Il Perimetro di sicurezza nazionale cibernetica (PSNC) è un articolato sistema di misure, regole e procedure istituito per assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici dal cui funzionamento dipende l’esercizio di funzioni e servizi essenziali dello Stato e il cui malfunzionamento, interruzione, anche parziali, ovvero l’utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale. Il PSNC è stato istituito dal decreto-legge 21 settembre 2019, n. 105 (convertito nella n. 133 del 2019).
Le regole del Perimetro si applicano solo a taluni soggetti selezionati all’esito di una procedura che si articola su tre fasi: per prima cosa, le Amministrazioni individuano quali sono le funzioni essenziali (per esempio governo, sicurezza, difesa, giustizia, trasporti) e i servizi essenziali (attività che consentono l’esercizio delle funzioni essenziali o che presentano particolare rilievo economico e sociale);
dopodiché, vengono identificati i soggetti pubblici o privati che assicurano o esercitano queste funzioni; infine, vengono individuati i Beni ICT (reti, sistemi informativi e servizi informatici) dal cui regolare funzionamento dipende l’esercizio continui delle funzioni e dei servizi identificati come essenziali.
Dunque, le regole del PSNC si rivolgono in particolare alla tutela dei beni ICT: i soggetti inclusi nel Perimetro sono tenuti a individuare e mantenere aggiornato l’elenco dei beni ICT considerati strategici per l’erogazione delle funzioni e dei servizi essenziali. Su tali beni si applicano rigorose misure di sicurezza, definite da specifici decreti attuativi, che comprendono la valutazione e gestione del rischio, l’adozione di piani di sicurezza, il monitoraggio continuo delle infrastrutture e la predisposizione di procedure per la gestione degli incidenti cibernetici allo scopo di assicurare la sicurezza delle funzioni e dei servizi essenziali dello Stato e, con esse, tutelare la sicurezza nazionale.
Per evitare la compromissione dei beni ICT, è previsto che ogni acquisizione di beni, sistemi e servizi destinati agli asset strategici sia sottoposta a una comunicazione preventiva al Centro di Valutazione e Certificazione Nazionale, che ne verifica la conformità agli standard di sicurezza richiesti. Inoltre, ogni incidente che impatti su questi beni deve essere notificato tempestivamente al CSIRT Italia, consentendo così una risposta coordinata e tempestiva agli eventi che potrebbero mettere a rischio la continuità operativa. Il quadro di tutela si completa con l’obbligo di sottoporre i beni ICT a valutazioni tecniche e verifiche periodiche, assicurando che le misure adottate siano sempre adeguate rispetto all’evoluzione delle minacce cibernetiche.
In questo modo, la protezione dei beni ICT si traduce in un insieme di azioni preventive e reattive che riducono la probabilità di compromissione e rafforzano la resilienza delle infrastrutture digitali critiche del Paese.
L’Autorità che regola e vigila sul Perimetro è l’Agenzia per la cybersicurezza nazionale (ACN), alla quale la legge affida il ruolo centrale nel coordinare le attività di prevenzione, monitoraggio e risposta agli incidenti, nonché nell’aggiornamento periodico delle misure di sicurezza e nella promozione della cooperazione tra pubblico e privato.