ACN Perimetro di Sicurezza Nazionale Cibernetica: Obblighi di Pentest per i Soggetti Inclusi
Il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) è il framework italiano per la protezione delle infrastrutture critiche nazionali dalle minacce cyber. Istituito con la Legge 4 agosto 2019 n. 133 (di conversione del Decreto-Legge 105/2019) e operativizzato attraverso una serie di DPCM attuativi, il Perimetro identifica i soggetti pubblici e privati che svolgono funzioni essenziali per lo Stato o che erogano servizi essenziali per gli interessi dello Stato, e impone loro obblighi stringenti di sicurezza cibernetica. L'Agenzia per la Cybersicurezza Nazionale (ACN), istituita con il D.L. 82/2021, è l'ente responsabile dell'attuazione del Perimetro e della qualificazione dei fornitori di prodotti e servizi ICT da utilizzare nel perimetro. I test di penetrazione sono componente essenziale del programma di sicurezza richiesto ai soggetti inclusi. La presente guida analizza la struttura del Perimetro, gli obblighi dei soggetti inclusi, il ruolo dell'ACN e come i test di penetrazione si integrano nel quadro normativo.
Il Perimetro di Sicurezza Nazionale Cibernetica: struttura e obblighi
La Legge 133/2019 e i relativi DPCM attuativi creano un sistema a più livelli per la protezione delle infrastrutture critiche nazionali. I soggetti inclusi nel Perimetro — identificati in modo riservato dal Presidente del Consiglio dei Ministri su proposta del CISR (Comitato Interministeriale per la Sicurezza della Repubblica) — sono tenuti a: notificare all'ACN i beni ICT che erogano funzioni essenziali (DPCM 131/2020); misurare e gestire il rischio cibernetico su questi beni (DPCM 54/2021); adottare misure di sicurezza minime specificate dall'ACN; comunicare all'ACN ogni incidente su questi beni; utilizzare solo prodotti e servizi ICT qualificati dall'ACN per i sistemi nel perimetro. Il DPCM 81/2021 stabilisce le misure di sicurezza minime applicabili ai beni nel perimetro — un documento tecnico che prevede, tra le altre cose, vulnerability assessment e penetration test periodici sui sistemi critici. L'ACN, attraverso i CSIRT Italia e i processi di certificazione, supervisiona la conformità e può disporre ispezioni.
- Legge 133/2019 (Decreto-Legge 105/2019) — istituzione del Perimetro: i soggetti inclusi sono tenuti ad adottare misure di sicurezza cibernetica per i sistemi che erogano funzioni essenziali — le sanzioni per la mancata conformità arrivano fino a 1.800.000 €.
- DPCM 131/2020 — notifica dei beni ICT: i soggetti inclusi devono notificare all'ACN entro 12 mesi dalla notifica di inclusione i beni ICT che erogano funzioni essenziali, con una descrizione delle misure di sicurezza adottate e dei test effettuati.
- DPCM 54/2021 — misure di sicurezza: definisce le misure minime di sicurezza per i beni nel perimetro — include obblighi di gestione delle vulnerabilità, test di sicurezza periodici e verifica dell'efficacia delle misure adottate.
- DPCM 81/2021 — qualificazione dei fornitori: i soggetti inclusi possono utilizzare solo prodotti e servizi ICT qualificati dall'ACN per i sistemi nel perimetro — questo include anche i fornitori di servizi di penetration testing e vulnerability assessment.
- ACN — Centro di Valutazione e Certificazione Nazionale (CVCN): l'ACN ha il potere di effettuare verifiche e test sui prodotti ICT destinati a sistemi nel perimetro, con facoltà di imporre condizioni o requisiti aggiuntivi.
- Obbligo di comunicazione degli incidenti (DPCM 131/2020 Art. 1 §3): i soggetti inclusi devono notificare al CSIRT Italia gli incidenti sui beni nel perimetro entro 1 ora (per gli incidenti più gravi) o 6 ore — un programma di pentest documentato riduce il rischio di tali incidenti.
- Rapporto con NIS2 e DORA: il Perimetro si sovrappone parzialmente con NIS2 (D.Lgs. 138/2024) e DORA per i soggetti finanziari; ACN coordina l'applicazione in modo da evitare duplicazioni, ma i requisiti del Perimetro sono generalmente più stringenti per i sistemi identificati come critici per la sicurezza nazionale.
Cosa deve coprire un pentest per i sistemi nel Perimetro di Sicurezza Nazionale
- Beni ICT notificati (DPCM 131/2020): i sistemi specificamente notificati all'ACN come beni nel perimetro — identificazione delle vulnerabilità tecniche che potrebbero essere sfruttate da attori di minaccia avanzati (APT).
- Infrastrutture di rete critica: reti di telecomunicazioni, sistemi di controllo industriale (SCADA, DCS, PLC) nei settori energia, trasporti, difesa — protocolli OT (Modbus, DNP3, IEC 61850) e interfacce con reti IT.
