E' stato pubblicato sulla Gazzetta Ufficiale del 21.9.2019 il Decreto Legge n. 105 del 21 settembre 2019 contenente disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica.

Il provvedimento prevede una serie di importanti obblighi in capo alle amministrazioni pubbliche, agli enti e agli operatori nazionali, pubblici e privati, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attivita' civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

Tali soggetti, che dovranno essere specificamente individuati con decreto del Presidente del Consiglio dei Ministri e, per l'effetto, rientreranno nel perimetro di sicurezza nazionale cibernetica, avranno i seguenti obblighi:

1. Predisposizione e aggiornamento di un elenco delle reti, dei sistemi informativi e dei servizi informatici dal cui malfunzionamento, interruzione o utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale;

2. notifica di incidenti;

3. adozione di misure di sicurezza volte a garantire elevati livelli di sicurezza, da individuarsi con decreto del Presidente del Consiglio dei Ministri.

Naturale il parallelismo con gli obblighi di notifica di incidente e di adozione di misure minime di sicurezza previste dalla Direttiva NIS, obblighi introdotti nell'ordinamento italiano con d.lgs. n. 65 del 18 maggio 2018 ed applicabili ai 'Fornitori di Servizi Digitali' ed agli 'Operatori di Servizi Essenziali', poi individuati dal Ministero dello Sviluppo Economico.

Il decreto legge 105/2019 in commento prevede, come auspicabile, delle misure di coordinamento con le previsioni del d.lgs. n. 65/2018 al fine di evitare inutili duplicazioni di obblighi: (i) relativamente alle misure di sicurezza, i soggetti NIS saranno tenuti ad adottare misure di livello almeno equivalente a quelle previste nei decreti attuativi del decreto legge 105/2019; (ii)l'obbligo di notifica in caso di incidente, previsto in capo ai soggetti NIS, potrà  essere assolto con la notifica ai sensi delle nuove disposizioni.

Novità  assoluta - rispetto alla Direttiva NIS - rappresenta la previsione del comma VI dell'art. 1 d.l. n. 105/2019 laddove prevede che i soggetti rientranti nel perimetro di sicurezza nazionale cibernetica che intendono procedere all'affidamento di forniture di beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti, sistemi e per l'espletamento di servizi informatici ne debbano dare comunicazione al Centro di Valutazione e Certificazione Nazionale (CVCN) che potrà  imporre condizioni e test hardware e software prevedendo, tra l'altro, obblighi di collaborazione in capo ai fornitori di tali beni, sistemi e servizi ed ampliando quindi, ovviamente limitatamente ad alcune previsioni, l'ambito di applicazione delle previsioni del d.l. stesso che viene allargato appunto ai fornitori "strategici" degli enti rientranti nel perimetro di sicurezza nazionale cibernetica.

Si prevedono poi rilevanti sanzioni amministrative in capo ai soggetti destinatari delle previsioni, ossia gli enti rientranti nel perimetro di sicurezza cibernetica ed i loro fornitori, questi ultimi limitatamente agli obblighi di collaborazione con il CVCN agli stessi imposti - nonchè una nuova figura di reato, che costituisce altresì reato presupposto ai sensi del d.lgs. n. 231/2001, che punisce Chiunque, allo scopo di ostacolare o condizionare l'espletamento dei procedimenti di cui al comma 2, lettera b), o al comma 6, lettera a), o delle attivita' ispettive e di vigilanza previste dal comma 6, lettera c), fornisce informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l'aggiornamento degli elenchi di cui al comma 2, lettera b), o ai fini delle comunicazioni di cui al comma 6, lettera a), o per lo svolgimento delle attivita' ispettive e di vigilanza di cui al comma 6), lettera c) od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto.

La nuova fattispecie di reato potrà  essere commessa ad una prima valutazione - non solo da soggetti funzionalmente collegati ad enti rientranti nel perimetro di sicurezza cibernetica, ma da chiunque, per qualsiasi ragione, sia coinvolto: (i) nel processo di censimento delle reti, sistemi informativi e servizi informatici degli enti rientranti nel perimetro; (ii) nella valutazione dei rischi e test da parte del CVCN dei beni e servizi ICT destinati agli enti rientranti nel perimetro; (iii) nelle attività  ispettive e di vigilanza da parte della Presidenza del Consiglio dei Ministri e del Ministero dello Sviluppo Economico. Rientrano senz'altro pertanto tra i soggetti potenzialmente a rischio tutti i fornitori o consulenti di enti rientranti nel perimetro nazionale di sicurezza cibernetica.

Non resta che attendere la legge di conversione ed i decreti attuativi risultando la quasi totalità  delle previsioni in commento condizionata all'emanazione di provvedimenti attuativi a valle della legge di conversione.