Perimetro di Sicurezza Nazionale Cibernetica (PSNC): cos’è e quali sono le finalità

Il primo agosto 2025 è stato pubblicato in Gazzetta Ufficiale il DPCM n. 111 che aggiorna la normativa sul Perimetro di Sicurezza Nazionale Cibernetica (PSNC).

La novità principale? Ora devi notificare anche gli accessi non autorizzati effettuati dal personale interno che abusa dei propri privilegi.

Se gestisci sistemi critici, questa modifica ti riguarda direttamente.

Perimetro di Sicurezza Nazionale (PSNC) e l’evoluzione di una necessità: proteggere l’infrastruttura digitale del paese

La nostra società dipende sempre più da sistemi informativi interconnessi. Non parliamo solo di comodità o efficienza, ma di vera e propria sopravvivenza del sistema Paese.

Quando parliamo di Perimetro di Sicurezza Nazionale Cibernetica, ci riferiamo a quella rete di protezione che avvolge le infrastrutture digitali senza le quali l’Italia semplicemente smetterebbe di funzionare.

Il decreto del 4 giugno 2025 rappresenta l’ultimo tassello di un percorso iniziato nel 2019.

Ma perché proprio ora questa modifica?

La risposta sta nell’evoluzione delle minacce.

Le attività di accesso non autorizzato alle reti e ai sistemi informatici, anche quando effettuate da personale interno che abusa dei propri privilegi, costituiscono oggi una delle principali vulnerabilità.

Quante volte abbiamo letto di data breach causati non da sofisticati attacchi esterni, ma da dipendenti che hanno utilizzato in modo improprio le proprie credenziali?

Il legislatore ha riconosciuto che questi comportamenti possono causare danni altrettanto gravi alla riservatezza dei dati e alla sicurezza nazionale.

Da qui, la necessità di aggiornare la tassonomia degli incidenti, introducendo la categoria ICP-A-20 specificatamente dedicata a questi eventi.

Un ecosistema complesso: comprendere il Perimetro di Sicurezza Nazionale Cibernetica

Ma cos’è esattamente il Perimetro di Sicurezza Nazionale Cibernetica (PSNC)?

Non stiamo parlando di un muro digitale o di un firewall nazionale, bensì di un sistema di governance condivisa che identifica, protegge e monitora quelle realtà pubbliche e private il cui funzionamento è essenziale per la sicurezza del Paese.

Il concetto chiave è la dipendenza tecnologica.

• cosa significa: un soggetto rientra nel perimetro quando svolge funzioni essenziali dello Stato o eroga servizi essenziali, e quando l’esercizio di tali funzioni dipende dall’utilizzo di reti, sistemi informativi e servizi informatici.
• cosa fare concretamente: se il tuo ente gestisce servizi critici attraverso sistemi digitali, devi valutare se rientri nei criteri di inclusione e prepararti agli adempimenti richiesti.

I settori strategici del Perimetro di Sicurezza Nazionale Cibernatica: una mappa dell’italia che conta

Il DPCM 131/2020 ha definito 11 settori, ciascuno con la propria amministrazione competente. Vediamo quali sono e cosa comportano per te.

Il settore governativo rappresenta il nucleo centrale. Comprende le attività delle amministrazioni del Comitato interministeriale per la sicurezza della Repubblica. La Presidenza del Consiglio coordina l’identificazione dei soggetti in questo settore.

Il Ministero dell’Interno vigila sul settore che include le attività fondamentali per la tutela dell’ordine e della sicurezza pubblica. Parliamo delle banche dati delle forze dell’ordine, dei sistemi di controllo del territorio, delle infrastrutture per la prevenzione dei reati. Se lavori in prefettura o questura, questo ti riguarda direttamente.

Il settore energia, sotto la supervisione del MIMIT, è forse quello che più immediatamente comprendiamo come critico. Include produzione, trasporto e distribuzione di energia elettrica, gas e prodotti petroliferi. Se i sistemi di controllo delle reti elettriche venissero compromessi, intere regioni potrebbero restare al buio.

