CAMERA DEI DEPUTATI
Mercoledì 13 novembre 2019
273.
XVIII LEGISLATURA
BOLLETTINO
DELLE GIUNTE E DELLE COMMISSIONI PARLAMENTARI
Commissioni Riunite (I e IX)
COMUNICATO
Pag. 10

SEDE REFERENTE

  Mercoledì 13 novembre 2019. — Presidenza del presidente della I Commissione Giuseppe BRESCIA. – Interviene il sottosegretario di Stato per i rapporti con il Parlamento Gianluca Castaldi.

  La seduta comincia alle 10.20.

DL 105/2019: Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica.
C. 2100-B Governo, approvato dalla Camera e modificato dal Senato.

(Seguito esame e rinvio).

  La Commissione prosegue l'esame del provvedimento, rinviato nella seduta del 12 novembre 2019.

  Giuseppe BRESCIA, presidente, avverte che sono state presentate 24 proposte emendative (vedi allegato).
  Fa inoltre presente che tre ulteriori proposte emendative sono state considerate irricevibili, in quanto riferite a parti del provvedimento non modificate dal Senato. Ricorda infatti che, trattandosi di un provvedimento già approvato dalla Camera in prima lettura e successivamente modificato dal Senato, ai sensi dell'articolo 70, comma 2, del Regolamento, possono essere presentati emendamenti solo sulle parti modificate dal Senato, ovvero direttamente conseguenti a tali modificazioni.
  Rammenta altresì che il provvedimento è inserito nel calendario dei lavori dell'Assemblea a partire dalle 16 di oggi, atteso che il termine di conversione del decreto – legge scadrà il 20 novembre prossimo e che pertanto l'esame in sede referente da parte delle Commissioni dovrà concludersi Pag. 11nella seduta di oggi, con il conferimento del mandato ai relatori, Fiano e Scagliusi a riferire sul provvedimento all'Assemblea.
  Invita quindi i relatori e il rappresentante del Governo a esprimere il parere sulle proposte emendative presentate.

  Emanuele FIANO (PD), relatore per la I Commissione, anche a nome del relatore per la IX Commissione, Scagliusi, esprime parere contrario sull'emendamento Iezzi 1.1, ritenendo che il termine «tecnica», attualmente previsto, sia più appropriato.
  Esprime parere contrario sull'emendamento Mollicone 1.2, facendo notare come le finalità siano già indicate all'articolo 1, comma uno, e attengono alla sicurezza nazionale.
  Esprime parere contrario sull'emendamento Iezzi 1.3, evidenziando come la previsione in esso contenuta sia incoerente con il sistema dei procurement nell'ambito del perimetro, facendo riferimento all'autorità competenti NIS che non ne fanno parte. Fa notare il collegamento tra le due normative (perimetro e NIS) è comunque previsto dall'articolo 1, comma 8.
  Esprime parere contrario sull'emendamento Iezzi 1.4, facendo notare che le reti, i sistemi informativi e i servizi informatici rilevanti per le finalità della normativa sono indicati all'articolo 1, comma 1.
  Esprime parere contrario sull'emendamento Iezzi 1.5, osservando che il sistema è imperniato sul CVCN, cui si affiancano i Ce.Va dell'Interno della difesa.
  Esprime parere contrario sull'emendamento Zanella 1.6, facendo notare che gli oneri per il funzionamento del Ce.Va del Ministro dell'interno sono previsti da apposita disposizione. Esprime parere contrario sull'emendamento Iezzi 1.7, dal momento che appare corretta l'attuale formulazione, che prevede un giudizio di conformità.
  Esprime parere contrario sull'emendamento Iezzi 1.8, rilevando come la valutazione che consente, in casi eccezionali, la mancata conformità ai livelli di sicurezza del perimetro sia quella che riguarda la non compatibilità con gli impegni specifici cui sono destinate le forniture.
  Esprime parere contrario sull'emendamento Iezzi 1.9, per le stesse ragioni indicate in relazione all'emendamento Iezzi 1.5, esprimendo poi parere contrario sull'emendamento Iezzi 1.10, in quanto ritiene si tratti di una modifica già introdotta dell'esame in Senato.
  Esprime infine parere contrario sugli emendamenti Iezzi 1.11, 1.12, 1.13, 1.14, 1.15, 1.16, sugli identici emendamenti Silvestroni 6.1 e Zanella 6.2, nonché sugli identici emendamenti Silvestroni 6.3 e Mulè 6.4, sugli identici emendamenti Mulè 6.5 e Silvestroni 6.6, nonché sugli identici emendamenti Silvestroni 6.7 e Zanella 6.8, in quanto si tratta di proposte emendative concernenti gli oneri previsti per il Ce.Va del Ministro dell'interno di cui decreto-legge, come modificato dal Senato, prevede l'istituzione e le relative modalità di copertura. Fa notare che tali oneri, quantificati dal Ministero dell'interno sulla base della rilevazione delle proprie esigenze, sono stati oggetto di valutazione e validazione da parte della Ragioneria Generale dello Stato

  Il Sottosegretario Gianluca CASTALDI esprime parere conforme a quello espresso dai relatori.