- Sistemi di controllo e supervisione (SCADA/ICS): test di sicurezza specifici per sistemi di controllo industriale nei settori energia elettrica, gas, acqua — CVE-2022-30190 (Follina, MSDT RCE) come riferimento per workstation SCADA Windows.
- Infrastrutture cloud qualificate ACN: i sistemi nel perimetro che utilizzano servizi cloud devono utilizzare provider qualificati ACN — verifica delle configurazioni IAM, segmentazione cloud, accessi privilegiati.
- Supply chain ICT (DPCM 81/2021): i componenti HW e SW nei sistemi del perimetro devono essere qualificati ACN — analisi dei componenti vulnerabili nella supply chain; CVE-2021-44228 Log4Shell come referenza supply chain.
- Autenticazione e identità privilegiata: sistemi PAM (Privileged Access Management), MFA per accessi ai sistemi critici, accessi remoti amministrativi — CVE-2023-20273 (Cisco IOS XE WebUI escalation) per dispositivi di rete.
- Rilevamento delle intrusioni (IDS/IPS): verifica dell'efficacia dei sistemi di rilevamento delle intrusioni in scenari di attacco avanzato — APT tradecraft (living-off-the-land, beacon C2 mimetizzati nel traffico legittimo).
- Procedure di risposta agli incidenti e comunicazione ACN: verifica che le procedure di notifica degli incidenti al CSIRT Italia siano operative e che i contatti tecnici siano disponibili e addestrati.
Esempio di finding
Vulnerabilità Follina (CVE-2022-30190) senza patch su workstation SCADA con accesso ICS
Due workstation SCADA utilizzate per la supervisione di un impianto infrastrutturale critico risultano prive della patch per CVE-2022-30190 (Microsoft Support Diagnostic Tool MSDT RCE, CVSS 7.8, «Follina»). La vulnerabilità è sfruttabile tramite un documento Word malevolo inviato via email all'operatore della workstation: l'apertura del documento attiva MSDT e consente l'esecuzione di codice arbitrario con i privilegi dell'utente. Le workstation hanno accesso diretto all'historian e al sistema SCADA dell'impianto. La compromissione di una workstation SCADA con accesso diretto ai sistemi ICS è classificata come rischio critico per l'operatività dell'infrastruttura. Le workstation erano senza patch da maggio 2022; la vulnerabilità è sfruttata attivamente da gruppi APT nel settore delle infrastrutture critiche europee.
Correzione: Applicare immediatamente la patch Microsoft (KB5014699 o successiva) su tutte le workstation SCADA. In attesa del patching, disabilitare il protocollo MSDT tramite registry (HKEY_CLASSES_ROOT\ms-msdt). Isolare le workstation SCADA da Internet e dalla rete email (whitelist di accesso alla rete, nessuna navigazione web né accesso email da workstation SCADA). Implementare un sistema di gestione centralizzata delle patch con SLA di 7 giorni per le vulnerabilità critiche attivamente sfruttate. Notificare al CSIRT Italia l'esposizione alla vulnerabilità e le misure di mitigazione adottate, come previsto dal DPCM 131/2020.
Riferimento: CVE-2022-30190 (Microsoft MSDT Follina RCE, CVSS 7.8) · MITRE ATT&CK T1566.001 Spear Phishing Attachment · CWE-78 Improper Neutralization of Special Elements in OS Command · DPCM 54/2021 misure di sicurezza § ICS · ACN Linee Guida Sicurezza ICS/SCADA
Pentest per il Perimetro ACN: confronto delle opzioni
| — | Scan gratuito | Matproof Sentinel | Consulenza tradizionale |
|---|---|---|---|
| Motore di scansione automatizzato | ✓ (anteprima 3 min) | ✓ Scansione completa | ✗ Solo manuale |
| Copertura OWASP Top 10 | Parziale | ✓ Completa | ✓ Completa |
| Prova di exploit | ✗ | ✓ Per finding | ✓ Per finding |
| Mapping normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizzato | ✓ Manuale |
| Report PDF pronto per l'audit | ✗ | ✓ Immediato | ✓ Consegna 2–4 settimane |
| Scansioni continue / ricorrenti | ✗ | ✓ Per deploy | ✗ Impegno annuale |
| Tempo al primo risultato | ~3 min | ~30 min scansione completa | 2–4 settimane |
| Prezzo | €0 | Da €149 | €8.000–€25.000 |
| Revisione codice sorgente (SAST) | ✗ | ✓ Piano Growth | ✓ In scope |
| Test API (REST/GraphQL) | ✗ | ✓ Automatizzato | ✓ Manuale |
Offerte di pentest per soggetti nel Perimetro di Sicurezza Nazionale
- 1 scansione pentest completa
- Risultati prioritizzati da AI con CVSS 3.1
- Proof-of-exploit per ogni finding
- Report PDF (pronto per l'audit)
- Mapping normativo (DORA, NIS2, ISO 27001)
- Scansioni illimitate (fino a 3 domini)
- Monitoraggio continuo
- Integrazione CI/CD (GitHub, GitLab)
- Tutti i mapping normativi
- Supporto prioritario
- Scansioni + domini illimitati
- Test autenticati / White-Box
- Test API e infrastruttura cloud
- Account manager dedicato
- SLA risposta 24h
Domande frequenti sul Perimetro di Sicurezza Nazionale Cibernetica e i test IT
Come si viene inclusi nel Perimetro di Sicurezza Nazionale Cibernetica?