Particolarmente interessante è il settore delle tecnologie critiche, che guarda al futuro riconoscendo l’importanza di intelligenza artificiale, robotica, semiconduttori e biotecnologie.

È il settore che determinerà l’autonomia strategica del Paese nei prossimi anni.

Consiglio PRATICO: se operi in uno di questi settori, anche se non hai ricevuto notifica ufficiale, inizia a mappare i tuoi sistemi critici e le dipendenze digitali. Meglio arrivare preparati.

Le funzioni essenziali: il cuore pulsante dello stato digitale

Ma cosa significa concretamente svolgere una “funzione essenziale dello Stato”? La normativa identifica sei macro-aree.

La continuità dell’azione di Governo non è solo questione di computer funzionanti. È la garanzia che le istituzioni democratiche possano operare anche sotto attacco cibernetico. Immagina cosa significherebbe se un attacco paralizzasse le comunicazioni governative durante una crisi internazionale.

Sicurezza e ordine pubblico dipendono ormai indissolubilmente dai sistemi informativi.

Le banche dati delle forze dell’ordine contengono informazioni sensibilissime. I sistemi di videosorveglianza, le centrali operative, i sistemi di gestione delle emergenze formano un ecosistema digitale la cui compromissione metterebbe a rischio la sicurezza dei cittadini.

Vale la pena precisare che l’amministrazione della giustizia si basa sempre più su sistemi digitali. Dal processo telematico alle banche dati giudiziarie, l’intero sistema giustizia dipende da infrastrutture informatiche la cui integrità è essenziale.

I servizi essenziali: quando il privato diventa strategico

Accanto alle funzioni essenziali dello Stato, il perimetro include soggetti privati che erogano servizi essenziali.

Questa è forse la regola d’oro della normativa: riconoscere che nell’economia moderna la distinzione tra pubblico e privato sfuma quando si parla di servizi critici.

Le attività strumentali all’esercizio di funzioni essenziali comprendono tutti quei servizi di supporto senza i quali le funzioni statali non potrebbero essere svolte. Pensiamo ai fornitori di connettività per le PA, ai gestori di data center che ospitano dati sensibili, alle aziende che forniscono cybersecurity alle istituzioni.

Cosa fare: se fornisci servizi ICT a enti pubblici strategici, verifica se rientri in questa categoria e quali misure di sicurezza devi implementare.

Il processo di individuazione: trasparenza e sicurezza in equilibrio

Come avviene l’inclusione nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC)?

Il processo è stato disegnato per bilanciare trasparenza e sicurezza.

Il percorso inizia con le amministrazioni competenti per settore, che svolgono un’istruttoria approfondita. Non si tratta di un processo arbitrario: ogni proposta deve essere motivata e basata su criteri oggettivi di criticità.

Le proposte vengono esaminate dal Tavolo interministeriale, presieduto dall’ACN. Questo organismo tecnico valuta la coerenza delle proposte e garantisce un approccio uniforme.

Il Comitato Interministeriale per la Cybersicurezza formula poi la proposta finale al Presidente del Consiglio. È qui che si realizza la sintesi tra valutazioni tecniche e considerazioni strategiche.

Comprensibilmente, l’atto di individuazione non viene pubblicato per ragioni di sicurezza. Ogni soggetto riceve invece una comunicazione diretta dall’ACN con l’indicazione specifica della funzione per cui è stato incluso.

Le 223 funzioni essenziali: la granularità della protezione

Il 15 giugno 2021 il Presidente Draghi ha approvato l’identificazione di 223 funzioni essenziali dello Stato. Questo numero racconta la complessità dello Stato moderno.

Ogni funzione rappresenta un tassello specifico.