  Le Commissioni, con distinte votazioni, respingono gli emendamenti Iezzi 1.1, Mollicone 1.2, Iezzi 1.3, 1.4 e 1.5, Zanella 1.6.

  Massimiliano CAPITANIO (LEGA), stigmatizzando la tempistica di esame particolarmente ristretta prevista per l'esame del provvedimento, intende soffermarsi sul complesso degli emendamenti presentati dal suo gruppo, evidenziando diverse criticità del provvedimento. Tra queste ultime richiama: il rischio dell'agire umano nella manutenzione delle sale server o nella loro gestione, facendo notare che l'infrastruttura cyber rimane scoperta dal rischio più concreto, che potrebbe essere gestito solo con una «cooperative compliance» tra controllori e OSE; l'insufficienza del controllo degli apparati hardware; i tempi troppo stretti. Ritiene poi Pag. 12che il fatto di concentrarsi sugli aspetti cyber faccia perdere di vista il meno costoso e ovviamente problematico aspetto della sicurezza fisica delle infrastrutture critiche o sensibili.
  Fa poi notare che se ci si concentra solo sul concetto di servizio essenziale e del fatto che un attacco possa portare alla mancata erogazione del servizio, si rischia di non considerare che gli attacchi potrebbero avere effetti anche ben più gravi della mera mancata erogazione.
  Ritiene che, se non si considerano – ed il provvedimento in esame, a suo avviso, non lo fa – il contesto europeo e quello internazionale in termini di schemi e requisiti di cyber sicurezza già esistenti, si rischia di duplicare i costi per i produttori, allungare i tempi per l'omologazione dei prodotti, sfavorire gli OSE italiani.
  In generale, fa notare che l'idea del perimetro di sicurezza nazionale cibernetica è vincente e l'obiettivo di censire architetture e componenti è sicuramente encomiabile, soprattutto se la disponibilità di tali dati, opportunamente organizzati, è volta ad avere contezza di chi informare in caso di incidenti che coinvolgano specifiche infrastrutture, ovvero chi allertare in caso di recrudescenza di specifiche minacce (poiché si conosce nel dettaglio chi impiega tecnologie o sistemi che sono obiettivo, o mezzo, tramite il quale vengono eseguiti attacchi informatici).
  Fa presente che le misure volte a consentire «una efficace valutazione sotto il profilo tecnico della sicurezza degli apparati e dei prodotti» attuate mediante la «verifica delle forniture» – di cui all'articolo 1, comma 5, lettera a) – e l'elaborazione e adozione di «schemi di certificazione cibernetica» – di cui all'articolo 1 comma 7, lettera c) – sono misure sicuramente nobili, che tuttavia richiedono un'opera di raccordo e ottimizzazione che nell'attuale versione del testo sono assenti.
  Ritiene sicuramente valida, innanzitutto, la circostanza che il censimento di architetture e componentistica – di cui all'articolo 1, comma 2, lettera b) – venga annunciato mentre gli OSE sono impegnati nella fase di definizione del perimetro di applicazione della NIS e nell'autovalutazione del rischio cyber. Su questo punto, ben venga la coerenza, che è evidente, poiché il censimento di architetture e componenti è parte della prima fase della roadmap di adeguamento al decreto legislativo n. 65 del 2018, definita dalle autorità NIS. Ritiene, tuttavia, molto stretti i tempi nei quali si stanno mettendo «a terra» queste due misure. Gli OSE, infatti, soprattutto le realtà più piccole, nonché tutte quelle che si sono attardate su alcune buone pratiche di cybersecurity, stanno ponendo in essere ingenti sforzi per gestire appropriatamente l'obbligo di adeguamento. Giudica positivamente, in questo contesto, una misura «ad adiuvandum» che pone l'accento sulla necessità ed urgenza di agire e definire nel dettaglio le liste di componenti e la mappatura delle architetture. Giudica evidente che i risultati che ci si aspetta dall'effetto combinato di «NIS e perimetro» sono un obiettivo ambizioso che andrebbe raggiunto nel più breve tempo possibile.
  Fa notare, però, che nel contesto del «perimetro» e della «NIS», l'introduzione di misure in tempi troppo ristretti, si traduce inevitabilmente in uno stress subito dall'utente finale che andrebbe gestito con parsimonia.
  Due i problemi che ne derivano: la fretta di dover adempiere a degli obblighi di legge, forzando i tempi necessari alla corretta comprensione e metabolizzazione del problema, potrebbe portare ad una errata impostazione dei lavori di adeguamento, ovvero ad una sua esecuzione secondo parametri minimi (con risultati solo apparenti); a ciò va aggiunta una perdita di contatto con la visione olistica della protezione delle infrastrutture critiche (termine a me assai più caro) che suggerisce di non lasciare indietro la corretta gestione e trattamento di tutti i rischi che incombono sul tessuto economico del Paese. Quanto percepito, in questo specifico momento storico, suggerisce ai destinatari delle normative «l'urgenza di dotarsi di misure tecniche ed organizzative» nel solo Pag. 13ambito della cyber security, con detrimento, evidente, per la sicurezza fisica delle nostre infrastrutture.
  Non crede sia illogico aspettarsi che quando gli attacchi informatici diverranno troppo costosi, si avrà un ritorno agli attacchi convenzionali, il cui costo può essere veramente irrisorio (come testimonia l'episodio di Rignano e la sospensione del servizio ferroviario), dando luogo ad impatti devastanti anche in termini di condizionamento psicologico dei cittadini (cioè di terrorismo). Evidenzia che la sola attenzione per l'equazione costituita da «servizio essenziale, attacco, mancata erogazione del servizio», non è sufficiente e può creare delle situazioni in cui, il surrettizio sviamento dell'attenzione, può innescare conseguenze assai dolorose.
  In conclusione, evidenzia l'esigenza di una più efficace valutazione sotto il profilo tecnico della sicurezza degli apparati e dei prodotti, indicando la necessità di una verifica delle forniture, giudicando necessaria l'elaborazione e l'adozione di «schemi di certificazione cibernetica» al fine di evitare duplicazioni.

