclusivamente tecnica rischia, sul lungo periodo, di non consentire un compiuto perseguimento degli obiettivi di sicurezza. Coerentemente con tale approccio, anche la recentissima Strategia Nazionale di Cybersicurezza, pubblicata dall'Acn, l'agenzia che tutela gli interessi nazionali nel cyberspazio, sottolinea che, per poter assicurare un livello di protezione efficace e duraturo, è indispensabile la definizione ed il mantenimento di un quadro giuridico aggiornato e coerente in materia di cybersicurezza.

Dunque, anche la strategia nazionale pone l'accento sul ruolo chiave che la legislazione ricopre nell'ottica di garantire una tutela efficace delle infrastrutture informatiche.

In conclusione, è necessario entrare nella prospettiva per cui, quando si parla di sicurezza cibernetica, gli aspetti tecnici e quelli legali sono due imprescindibili aspetti della stessa medaglia. Pertanto, anche considerata la trasversalità della materia, per garantire la compliance alle normative di settore, è indispensabile dotarsi di competenze capaci di far dialogare il mondo della cybersecurity, inteso nella sua dimensione più tecnica, con quello legale.

* Studio Legale Chiomenti, ha collaborato Lucrezia Falciai, Associate di Chiomenti