Non si tratta più solo di macro-categorie, ma di una mappatura dettagliata di ogni processo che mantiene in vita il sistema Paese. Questa granularità permette un approccio chirurgico: invece di imporre misure generiche, è possibile calibrare gli obblighi sulla base della specifica funzione svolta.

Le funzioni coprono l’intero spettro delle attività statali.

Troviamo quelle tradizionali ma anche funzioni emergenti legate alla trasformazione digitale: la gestione dell’identità digitale nazionale, i servizi di conservazione digitale, le piattaforme di e-procurement pubblico.

Questo significa che se gestisci uno di questi servizi, hai responsabilità specifiche da rispettare e misure di sicurezza proporzionate da implementare.

Un sistema in evoluzione: preparare il futuro della Sicurezza Nazionale

Il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) rappresenta il riconoscimento che la sicurezza nazionale nell’era digitale richiede un approccio sistemico che coinvolga pubblico e privato.

Per i soggetti inclusi, questo significa assumersi responsabilità significative.

Le misure di sicurezza da implementare, le notifiche di incidente da effettuare, i controlli da subire sono tutti tasselli di un sistema che funziona solo se ogni componente fa la sua parte.

È importante ricordare che per chi ancora non è incluso ma opera in settori potenzialmente critici, questo è il momento di prepararsi. L’evoluzione tecnologica e geopolitica porterà inevitabilmente all’ampliamento del perimetro.

La creazione dell’Agenzia per la Cybersicurezza Nazionale ha dato al sistema un centro di coordinamento forte. Non più competenze frammentate, ma un punto di riferimento unico che facilita il dialogo e standardizza le procedure.

Il nodo più complesso resta quello dell’equilibrio tra sicurezza e innovazione.

Come proteggere senza soffocare? Come imporre obblighi senza creare burocrazia eccessiva?

Sono domande che il sistema dovrà affrontare nei prossimi anni.

Perimetro di Sicurezza Nazionale Cibernetica (PSNC): cosa significa tutto questo per il tuo ente?

Il DPCM di agosto ci ricorda che il panorama delle minacce evolve costantemente. Oggi il focus è sugli abusi di privilegi interni, domani potrebbe essere su minacce che ancora non immaginiamo.

Se pensi di rientrare nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), ecco cosa dovresti fare subito:

• Primo passo: verifica con la tua amministrazione di riferimento se sei stato incluso o se potresti esserlo, non aspettare la notifica ufficiale
• Secondo passo: mappa i tuoi sistemi critici e le dipendenze digitali, quali servizi si bloccerebbero se i tuoi sistemi venissero compromessi?
• Terzo passo: valuta il tuo livello di maturità in cybersecurity (hai procedure di incident response? monitori gli accessi privilegiati? fai backup regolari?)

Il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) rappresenta uno degli esperimenti più ambiziosi di governance della sicurezza nell’era digitale.

Non è perfetto (richiederà aggiustamenti), ma è un passo necessario per proteggere le infrastrutture da cui dipende la nostra vita quotidiana.

Conoscerlo, comprenderlo, parteciparvi attivamente quando chiamati a farlo non è solo un obbligo normativo. È un contributo alla sicurezza e al futuro del Paese.

Perché in fondo, la sicurezza cibernetica non è questione di tecnologia, ma di consapevolezza condivisa che ciò che costruiamo nel digitale va protetto con la stessa cura con cui proteggiamo il mondo fisico.

Per supportare gli enti in questo percorso complesso, è disponibile un supporto specializzato che copre tutti gli aspetti documentali e strutturali della conformità NIS, dalla definizione dei ruoli alla gestione operativa degli incidenti. Puoi scaricare la presentazione da qui: Supporto ScuDoc – Brochure di presentazione

Se invece hai dubbi, puoi prenotare una telefonata di 30 minuti gratuita e senza impegno qui: Contatti

 

Vuoi rimanere aggiornato sulle notizie legate al tema della cybersicurezza per la PA?