Con l’approvazione del decreto legge sul perimetro nazionale della sicurezza cibernetica affrontiamo, come Paese, un tema strategico per la sicurezza ma anche straordinariamente ricco di opportunità per lo sviluppo economico. L’Italia agisce nei tempi giusti in un ambito delicato per affrontare la sfida del futuro su argomenti di assoluta quotidianità.
Non bisogna però trascurare alcuni elementi cruciali, di cui parlo approfonditamente su Agendadigitale.eu.
Il ruolo delle imprese e del Paese nella governance
È nell’interesse del Paese e delle imprese far si che funzioni bene la governance nazionale e globale del sistema. Le imprese impiegheranno un tempo per fare le certificazioni ma sara’ un tempo ben speso per la sicurezza anche delle imprese stesse, anche in considerazione del silenzio assenso nelle risposte degli organismi istituzionali.La sicurezza deve valere per tutti, a prescindere, evitando l’impatto negativo che l’esclusione o il pregiudizio geopolitico su soggetti di mercato, potrebbe avere nella fornitura di componentistica 5G a livello economico.
Il mio intervento in Aula: dichiarazione di voto su decreto cyber security
Il mio intervento integrale in Aula
Rassegna stampa su decreto cyber security- Enza Bruno Bossio
Cyber security, golden power rafforzato- Il Sole24ore
Cybersicurezza, Bruno Bossio (Pd): Decreto mette in sicurezza il Paese – DIRE
Cybersecurity, Bruno Bossio (Pd): Decreto mette in sicurezza Paese – Lapresse
Dl cybersecurity: ok camera con 269 sì e astensione opposizioni, passa al Senato – Radiocor
DL Cyber, Bruno Bossio (Pd): Mette in sicurezza Paese – 9colonne
Resoconto stenografico
Presidente, onorevoli colleghe e colleghi, con l’approvazione di questo decreto-legge, che riguarda il perimetro nazionale della sicurezza cibernetica, il Parlamento responsabilmente affronta un tema strategico e fondamentale, non solo, però, per la sicurezza, ma anche sotto il profilo dello sviluppo economico del Paese. Oggi, oltre alle quattro dimensioni in cui l’umanità ha tradizionalmente condotto le sue battaglie, il dominio cyber rappresenta quella quinta dimensione che probabilmente costituisce anche la più straordinaria opportunità di sviluppo. In termini generali, possiamo affermare oggi l’esistenza di una dipendenza generale del sistema globale da questa nuova dimensione. Lo spazio cibernetico rappresenta un network di copertura globale, che è, però, prima di tutto fattore di crescita, di ricchezza, di informazioni. Pensiamo per un attimo alle innovazioni tecnologiche più importanti di questi ultimi anni: Internet delle cose, big data, elaborati con gli strumenti di supercalcolo, machine learning, intelligenza artificiale; e poi le reti, fattore abilitante, e, in particolare la nuova rete 5G, che rappresenta una tecnologia altamente innovativa, che ridisegnerà profondamente i servizi di connettività, sia di tipo fisso che di tipo mobile, abilitando la diffusione pervasiva di oggetti che avranno la capacità di interagire con l’uomo, ma anche tra di loro, condividendo le conoscenze acquisite: impensabile fino a meno di un lustro fa. Intanto, per quanto riguarda l’Italia, tra l’altro, l’indice DESI 2019, che ci mette sempre agli ultimi posti, nel caso del 5G vede l’Italia al secondo posto, proprio grazie alla positiva collaborazione tra Stato e operatori. Quindi, dobbiamo realizzare questa compiuta ed efficace trasformazione digitale, sapendo che è un tema fondamentale per la sicurezza, senza perdere però la sfida della competitività internazionale. Le reti di telecomunicazioni sono appunto la piattaforma abilitante, e per questo la sicurezza di tale piattaforma, che affronta questo decreto, è di cruciale importanza: sia per lo Stato, nella declinazione dei pubblici poteri, che per il settore privato, ad iniziare dagli stessi operatori di servizi essenziali che usano le reti. Ma vediamo, però, qual è il punto in cui siamo nella problematica e nella governance della cybersicurezza. Non siamo all’anno zero. Certo, non è lontanissimo il tempo in cui l’Italia ha incominciato ad adeguarsi: il 2012 e 2013, con i primi quadri strategici e piani operativi; ma poi la governance effettiva viene disegnata con il Governo Gentiloni, nel 2017, che definisce e ridefinisce la catena di comando e controllo, realizzando quell’assetto della cybersecurity nazionale. Su questa complessa macchina organizzativa, che abbiamo comunque già delineato, si sono innestate le diverse norme europee: da quella del 2016, nota come regolamento GDPR, a quella sostanzialmente sulla sicurezza proprio delle reti, la direttiva NIS, fino al Cybersecurity Act. In particolare, lo scopo della direttiva NIS è stato proprio quello di innalzare la sicurezza cibernetica di quegli operatori pubblici e privati, che non sono soltanto quelli classici di trasporti acqua ed energie, ma anche di sanità, servizi bancari, mercati finanziari, collegati alle tecnologie dell’informazione e della comunicazione. In altre parole, quelle che un tempo si chiamavano infrastrutture critiche, oggi, nel linguaggio NIS, vengono definite come operatori di servizi essenziali. Abbiamo