Si scaldano i motori del Cvcn, il centro del Mise per la certificazione delle apparecchiature informatiche. Per i servizi è fondamentale lo screening tech per difendere le infrastrutture critiche
Se è vero che, come si suol dire, prevenire è meglio che curare, allora il compito di chi certifica se un apparato informatico è abbastanza sicuro per proteggere reti e infrastruttura strategiche diventa fondamentale. Ed è per questo che tra le priorità del piano di difesa cibernetica dell’Italia c’è quello di accendere i motori del Centro di valutazione e certificazione nazionale (Cvcn), ossia la squadra di esperti del ministero dello Sviluppo economico (Mise) che si occuperà di verificare che strumenti tecnologici per reti e servizi fondamentali per la vita quotidiana del Paese non siano fallati.
A prescriverlo è il decreto legge sulla sicurezza informatica. Quando un ente pubblico o una delle aziende incluse nel perimetro cyber nazionale, a cominciare da quelle che offrono servizi fondamentali per i cittadini (come acqua, luce, gas, ospedali, banche), dovrà fare acquisti informatici per aggiornare reti e computer, dovrà segnalarlo al Cvcn. Il quale, se fiuta un rischio, ha 30 giorni per imporre condizioni e test su hardware e software. E se necessario, può persino stracciare il contratto.
Aziende osservate speciali
Più che mai gli occhi del Dipartimento per informazioni sulla sicurezza sono puntati sulle aziende. Sia le 465 che, classificate come operatori dei servizi essenziali, sono dentro allo steccato della normativa europea Nis, sia le altre che saranno incluse nel perimetro cibernetico, entrato in vigore il 21 novembre. Ma anche le piccole e medie imprese, su cui i servizi vogliono allargare lo scudo dei controlli e delle difese.
Non a caso il Dis ha appena varato il nuovo portale dell’Ufficio centrale per la segretezza (Ucse), la “longa manus amministrativa” dei servizi, come l’ha definita il vicedirettore generale Bruno Valensise. Ossia l’organo che tiene i rapporti con le aziende che maneggiano forniture classificate e il cui sito è stato presentato a Milano, nella prima tappa di un tour per i capoluoghi italiani per spingere le aziende a investire in cybersecurity. Le forniture classificate sono un nodo strategico. Vedi alla voce sicurezza, aerospazio, telecomunicazioni. Devono essere pulite per garantire la resistenza degli apparati. D’altro canto le nuove norme sul golden power, ossia l’eccezione che il governo può sollevare all’acquisto di un’azienda italiana da parte di imprese extra-Ue, sono state estese a settori tecnologici strategici come nanotecnologie, semiconduttori, intelligenza artificiale e tecnologie dual-use.
Lo screening sulle tecnologie è per Roberto Baldoni, vicedirettore del Dis con delega alla cybersecurity, un passaggi tattico: “Il Cvcn dovrà lavorare su un procurement qualificato per le aziende e sugli elementi di rischio per le reti”. E, ora, “fatto il perimetro, si devono fare i sevizi”, aggiunge il cyber zar. Ossia mettere in campo strumenti tecnologici per il controllo e la difesa informatica del Paese, come cloud, intelligenza artificiale e internet delle cose.
Potrebbe interessarti anche