“Individuazione delle categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica” ecco quanto recita il decreto 15 Giugno 2021 pubblicato in Gazzetta Ufficiale, un passo avanti per l‘architettura cyber italiana.
Quello del 15 Giugno è il decreto che individua le categorie per le quali si deve effettuare immediata comunicazione al CVCN (Centro di Valutazione e Certificazione Nazionale) o ai CV (Centri di Valutazione) del Ministero dell’Interno, da parte dei soggetti inclusi nel Perimetro che acquistano beni o servizi ICT. Essi devono comunicare a chi di dovere, la volontà di effettuare tali acquisti, in caso rientrino nelle categorie del decreto.
Obiettivo
Beni, sistemi e servizi di ogni categoria possono diventare linea guida per gli operatori che vogliano dotarsi di apparati specifici per implementare le funzioni definite all’interno, aumentando la propria cyber security.
Obiettivo principale del decreto è sviluppare l’architettura della cyber security nazionale per aumentare la sicurezza a protezione degli asset strategici per il paese. Dentro a questo processo si trova l’istituzione della nuova Agenzia per la Cybersicurezza Nazionale (ACN), la quale ha ripristinato la cybersicurezza in Italia, prendendo il controllo anche del CVCN.
Le sei funzioni di strumenti e servizi
Commutazione e protezione
Controllo
Monitoraggio
Autenticazione
Implementazione
I criteri sopracitati si basano sulle funzioni che i beni o servizi dovrebbero svolgere. Le categorie comprese nel Perimetro di sicurezza nazionale cibernetica sono 4 e sono le seguenti:
- Componenti hardware e software che svolgono funzionalità per la sicurezza delle reti di telecomunicazione (accesso, trasporto, commutazione);
- Componenti hardware e software che svolgono funzionalità per la sicurezza delle reti di telecomunicazione e dei dati da esse trattati;
- Componenti hardware e software per acquisizione dati, monitoraggio, supervisione e controllo, attuazione e automazione di reti di telecomunicazione e sistemi industriali e infrastrutturali;
- Applicativi software per l’implementazione di meccanismi di sicurezza.
Per ognuna di queste categorie è previsto uno specifico elenco di beni, sistemi o servizi che si aggiornerà annualmente.
Nella prima troviamo tutte le componenti hardware e software garanti di servizi di rete di telecomunicazione come: router, switch e ripetitori, oppure il 5G e l’IoT.
Nella seconda si fa riferimento a componenti che prevedono la sicurezza dei dati come: sistemi SCADA (Supervisory Control and Data Acquisition) oppure componenti avanzate legate al 5G o all’intelligenza artificiale.
Nella terza categoria si ha l’obiettivo di garantire operatività delle fasi del ciclo di vita dei sistemi e le componenti sono quelle comprese nella seconda categoria.
Nella quarta ed ultima categoria si riscontrano invece gli strumenti garanti della sicurezza, i quali gestiscono chiavi crittografiche pubbliche.
Hai una domanda per l'autore?
Clicca qui per leggere il decreto
