Si chiama “Invarianza finanziaria”. Viene introdotta quando si stabilisce che una nuova attività stabilita per legge non debba produrre nuovi o maggiori oneri per la finanza pubblica o per le amministrazioni pubbliche. Le quali, dovendo comunque provvedere ai nuovi obblighi, possono solo ricorrere a risorse umane, finanziarie e strumentali disponibili a legislazione vigente. L’idea che la sicurezza cibernetica si ottenga “aggratis” è un potente ossimoro. Ma è quanto stabilisce il DPR sulla sicurezza cibernetica nazionale, all’esame del Consiglio dei Ministri. Per evitare equivoci, precisiamo che il DPR sulla sicurezza cibernetica è stato predisposto per dare attuazione al comma 6 dell’art. 1 del decreto-legge 21 settembre 2019, n. 105. Il quale è poi stato convertito, con modificazioni, dalla legge n. 133 del 18 novembre 2019. Il DPR, una volta varato dal Consiglio dei Ministri, dovrà andare in Parlamento e acquisire i pareri dalle Commissioni competenti. L’iter descritto ci permette di ipotizzare che lungo la strada verranno modificate tante cose. Ma intanto una bozza di testo c’è.
Questo testo dice che la sicurezza cibernetica è un bene della Res Pubblica è che pertanto viene posto fine all’autarchia regnante. Ci mancherebbe. L’obiettivo di garantire una infrastruttura solida e sicura, sotto il pieno controllo dello Stato, che assicuri la connettività strategica della Nazione a tutti i livelli di Pubblica Amministrazione, centrale e locale ha una sua storia precisa ed è commentata da Roberto Garagozzo nel “messaggio in bottiglia” di oggi. La lettura permette di inquadrare bene i pasticci fin qui accumulati a cui, ahimè, dovranno essere aggiunti quelli di prossimo avvento.
La macchina della sicurezza, articolata in Laboratori accreditati di prova (Lap) e Centri di valutazione e certificazione nazionale (Cvcn) è presidiata da professionisti… individuati dalle autorità competenti, le quali istituiscono un elenco del personale incaricato “il quale, ove necessario, deve essere in possesso della abilitazione”. Se comprendiamo bene, un corso più o meno approfondito sfornerà i nuovi abilitati alle verifiche.
Questo personale formato e abilitato assumerà la funzione di ispettorato e verifica non prima di aver compilato una autodichiarazione che escluda l’esistenza di conflitti di interessi; nel caso in cui ispezioni e verifiche si presentino difficili, il verificatore senza conflitti di interesse ed eventualmente in possesso di abilitazione può avvalersi di altro personale dipendente più esperto soprattutto in sede di ispezioni che andranno sempre svolte dopo le verifiche dopo aver nominato un incaricato in possesso di professionalità e di competenze nella materia della sicurezza cibernetica quale unico referente per le attività di verifica e ispezione. Il procedimento di verifica non può durare più di 90 giorni; quello di ispezione 60.
Adesso, con uno sforzo di fantasia, chiudiamo gli occhi e immaginiamo una verifica seguendo scrupolosamente quanto previsto dal testo del DPR. Primo, le verifiche sono effettuate mediante analisi e controllo documentale delle evidenze e di ogni altro elemento di fatto e di diritto, al fine di accertare l’adempimento degli obblighi previsti dal decreto- legge e dai relativi decreti attuativi. Secondo, è possibile richiedere ulteriore documentazione al responsabile aziendale della sicurezza ed entro 30 giorni dalla ricezione della richiesta, il responsabile deve rendere disponibile quanto richiesto, secondo le modalità indicate nella richiesta. Qualora tali informazioni o documentazione, risultino incomplete o incongruenti, il responsabile del procedimento può richiedere ulteriori chiarimenti e integrazioni e li deve ottenere entro 15 giorni “dalla ricezione della richiesta.
L’attività del verificatore deve produrre apposito verbale redatto dal personale incaricato e debitamente formato e autocertificato affinchè il responsabile del procedimento possa prendere visione delle evidenze verbalizzate. Dall’altro capo della operatività, a monte del verbale, il responsabile del procedimento di ispezione dovrà darne avviso ai soggetti ispezionati con un anticipo di 15 giorni attraverso una comunicazione che deve indicare date e siti da ispezionare; persone, ruoli e responsabili da audire nonché le reti, i sistemi informativi e i servizi informatici da sottoporre ad ispezione.
E qualora il soggetto avesse difficoltà a far condurre l’ispezione nei giorni stabiliti, ha la possibilità di proporre date alternative purchè non superiori a 15 giorni di differimento differimento dell’ispezione. Oppure può proporre un piano ex novo ma il piano non può subire slittamenti.
In un soprassalto di concretezza, il DPR stabilisce che durante l’ispezione deve essere garantita ogni attività ispettiva anche se non era stata preventivamente ed esplicitamente indicata, compreso l’accesso ai locali e ai dispositivi.
Potrebbe verificarsi il caso in cui si acquisisca durante l’ispezione una notevole mole di dati. Che fare? Semplice. Attendere che il personale incaricato proceda all’esame e alla verbalizzazione “in tempi sucessivi.
Esiste un concetto che, in Italia, sembra ignoto ai più, un concetto che si potrebbe definire con il nome di Rete Nazionale Sicura. Qui non c’entra la Rete Unica di cui tanto si parla in questi giorni.
Ma un concetto simile non sarà certo garantito da un reticolo di articoli come quelli che abbiamo sommariamente passato in rassegna.
