Il Perimetro di Sicurezza Nazionale Cibernetica, spesso chiamato PSNC o perimetro cibernetico, è un regime di sicurezza nazionale per soggetti pubblici e privati i cui sistemi supportano funzioni essenziali dello Stato o attività civili, sociali o economiche fondamentali. Precede la NIS 2 e può sovrapporsi a essa.
Fonti: Decreto-Legge 105/2019, DPCM 81/2021, pagina ACN sul perimetro cibernetico, Decreto Legislativo 138/2024.
Punti chiave
- Il PSNC è stato istituito dal Decreto-Legge 105/2019 per proteggere sistemi rilevanti per la sicurezza nazionale.
- L’inclusione viene comunicata individualmente; l’elenco dei soggetti non è pubblico.
- Gli obblighi includono elenchi asset, misure di sicurezza, notifica incidenti e controlli sulle forniture ICT.
- Il DPCM 81/2021 disciplina notifiche incidenti e misure di sicurezza per i sistemi nel perimetro.
- La NIS 2 è più ampia, ma il diritto italiano coordina i due regimi quando un soggetto rientra in entrambi.
Ambito di questo articolo
Questo articolo spiega cos’è il PSNC, chi può rientrarvi, quali obblighi contano in pratica e come interagisce con la NIS 2. Non identifica se uno specifico soggetto è incluso nell’elenco riservato.
Cos’è il PSNC
Il Decreto-Legge 105/2019 ha istituito il perimetro di sicurezza nazionale cibernetica per garantire un livello elevato di sicurezza di reti, sistemi informativi e servizi informatici di amministrazioni, enti e operatori con sede in Italia, quando un’interruzione può pregiudicare la sicurezza nazionale.
Rispetto alla NIS 2, il PSNC non è un regime generale di compliance cyber. È un perimetro di sicurezza nazionale. La domanda centrale è se il sistema supporta funzioni e servizi la cui compromissione inciderebbe su interessi essenziali dello Stato.
Chi rientra nel PSNC
I soggetti sono individuati secondo criteri previsti dalla legge e dagli atti attuativi. L’inclusione viene comunicata a ciascun soggetto e l’elenco amministrativo non è pubblicato. Un’organizzazione non può quindi dedurre l’inclusione solo dal settore.
Nel lavoro di conformità conviene separare tre domande:
- L’organizzazione è inclusa nel PSNC?
- È anche soggetta all’attuazione italiana della NIS 2?
- Quali reti, sistemi e servizi informatici sono coperti da ciascun regime?
Obblighi PSNC
| Area obbligo | Significato pratico | Evidenza tipica |
|---|---|---|
| Elenco asset | Predisporre e aggiornare reti, sistemi e servizi rilevanti. | Inventario architetturale, componenti, record aggiornamenti. |
| Misure di sicurezza | Adottare misure su organizzazione, rischio, incidenti, protezione, operatività, monitoraggio, formazione e forniture ICT. | Policy, controlli, test, matrice evidenze. |
| Notifica incidenti | Notificare incidenti sui sistemi coperti tramite i canali previsti. | Procedura incidente, record CSIRT, log notifiche. |
| Controlli forniture ICT | Valutare e comunicare forniture ICT rilevanti quando richiesto. | File rischio fornitore, clausole, assessment tecnico. |
PSNC e NIS 2
Il Decreto Legislativo 138/2024 coordina NIS 2 e perimetro cibernetico. Per soggetti inclusi in entrambi i regimi, una notifica incidente ai sensi del perimetro può assolvere gli obblighi NIS 2 quando ricorrono le condizioni normative. La lezione operativa è progettare un unico processo incidente con routing regolatorio chiaro.
Per categorizzazione NIS 2 e governance ruoli, vedi categorizzazione ACN di attività e servizi NIS, architettura normativa e ruoli NIS2 e ruoli e accessi nella piattaforma ACN NIS.
Come gestire un soggetto in entrambi i perimetri
- Creare un registro unico degli obblighi per PSNC, NIS 2 e norme settoriali.
- Mappare i sistemi una volta e taggarli per regime e obbligo.
- Usare un unico workflow di classificazione incidente con logica di routing.
