Il Consiglio di Stato ha reso il parere sul decreto del Presidente della Repubblica in materia di perimetro di sicurezza nazionale cibernetica

• Cons. St., sez. atti norm., 26 ottobre 2020, n. 1664 - Pres. Volpe, Estt. Carpentieri, Chinè

Scienza – Cibernetica - Sicurezza nazionale cibernetica – Schema di decreto ex art. 1, comma 6, d.l. n. 105 del 2019. 

​​​​​​
    Il Consiglio di Stato ha reso il parere sullo schema di decreto del Presidente della Repubblica recante attuazione dell'art. 1, comma 6, d.l. 21 settembre 2019, n. 105, convertito, con modificazioni, dalla l. 18 novembre 2019, n. 133 in materia di perimetro di sicurezza nazionale cibernetica (1).

(1) Lo schema di decreto in esame attua in particolare le previsioni del comma 6, lettere a), b) e c), dell’art. 1, d.l. 21 settembre 2019, n. 105, convertito, con modificazioni, dalla l. 18 novembre 2019, n. 133. 
Il comma 6, nelle tre lettere ora dette, demanda a un regolamento, da adottarsi ai sensi dell'art. 17, comma 1, l. 23 agosto 1988, n. 400 entro dieci mesi dalla data di entrata in vigore della legge di conversione del decreto-legge, tre compiti normativi: 1) definire le procedure, le modalità e i termini [lettera a)] ai quali devono attenersi i soggetti pubblici e privati inclusi nel perimetro di sicurezza nazionale cibernetica che intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici, appartenenti (le forniture) a categorie da individuarsi, sulla base di criteri di natura tecnica, da un apposito decreto del Presidente del Consiglio dei ministri (che dovrà essere emanato anch’esso entro il medesimo termine di 10 mesi dall'entrata in vigore della norma di conversione del decreto-legge); 2) stabilire le procedure, le modalità e i termini [lettera b)] con cui i fornitori dei suddetti beni, sistemi e servizi destinati alle reti, ai sistemi e ai servizi rilevanti assicurano la propria collaborazione al Centro di valutazione e certificazione nazionale (CVCN) e ai Centri di valutazione (CV) del Ministero della difesa e del Ministero dell’interno, per quanto di rispettiva competenza, per l’effettuazione delle attività di test, sostenendone gli oneri; 3) definire [lettera c)] le procedure, le modalità e i termini con i quali il Ministero dello sviluppo economico e la Presidenza del Consiglio dei Ministri, negli ambiti rispettivamente loro assegnati nel perimetro, svolgono le attività di ispezione e verifica in relazione a quanto previsto dal decreto-legge.

Ha ricordato la Sezione di aver avuto occasione di recente di occuparsi della tematica degli strumenti attuativi dell’art.1, d.l. n. 105 del 2019 in materia di perimetro di sicurezza nazionale cibernetica, pronunciandosi (con il parere n. 983  del 26 maggio 2020) sullo schema di decreto del Presidente del Consiglio dei ministri adottato in attuazione dell'articolo 1, comma 2, del predetto d.l. n. 105 del 2019, per la definizione delle modalità e dei criteri procedurali di individuazione delle amministrazioni pubbliche, degli enti e operatori pubblici e privati, aventi una sede nel territorio nazionale, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti dalla nuova normativa di sicurezza, nonché per la definizione dei criteri con i quali i suddetti soggetti devono predisporre e aggiornare annualmente un elenco delle reti, dei sistemi informativi e dei servizi informatici, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica.
In quella occasione la Sezione aveva evidenziato come la norma primaria sul perimetro di sicurezza nazionale cibernetica avesse previsto un percorso attuativo  scandito attraverso cinque decreti del Presidente del Consiglio dei ministri e un regolamento governativo, essendo in particolare previsti, oltre al d.P.C.M. in quella sede esaminato, un secondo decreto del Presidente del Consiglio dei ministri (previsto dal comma 2-bis), di natura provvedimentale, di definizione dell’elenco dei soggetti individuati ai sensi del comma 2, lettera a); un terzo decreto (comma 3), da adottarsi entro dieci mesi dalla data di entrata in vigore della legge di conversione del d.l. n. 105 del 2019, di disciplina dei termini e delle modalità attuative delle procedure secondo cui i soggetti di cui al comma 2-bis notificano al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui al comma 2, lettera b), e sono altresì stabilite le misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici; quindi (comma 6) un regolamento governativo, che è quello che viene all’odierno esame della Sezione, da adottarsi entro dieci mesi dalla data di entrata in vigore della legge di conversione del decreto-legge, per la disciplina delle procedure, delle modalità e dei termini con cui i soggetti di cui al comma 2-bis danno comunicazione al CVCN delle procedure per l'affidamento di forniture di beni, sistemi e servizi ICT e i soggetti individuati quali fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici di cui al comma 2, lettera b), assicurano la propria collaborazione per l'effettuazione delle attività di test di sicurezza, etc.; un quarto d.P.C.M. [lettera a) del comma 6] per l’individuazione, sulla base di criteri di natura tecnica, delle categorie di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici assoggettati all’obbligo di comunicazione; infine, un quinto d.P.C.M. [previsto dalla lettera b) del comma 7] di verifica.
​​​​​​​Il primo d.P.C.M., quello previsto dal comma 2 dell’art. 1, sul quale la Sezione già si è espressa con il richiamato parere n. 983 del 2020, ma che non risulta ancora adottato (e della cui adozione nulla si dice nella relazione illustrativa), presenta contenuti logicamente precedenti rispetto a quelli introdotti e disciplinati con il presente schema di d.P.R. Il primo d.P.C.M., infatti, definisce l’ambito soggettivo e oggettivo del perimetro di sicurezza nazionale cibernetica, poiché definisce i soggetti pubblici e privati inclusi nel perimetro tenuti al rispetto delle sue regole e definisce altresì l’oggetto, ossia l’elenco delle reti, dei sistemi informativi e dei servizi informatici, stabilendo anche la competenza dei vari ministeri e organismi statali. Non è un caso, d’altra parte, che nel comma 1 dell’art. 1 di questo schema di d.P.R., tra le definizioni, nelle lettere c) e d), è richiamato proprio il suddetto d.P.C.M.