Il Perimetro di Sicurezza Nazionale Cibernetica, altrimenti detto PSNC, è stato pubblicato in Gazzetta Ufficiale a novembre 2019. Oggi, visto anche l’approssimarsi del termine per recepire la nuova direttiva NIS2, il tema della sicurezza nazionale è più urgente che mai. Il PSNC fa parte degli sforzi da tempo attuati per tutelare lo spazio cibernetico da minacce informatiche sempre più avanzate. A differenza della NIS2, che istituisce un sistema comune a livello UE, l’ambito di applicabilità del PSNC è esclusivamente nazionale.

Che cos’è il PSNC

Il PSNC è una normativa nata dalla necessità di proteggere le reti, i sistemi informativi e i servizi informatici da cui dipende l’esercizio di una funzione o di un servizio essenziali dello Stato. Un potenziale attacco verso questi sistemi, con eventuale interruzione dell’operatività e dell’erogazione del servizi, può pregiudicare la sicurezza nazionale. Il principale obiettivo del PSNC è quindi quello di garantire la sicurezza di soggetti pubblici e privati fondamentali per lo Stato.

Le funzioni e i servizi essenziali individuati dal PSNC

Il PSNC coinvolge una vasta gamma di soggetti, tra cui amministrazioni pubbliche, enti e aziende private che abbiano sede sul territorio nazionale e che operino in settori strategici. I settori individuati dalla normativa sono: governativo; interno; difesa; spazio e aerospazio; energia; telecomunicazioni; economia e finanza; trasporti; servizi digitali; tecnologie critiche; enti previdenziali/ lavoro. Si tratta di settore il cui malfunzionamento potrebbe pregiudicare l’ordine pubblico, la difesa e l’autonomia dello Stato, nonché il funzionamento dei servizi economico-finanziari e dei trasporti

Questi soggetti, identificati dal governo, hanno l’obbligo di adottare misure di sicurezza cibernetica specifiche e di rispettare determinati standard per proteggere le loro infrastrutture critiche. È l’ACN (Agenzia per la Cybersicurezza Nazionale) che si occupa di notificare, con assoluta segretezza, ai soggetti coinvolti l'appartenenza al Perimetro.

Le misure di sicurezza

Le misure di sicurezza previste dal PSNC includono:

• politiche di valutazione e gestione del rischio: ogni soggetto deve effettuare una valutazione del rischio cibernetico per identificare le vulnerabilità delle proprie infrastrutture.
• Piani di sicurezza: devono essere elaborati piani di sicurezza con misure tecniche da adottare per mitigare i rischi identificati e prevenire gli incidenti.
• Misure di protezione: i soggetti devono implementare delle misure per proteggere la sicurezza dei dati.
• Monitoraggio continuo e proattivo: per rilevare tempestivamente eventuali attacchi o anomalie.
• Incident response: devono essere stabilite procedure accurate per la gestione degli incidenti cibernetici.

La risposta agli incidenti deve includere anche la segnalazione tempestiva alle autorità competenti. Nello specifico, un incidente con impatto sui beni ICT deve essere notificato entro il termine di 1 o 6 ore al CSIRT (ossia il soggetto, istituito dall’ACN, che si occupa di monitorare gli incidenti informatici a livello nazionale).

La cybersicurezza come dovere comune

Il Perimetro di Sicurezza Nazionale Cibernetica è una risposta necessaria e strategica alle crescenti minacce cibernetiche che l’Italia e il mondo intero affrontano quotidianamente. Attraverso misure di sicurezza rigorose, valutazioni del rischio, monitoraggio continuo e una gestione efficace degli incidenti, il PSNC mira a proteggere le infrastrutture critiche e a garantire la sicurezza nazionale. Il messaggio è chiaro: qualsiasi minaccia alla sicurezza di un’organizzazione, può riflettersi sulla sicurezza di tutto lo Stato. Ecco quindi che aggiornare e potenziare l’infrastruttura informatica diventa fondamentale per il bene comune.