È stata pubblicata sulla Gazzetta Ufficiale n. 272 del 20
novembre 2019 la Legge 18 novembre 2019, n. 133 recante
"Conversione in legge, con modificazioni, del decreto-legge 21
settembre 2019, n. 105, recante disposizioni urgenti in materia di
perimetro di sicurezza nazionale cibernetica".
Il decreto legge, che entra ufficialmente in vigore il 22
novembre 2019, ha l'obiettivo di assicurare un livello
elevato di sicurezza delle reti, dei sistemi informativi e
dei servizi informatici delle amministrazioni pubbliche, degli enti
e degli operatori pubblici e privati aventi una sede nel territorio
nazionale , da cui dipende l'esercizio di una funzione essenziale
dello Stato, ovvero la prestazione di un servizio essenziale per il
mantenimento di attività civili, sociali o economiche fondamentali
per gli interessi dello Stato e dal cui malfunzionamento,
interruzione, anche parziali, ovvero utilizzo improprio, possa
derivare un pregiudizio per la sicurezza nazionale, è istituito il
perimetro di sicurezza nazionale cibernetica.
La nuova versione del decreto legge post conversione in legge è
composta dai seguenti articoli:
- Art. 1 - Perimetro di sicurezza nazionale
cibernetica
- Art. 2 - Personale per esigenze di
funzionamento del CVCN e della Presidenza del Consiglio dei
ministri
- Art. 3 - Disposizioni in materia di reti di
telecomunicazione elettronica a banda larga con tecnologia 5G
- Art. 4 - (Soppresso).
- Art. 4-bis - Modifiche alla disciplina dei
poteri speciali nei settori di rilevanza strategica
- Art. 5 Determinazioni del Presidente del
Consiglio dei ministri in caso di crisi di natura cibernetica
- Art. 6 - Copertura finanziaria
- Art. 7 - Entrata in vigore
Scadenze
Entro il 22 marzo 2020, con decreto del
Presidente del Consiglio dei ministri, adottato su proposta del
Comitato interministeriale per la sicurezza della Repubblica (CISR)
sono individuati le amministrazioni pubbliche, gli enti e gli
operatori pubblici e privati aventi una sede nel territorio
nazionale, inclusi nel perimetro di sicurezza nazionale
cibernetica.
Entro il 22 settembre 2020, con decreto del
Presidente del Consiglio dei ministri, che disciplina altresì i
relativi termini e modalità attuative, adottato su proposta del
CISR:
- sono definite le procedure secondo cui i soggetti notificano
gli incidenti aventi impatto su reti, sistemi informativi e servizi
informatici al Gruppo di intervento per la sicurezza informatica in
caso di incidente (CSIRT) italiano, che inoltra tali notifiche,
tempestivamente, al Dipartimento delle informazioni per la
sicurezza anche per le attività demandate al Nucleo per la
sicurezza cibernetica;
- sono stabilite misure volte a garantire elevati livelli di
sicurezza delle reti, dei sistemi informativi e dei servizi
informatici, tenendo conto degli standard definiti a livello
internazionale e dell'Unione europea, relative:
- alla struttura organizzativa preposta alla gestione della
sicurezza;
- alle politiche di sicurezza e alla gestione del rischio;
- alla mitigazione e gestione degli incidenti e alla loro
prevenzione, anche attraverso interventi su apparati o prodotti che
risultino gravemente inadeguati sul piano della sicurezza;
- alla protezione fisica e logica e dei dati;
- all'integrità delle reti e dei sistemi informativi;
- alla gestione operativa, ivi compresa la continuità del
servizio;
- al monitoraggio, test e controllo;
- alla formazione e consapevolezza;
- all'affidamento di forniture di beni, sistemi e servizi di
information and communication technology (ICT), anche mediante
definizione di caratteristiche e requisiti di carattere generale,
di standard e di eventuali limiti.
Con regolamento, adottato entro il 22 settembre
2020, sono disciplinati le procedure, le modalità e i
termini con cui:
- i soggetti ovvero le centrali di committenza alle quali essi
fanno ricorso, che intendano procedere all'affidamento di forniture
di beni, sistemi e servizi ICT destinati a essere impiegati sulle
reti, sui sistemi informativi e per l'espletamento dei servizi
informatici, appartenenti a categorie individuate, sulla base di
criteri di natura tecnica, con decreto del Presidente del Consiglio
dei ministri, da adottare sempre entro il 22 settembre
2020, ne danno comunicazione al Centro di
valutazione e certificazione nazionale
(CVCN), istituito presso il Ministero dello
sviluppo economico;
- i soggetti individuati quali fornitori di beni, sistemi e
servizi destinati alle reti, ai sistemi informativi e ai servizi
informatici, assicurano al CVCN e, limitatamente agli ambiti di
specifica competenza, ai Centri di valutazione operanti presso i
Ministeri dell'interno e della difesa, la propria collaborazione
per l'effettuazione delle attività di test, sostenendone gli
oneri.
Nuove assunzioni a tempo indeterminato
Per svolgere le attività previste per il funzionamento del CVCN,
il Ministero dello Sviluppo Economico è
autorizzato ad assumere a tempo indeterminato, con incremento della
vigente dotazione organica nel limite delle unità eccedenti, in
aggiunta alle ordinarie facoltà assunzionali, un contingente
massimo di settantasette unità di personale, di
cui sessantasette di area terza e dieci di area seconda, nel limite
di spesa di euro 3.005.000 annui a decorrere dall'anno 2020.
Per lo svolgimento delle funzioni in materia di
digitalizzazione, la Presidenza del Consiglio dei ministri è
autorizzata ad assumere con contratti di lavoro a tempo
indeterminato, in aggiunta alle ordinarie facoltà assunzionali e
con corrispondente incremento della dotazione organica, un
contingente massimo di dieci unità di personale non
dirigenziale, da inquadrare nella categoria funzionale A,
parametro retributivo F1, nel limite di spesa di euro 640.000 annui
a decorrere dall'anno 2020.
Il reclutamento del personale avverrà mediante uno o più
concorsi pubblici.
A cura di Redazione
LavoriPubblici.it
© Riproduzione riservata