  Le Commissioni, con distinte votazioni, respingono gli emendamenti Iezzi 1.7, 1.8, 1.9, 1.10 e 1.11.

  Elena MACCANTI (LEGA), illustra l'emendamento Iezzi 1.12, facendo notare come, a seguito delle modifiche introdotte dal Senato, il provvedimento, all'articolo 6, comma 1, lettera b-bis), rechi rilevanti oneri, pari ad oltre 3 milioni di euro, destinati all'istituzione di un centro di valutazione nell'ambito del Ministero dell'interno. Ritiene sbagliato destinare ingenti risorse per simili interventi, rilevando come tali somme potrebbero essere, a suo avviso, destinate per provvedimenti di ben altra importanza, tra i quali richiama, ad esempio, quello in materia di riforma del codice della strada, il cui esame risulta bloccato in Commissione IX per ragioni finanziarie, a causa dell'atteggiamento ostativo del Ministero.

  Diego SOZZANI (FI) dichiara di sottoscrivere l'emendamento Iezzi 1.12, che condivide.

  Giorgio MULÈ (FI) dichiara di sottoscrivere a sua volta l'emendamento Iezzi 1.12.

  Emanuele FIANO (PD) fa notare come le risorse previste dall'articolo 6, comma 1, lettera b-bis) – disposizione sulla quale ricorda che in Senato si è registrato l'accordo unanime dei gruppi – siano volte ad assicurare copertura finanziaria alla previsione che istituisce un Centro di valutazione operante presso il Ministero dell'interno. Segnala quindi come tale copertura finanziaria sia individuata mediante corrispondente riduzione dell'autorizzazione di spesa di cui all'articolo 1, comma 623, della legge n. 232 del 2016, evidenziando che si tratta di risorse interne al Ministero dell'interno, destinate all'acquisto e all'ammodernamento dei mezzi strumentali. Pur rilevando che tali risorse non risultano particolarmente ingenti, ritiene sia possibile comunque valutarne un ripristino in futuro, nell'ambito del Fondo interessato.

  Giuseppe Cesare DONINA (LEGA) rivendica l'autonomia della Camera dei deputati nell'esaminare i provvedimenti in discussione, osservando come un ramo del Parlamento non possa limitarsi a ratificare i testi approvati dall'altro.
  Ritiene inoltre sbagliato investire risorse nell'istituzione di certe strutture, che definisce una sorta di «baracconi», giudicando preferibile destinare tali somme per il finanziamento di provvedimenti più importanti. Tra questi ultimi, richiama, ad esempio la proposta di legge relativa alla riforma del codice della strada, sulla quale, peraltro, fa notare che gli oneri non appaiono particolarmente rilevanti.

