Piano Nazionale Impresa 4.0 – Sicurezza Informatica

Giacomo Tavoletti   Scritto da • Giacomo Tavoletti Data • 14 novembre 2018

Come anticipato, continuiamo ad approfondire quelle che ci sembrano le parti più interessanti del Piano Nazionale Impresa 4.0 questa volta occupandoci di Sicurezza Informatica.

Sempre nello scorso politicamente stravagante mese di giugno, in Gazzetta Ufficiale viene pubblicata, oltre alla Norma sulla Formazione, quella tanto attesa sulla Sicurezza Informatica; la definiamo: “tanto attesa” in quanto è uno dei grandi temi del momento ed uno di quelli dove l’Italia appare più arretrata con un sistema di piccole medie imprese culturalmente poco portate ad investire per colmare questa vulnerabilità che, invece, potrebbe colpirle in maniera tanto forte da farle scomparire.

Lungi da energicrea voler fare terrorismo, anche perché, non essendo il nostro business, non possiamo venir accusati di avere fini speculativi, è banale intuire due concetti:

  • in un sistema di: “fabbriche sempre più automatizzate ed interconnesse” (virgolettato dal Piano 4.0) i rischi correlati alla loro sicurezza informatica ci esporranno a danni in dimensione esponenziale
  • in una Internet delle Cose sempre più diffusa e capillare, un malintenzionato potrebbe arrivare a manipolare i chip che, più o meno consciamente abbiamo o avremo ad esempio, nelle nostre case o nelle nostre auto (il secondo caso si è già verificato con un hacker che ha fatto spegnere a distanza un veicolo mentre circolava per strada)

La materia è tanto delicata da essere guidata dal CISR (Comitato Interministeriale per la Sicurezza della Repubblica), presieduto dal Presidente del Consiglio, di cui fanno parte il Ministro degli Affari Esteri, il Ministro dell’Interno, il Ministro della Difesa, il Ministro della Giustizia, il Ministro dell’Economia e delle Finanze ed il Ministro dello Sviluppo Economico, con la partecipazione del Ministro per la Semplificazione e la Pubblica; è inoltre previsto il coinvolgimento del mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, così come una diffusa collaborazione con le imprese di settore.

Il Decreto Legislativo emanato è attuativo del regolamento europeo sulla sicurezza delle reti e dei sistemi informativi e recepisce la direttiva UE nota come NIS (Network and Information Security).

Il provvedimento persegue tre obiettivi principali:

  • promuovere una cultura di gestione del rischio e di segnalazione degli incidenti tra i principali attori economici, in particolare gli operatori che forniscono servizi essenziali per il mantenimento di attività economiche e sociali e i fornitori di servizi digitali
  • migliorare le capacità nazionali di cyber-security
  • rafforzare la cooperazione a livello nazionale e in ambito UE

Allo scopo di assicurare la continuità dei servizi essenziali (energia, trasporti, salute, finanza, eccetera) e dei servizi digitali (motori di ricerca, servizi cloud, piattaforme di commercio elettronico), il decreto, prevede l’adozione di misure tecnico-organizzative per ridurre il rischio e limitare l’impatto di incidenti informatici e l’obbligo di notifica di incidenti con impatto rilevante sulla fornitura dei servizi.

Vale la pena far notare che il caso di incidenti informatici che portino a perdita o danneggiamento di dati ci riguarda tutti in quanto inserito nel recente regolamento sulla Privacy di cui abbiamo avuto modo di parlare in un recente blog.

Parallelamente, il testo individua le Autorità competenti “NIS” i rispettivi compiti, svolti in cooperazione con le omologhe Autorità degli altri Stati membri, nonchè il Computer Security Incident Response Team (CSIRT) nazionale, con compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con gli altri CSIRT europei.

Se la materia è tanto importante e delicata, forse, anche in questo caso, vale la pena di fermarci un attimo per chiederci: “E noi come siamo messi?