- Allineare reporting agli organi con accountability PSNC e NIS 2.
- Tenere evidenze fornitore e controlli procurement ICT nello stesso repository GRC.
Una funzione di governance gestita come il servizio vCISO Aegister può aiutare a mantenere mappa controlli ed evidenze tra regimi sovrapposti.
Architettura normativa in pratica
L’attuazione PSNC si basa su un modello a livelli. Il Decreto-Legge 105/2019 istituisce perimetro e obblighi principali. Decreti e regolamenti attuativi definiscono criteri, notifiche, misure di sicurezza e controlli sulle forniture ICT. ACN opera poi come autorità cyber centrale nell’architettura attuale.
Per i team compliance, questa architettura conta perché gli obblighi possono essere distribuiti su più atti. Un registro PSNC dovrebbe quindi mappare requisito, fonte, sistemi coperti, owner evidenza e frequenza di review.
Modello di governance operativa
| Funzione | Responsabilità tipica |
|---|---|
| Legale/compliance | Traccia obblighi, notifiche e interpretazione regolatoria. |
| CISO/security lead | Governa misure di sicurezza, monitoraggio, incidenti ed evidenze. |
| IT operations | Mantiene inventari, architetture, hardening, backup e continuità. |
| Procurement | Integra controlli forniture ICT e clausole rischio fornitore. |
| Management | Approva decisioni di rischio e garantisce risorse. |
Aree di controllo pratiche
- Inventario sistemi coperti e documentazione architetturale.
- Risk assessment per reti, sistemi e servizi rilevanti.
- Workflow di classificazione e notifica incidenti.
- Access control e governance account privilegiati.
- Monitoraggio, test ed evidenze di controllo operativo.
- Due diligence fornitori ICT e presidi contrattuali.
Dove allineare PSNC e NIS 2
Il modello operativo più forte usa una tassonomia asset, un intake incidente, un registro rischio fornitore e un reporting direzionale unici. Gli output regolatori possono differire, ma i fatti non dovrebbero. Questo riduce lavoro duplicato e posizioni regolatorie incoerenti.
Ciclo operativo annuale
Il lavoro PSNC dovrebbe essere gestito come ciclo ricorrente. Il ciclo parte dalla conferma di sistemi coperti e cambi architetturali, poi aggiorna risk assessment, misure, fornitori, contatti incidente ed evidenze. L’output non è solo refresh documentale. È conferma che il perimetro riflette l’ambiente reale.
Runbook di coordinamento incidenti
Per un soggetto anche NIS 2, il runbook incidente dovrebbe includere un decision tree. Il primo ramo verifica se il sistema impattato è nel perimetro PSNC. Il secondo verifica criteri di incidente significativo NIS 2. Il terzo verifica dati personali o notifiche settoriali. Così si evita analisi legale tardiva durante l’incidente.
Implicazioni fornitori e procurement
Gli obblighi PSNC possono incidere sulle forniture ICT, soprattutto quando sistemi o servizi sono destinati a reti e sistemi coperti. Il procurement dovrebbe quindi coinvolgere sicurezza e compliance prima della firma. Le evidenze includono risk assessment, requisiti contrattuali, responsabilità fornitore e workflow richiesti.
Domande per il management
- Sappiamo quali sistemi sono coperti e chi li possiede?
- Possiamo provare architettura e componenti aggiornati?
- I contatti incidente sono aggiornati e testati?
- I fornitori ICT sono mappati ai sistemi coperti?
- I report PSNC e NIS 2 sono coerenti?
FAQ
Cos’è il PSNC?
È il perimetro nazionale per soggetti e sistemi la cui compromissione potrebbe pregiudicare la sicurezza nazionale.
PSNC e NIS 2 si applicano insieme?
Possono applicarsi insieme. Il PSNC tutela interessi di sicurezza nazionale, mentre la NIS 2 disciplina resilienza cyber più ampia. La normativa italiana coordina gli obblighi sovrapposti.
Come si entra nel PSNC?
L’inclusione segue il processo normativo e amministrativo. Il soggetto riceve comunicazione individuale e l’elenco non è pubblico.