  Giorgio MULÈ (FI) evidenzia come le risorse destinate a finanziare l'istituzione di un centro di valutazione l'ambito del Ministero dell'interno vengano sottratte ad un fondo finalizzato a coprire le spese necessarie per l'acquisto e l'ammodernamento Pag. 14dei mezzi strumentali in uso alle Forze di polizia e al Corpo nazionale dei vigili del fuoco, nello stato di previsione del Ministero dell'economia e delle finanze, togliendo preziose risorse ad un comparto cruciale, dunque a scapito della sicurezza dei cittadini. Ritiene dunque non sufficiente il suggerimento del relatore per la I Commissione, Fiano, il quale legittima l'immediata sottrazione di tali risorse rinviando ad una fase successiva il compito di ripristinarle, giudicando invece necessario individuare da subito fonti di finanziamento alternative, onde evitare che tali risorse siano distolte dalla loro finalità originaria.

  Massimiliano CAPITANIO (LEGA), rivolgendosi al relatore per la I Commissione, Fiano, evidenzia di essere ben consapevole dell'origine delle risorse previste dall'articolo 6, comma 1, lettera b-bis), soffermandosi dettagliatamente sulle relative coperture finanziarie previste da tale disposizione, che evidenziano la scelta sbagliata assunta in merito dal Governo in carica.

  Le Commissioni respingono l'emendamento Iezzi 1.12.

  Giuseppe BRESCIA, presidente, considerata l'imminenza delle votazioni in Assemblea, ritiene opportuno rinviare il seguito dell'esame ad una seduta che sarà convocata nella giornata odierna, al termine delle votazioni antimeridiane dell'Assemblea. Fa notare che, poiché il provvedimento è inserito nel calendario dei lavori dell'Assemblea a partire dalle 16 di oggi, in tale seduta sarà posta immediatamente in votazione la proposta di conferire il mandato ai relatori a riferire all'Assemblea, non essendo possibile, in ragione dei tempi a disposizione delle Commissioni, anche in considerazione dell'andamento dei lavori della stessa Assemblea, concludere l'esame delle restanti poche proposte emendative.
  Rinvia dunque il seguito dell'esame ad altra seduta.

  La seduta termina alle 11.

SEDE REFERENTE

  Mercoledì 13 novembre 2019. — Presidenza del presidente della I Commissione Giuseppe BRESCIA. – Interviene la sottosegretaria di Stato per i rapporti con il Parlamento Simona Flavia Malpezzi.

  La seduta comincia alle 14.

DL 105/2019: Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica.
C. 2100-B Governo, approvato dalla Camera e modificato dal Senato.

(Seguito esame e conclusione).

  La Commissione prosegue l'esame del provvedimento, rinviato, da ultimo, nell'odierna seduta antimeridiana.

  Giuseppe BRESCIA, presidente, rammenta che il provvedimento è inserito nel calendario dei lavori dell'Assemblea a partire dalle 16 di oggi, e che pertanto l'esame in sede referente da parte delle Commissioni dovrà concludersi nella seduta di oggi, con il conferimento del mandato ai relatori, Fiano e Scagliusi, a riferire sul provvedimento all'Assemblea.
  Pertanto, come già preannunciato alla conclusione della odierna seduta antimeridiana, avverte che, in considerazione della brevità dei tempi a disposizione delle Commissioni, dovrà porre ora in votazione la proposta di conferire il mandato ai relatori, Fiano e Scagliusi, a riferire sul provvedimento all'Assemblea.
  Informa quindi sono pervenuti i pareri favorevoli delle Commissioni competenti in sede consultiva (IV e V), nonché il parere favorevole del Comitato per la legislazione.

  Nessuno chiedendo di intervenire, le Commissioni deliberano di conferire il mandato ai relatori, Fiano e Scagliusi, a riferire in senso favorevole all'Assemblea Pag. 15sul provvedimento in esame. Deliberano altresì di chiedere l'autorizzazione a riferire oralmente.

  Giuseppe BRESCIA, presidente, si riserva di designare, d'intesa con il Presidente della IX Commissione, i componenti del Comitato dei nove sulla base delle indicazioni dei gruppi.

  La seduta termina alle 14.05.

COMITATO DEI NOVE

  Mercoledì 13 novembre 2019.

DL 105/2019: Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica.
C. 2100-B Governo, approvato dalla Camera e modificato dal Senato.

  Il Comitato si è riunito dalle 17.45 alle 17.50.

Pag. 16