attuato quella direttiva con il decreto legislativo 18 maggio 2018 n. 65 e anche qui si è disegnato lo schema con le autorità nazionali competenti e soprattutto indicando il dipartimento delle informazioni per la sicurezza, il DIS, come punto di contatto unico rispetto all’Europa e anche rispetto alla situazione globale e creando presso la Presidenza del Consiglio dei ministri un unico computer security incident response team, cioè un centro di risposta all’incidente informatico che coordina sostanzialmente i CERT esistenti. Questo è lo scenario in cui si colloca il decreto sul perimetro di sicurezza nazionale cibernetica, e approdiamo a questo voto dopo un buon lavoro svolto non solo dal Governo, ma anche nelle Commissioni di merito e in Aula. D’altra parte, in queste fibre ci sono le nostre vite, la stessa vita pubblica della nostra comunità. Dobbiamo incominciare a ragionare su queste cose. Il rischio vero, come abbiamo visto quando abbiamo affrontato il provvedimento in Aula e in Commissione, è che queste norme, poste per la sicurezza nazionale, potessero essere da blocco a quegli investimenti. Non è stato così, perché il legislatore ha saputo svolgere la sua funzione. Molto utili sono state le audizioni che abbiamo svolto in Commissione, e inviterei i colleghi e i cittadini a leggere questi documenti depositati. D’altra parte, l’obiettivo del perimetro è quello di identificare e tutelare tutti quei servizi e relativi operatori, sia privati che pubblici, che svolgono un ruolo cruciale per gli interessi dello Stato e i cui malfunzionamenti potrebbero creare pregiudizi per la sicurezza nazionale. Così l’articolo 1 individua i soggetti inclusi nel perimetro di sicurezza nazionale attraverso un decreto del Presidente del Consiglio dei ministri, che deve essere emanato entro quattro mesi e che – è la modifica importante approvata in Commissione – deve avere il parere anche delle competenti Commissioni parlamentari entro trenta giorni. Allo stesso modo, il parere deve essere espresso sull’altro regolamento, da emanarsi entro dieci mesi, che invece definisce procedure, modalità e termini a cui devono attenersi le amministrazioni pubbliche. E, ancora, un altro fatto importante di questo decreto è la creazione del CVCN, che sostanzialmente ha il compito di verificare le condizioni di sicurezza e l’assenza di vulnerabilità dei prodotti, degli apparati, dei sistemi. Anche in questo caso è stato raggiunto un buon compromesso tra le esigenze di sicurezza e di verifica da parte degli organi dello Stato e gli operatori che devono rispondere a queste richieste entro i termini di legge e sostanzialmente con il silenzio-assenso. L’articolo 3 detta le disposizioni del raccordo con la normativa di esercizio dei poteri speciali sul 5G. L’articolo 4 estende l’ambito operativo della golden power e poi il famoso articolo 4-bis, introdotto con un emendamento del Governo, che disciplina questi poteri speciali inerenti le reti di telecomunicazioni con tecnologia 5G con norme analoghe a quelle previste del già decaduto decreto-legge n. 64 del 2019. Anche su questo articolo 4- bis si è ottenuto un primo positivo risultato nel confronto Governo-Commissioni in sede referente, con un accorciamento significativo delle tempistiche procedimentali, in linea con le esigenze istruttorie della PA, ma anche in linea con le esigenze delle aziende e con la promessa, contenuta nell’ordine del giorno approvato n. 9/2100-A/16 a mia prima firma, di istituire un vero e proprio tavolo tecnico-consultivo. Da questa prima impostazione – e finisco – però emergono due elementi, su cui bisognerà riflettere anche successivamente. La previsione dei provvedimenti attuativi che definiscono gli elementi cruciali del sistema e che devono essere realizzati entro i mesi effettivamente previsti, quattro e dieci, e la necessaria collaborazione con i soggetti obbligati. Ecco, alla luce della vastità e della complessità delle reti 5G e della superficie d’attacco da parte di malintenzionati, credo che sarebbe riduttivo, però, limitare l’analisi dei rischi per la sicurezza nazionale, ad esempio, alla provenienza dei fornitori delle apparecchiature e delle reti di accesso, come è avvenuto nel dibattito recente. Credo che con il decreto – che, ripeto, conclude un percorso – abbiamo un sistema chiaro dove la sicurezza deve valere per tutti a prescindere: deve funzionare il sistema così come è stato disegnato. D’altra parte, non mi pare che abbiamo guardato la provenienza del Paese d’origine del fornitore del motore di ricerca quando le nostre vite e la nostra reputazione sono state profilate e indicizzate o quando abbiamo affidato i nostri dati privati sulle piattaforme social. E, ancora, ci sarà da fare sicuramente sulla formazione, soprattutto delle competenze digitali, per i giovani, però possiamo dire che con questo provvedimento il nostro Paese sicuramente vede rafforzarsi le difese immunitarie in un ambito molto delicato e giunge per una volta nei tempi opportuni e non in emergenza. Questo è un segno di maturità e, quindi, per queste ragioni come gruppo PD esprimiamo parere favorevole.