Con il nuovo decreto si estende molto efficacia e applicazione della golden power dell’Italia. Ecco come
Di fronte al conflitto in corso tra Russia e Ucraina, il Governo italiano ha deciso di attuare una serie di misure urgenti per contrastare i possibili risvolti economici e umanitari. Tra queste, anche modifiche alla normativa in materia di Golden Power per un nuovo rafforzamento dello scudo tecnologico. Vediamone i dettagli.
Nuovi provvedimenti Golden Power
Attraverso il decreto-legge n. 21 del 21 marzo 2022 sono arrivate una serie di misure urgenti a fronte dei risvolti economici e umanitari derivanti dal conflitto Russia-Ucraina.
Come ha dichiarato il sottosegretario alla Presidenza del Consiglio Roberto Garofoli, ci troviamo “in un momento di fortissima tensione e incertezza internazionale” e va “perseguito il delicato equilibrio tra l’esigenza di attrarre capitali stranieri e quella di mantenere il controllo su operatori strategici in alcuni settori economici vitali”.
Diversi i provvedimenti che sono stati varati per i settori strategici, ossia quelli che riguardano la salute, l’agroalimentare, la finanza, settore creditizio e assicurativo. Difesa nazionale e maggiore sicurezza delle reti di comunicazione elettronica tra le priorità del Governo italiano, sono state, infatti, apportate anche modifiche al Golden Power per garantirne una maggiore tutela, oltre al rafforzamento dei presidi di sicurezza. In merito a ciò, sempre Garofoli ritiene che vadano “ridefiniti alcuni aspetti e al contempo assicurata una maggiore adeguatezza delle strutture amministrative preposte”.
Si prevede una riorganizzazione dei poteri speciali per la comunicazione elettronica a banda larga basati sulla tecnologia 5G, per cui ci saranno integrazioni e modifiche anche all’articolo 1-bis del decreto-legge n. 21 del 15 marzo 2012. Se da una parte questo settore viene confermato come strategico per la difesa nazionale, dall’altro ora si inizia a dare spazio anche ad altri che possano contribuire alla sicurezza cibernetica, come quelli legati alla tecnologia cloud.
Un piano annuale di acquisizione di beni e servizi per le imprese
È prevista per le imprese una nuova impostazione del piano di acquisizione di beni e servizi di progettazione, realizzazione, manutenzione e gestione delle attività di rilevanza strategica, ossia i componenti altamente tecnologici funzionali alla realizzazione o gestione. Infatti, bisogna notificare alla Presidenza del Consiglio dei ministri un piano annuale dettagliato prima di procedere all’acquisizione stessa, al cui interno devono essere esplicitati:
- il settore interessato dalla notifica;
- i dati identificativi del soggetto notificante;
- il programma di acquisti;
- dettagliati dati identificativi dei relativi, anche potenziali, fornitori;
- una descrizione, comprensiva delle specifiche tecniche, dei beni, dei servizi e delle componenti ad alta intensità tecnologica funzionali alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle attività notificate;
- un’informativa completa sui contratti in corso e sulle prospettive di sviluppo della rete 5G, ovvero degli ulteriori sistemi e attivi identificati con i successivi decreti del Presidente del Consiglio dei ministri;
- ogni ulteriore informazione funzionale a fornire un dettagliato quadro delle modalità di sviluppo dei sistemi di digitalizzazione del notificante, nonché dell’esatto adempimento alle condizioni e alle prescrizioni imposte a seguito di precedenti notifiche;
- un’informativa completa relativa alle eventuali comunicazioni effettuate ai sensi della normativa sul Perimetro di Sicurezza Nazionale Cibernetica, ai fini dello svolgimento delle verifiche di sicurezza da parte del Centro di valutazione e certificazione nazionale (CVCN), inclusiva dell’esito della valutazione, ove disponibile, e delle relative prescrizioni, qualora imposte.
La risposta della Presidenza del Consiglio dei ministri arriva a trenta giorni dalla notifica: in caso di approvazione, possono esserci possibili proroghe di altri venti giorni se si ritiene necessario apportare approfondimenti tecnici; nel caso in cui si debba assicurare maggiormente la sicurezza nazionale possono essere imposte specifiche condizioni o prescrizioni; in caso di approvazione totale o di una sola parte, si indica un periodo temporale entro il quale sostituire eventuali beni o servizi; in caso di rifiuto, viene esercitato il potere di veto.
Se queste prescrizioni non vengono osservate o se viene omessa la notifica, le imprese subiscono importanti sanzioni che possono arrivare anche al 3% del fatturato dell’impresa. Vengono, inoltre, annullati i contratti che non rispettano il termine stabilito per l’approvazione del piano e in questo caso l’impresa può essere costretta a ripristinare lo stato precedente all’esecuzione secondo nuovi termini, che se non rispettati, portano a ulteriori sanzioni amministrative.
Un comitato di monitoraggio, c’è anche la cyber
Per garantire il rispetto e la giusta applicazione delle prescrizioni adottate dal Governo nell’esercizio dei poteri speciali è stato istituito un comitato di monitoraggio e di controllo composto da uno o più rappresentanti della Presidenza del Consiglio dei ministri, del Ministero dello sviluppo economico, del Ministero della difesa, del Ministero per l’innovazione tecnologica e la transizione digitale, o, se non nominato, della struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione, dell’Agenzia per la Cybersicurezza nazionale, oltre che, se ritenuto necessario, del Centro di valutazione e certificazione nazionale (CVCN) e delle articolazioni tecniche dei Ministeri dell’interno e della difesa.
Le imprese devono agevolare quest’azione di controllo comunicando tutte le attività esecutive, evidenziandone i dettagli tecnici, e presentando una relazione semestrale sulle attività eseguite.
Il comitato di monitoraggio può, infine, mettere in atto ispezioni e verifiche tecniche relativamente ai beni e alle componenti ad alta intensità tecnologica funzionali alla progettazione, alla realizzazione, alla manutenzione e alla gestione dei servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, nonché ad altri possibili fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti, dei dati che vi transitano o dei sistemi, oggetto del provvedimento di esercizio dei poteri speciali.
Articolo a cura di Marco Santarelli, Cybersecurity360
No comment yet, add your voice below!