L'inclusione nel Perimetro avviene tramite notifica ufficiale riservata del Presidente del Consiglio dei Ministri, su proposta del CISR. I criteri di inclusione sono: svolgimento di funzioni essenziali per lo Stato o erogazione di servizi essenziali per gli interessi dello Stato nei settori identificati dalla Legge 133/2019 (settori interni ed esteri, difesa, spazio e aerospazio, energia, trasporti, digitale, finanza, ecc.). I soggetti non vengono inclusi su richiesta, né vengono pubblicati in elenchi pubblici — la natura del perimetro è riservata per ragioni di sicurezza nazionale.
Quali sono le sanzioni per la mancata conformità al Perimetro di Sicurezza Nazionale?
La Legge 133/2019 prevede sanzioni amministrative significative: da 200.000 € a 1.800.000 € per la mancata notifica dei beni ICT o la mancata adozione delle misure di sicurezza; da 250.000 € a 2.000.000 € per l'utilizzo di prodotti ICT non qualificati nel perimetro; possibilità di sanzioni penali per le violazioni più gravi. L'ACN può inoltre ordinare la sospensione dell'utilizzo di prodotti o servizi ICT non conformi.
I test di penetrazione per sistemi nel Perimetro devono essere condotti da fornitori qualificati ACN?
Il DPCM 81/2021 stabilisce che i prodotti e servizi ICT utilizzati nei sistemi nel perimetro devono essere qualificati dall'ACN. Per i servizi di penetration testing, la qualificazione ACN si applica quando il servizio è strettamente connesso ai sistemi nel perimetro. ACN sta progressivamente aggiornando il suo catalogo di servizi qualificati. In ogni caso, i soggetti nel perimetro devono assicurarsi che i fornitori di pentest rispettino i requisiti di sicurezza e riservatezza del DPCM 54/2021.
Come si articola il processo di notifica degli incidenti al CSIRT Italia per i soggetti nel Perimetro?
Il DPCM 131/2020 stabilisce termini di notifica molto stringenti per i soggetti nel Perimetro: entro 1 ora per gli incidenti di livello 4 e 5 (i più gravi, con impatto su funzioni essenziali dello Stato); entro 6 ore per gli incidenti di livello 3; entro 24 ore per gli incidenti di livello 1 e 2. La notifica avviene tramite la piattaforma dedicata del CSIRT Italia. L'evidenza di un programma di pentest regolare dimostra che il soggetto ha adottato misure proattive per prevenire gli incidenti.
Qual è la relazione tra il Perimetro di Sicurezza Nazionale e NIS2 in Italia?
Il Perimetro e NIS2 (D.Lgs. 138/2024) hanno perimetri sovrapposti ma non identici. In generale, i soggetti nel Perimetro sono anche soggetti NIS2, ma il Perimetro prevede obblighi più stringenti (perimetro più ristretto, requisiti più elevati, supervisione più intensa). ACN gestisce entrambi i regimi e ha comunicato che i soggetti nel Perimetro non sono tenuti a duplicare gli adempimenti NIS2 per i sistemi già coperti dal Perimetro — la conformità al Perimetro soddisfa anche i requisiti NIS2 per quei sistemi.
I sistemi OT/ICS nel Perimetro richiedono un pentest diverso da quello per i sistemi IT?
Sì — i sistemi OT (Operational Technology) e ICS (Industrial Control Systems) richiedono un approccio di testing diverso rispetto ai sistemi IT tradizionali. I test OT/ICS devono essere condotti con estrema cautela per evitare interruzioni operative: tipicamente si combinano passive network analysis (senza traffico generato), vulnerability assessment non intrusivo e test in ambienti di staging o su copie dei sistemi di controllo. I protocolli industriali (Modbus, DNP3, IEC 61850, OPC-UA) richiedono competenze specialistiche. Matproof Sentinel supporta la componente IT dei sistemi nel perimetro; per la componente OT/ICS pura, consigliamo il coinvolgimento di specialisti OT security.
Come si gestisce la riservatezza dei risultati dei test per sistemi nel Perimetro?
La riservatezza è essenziale per i test su sistemi nel Perimetro: i report di penetration test contengono informazioni sensibili sulle vulnerabilità di infrastrutture critiche nazionali. I fornitori di pentest devono essere sottoposti a accordi di riservatezza rigorosi (NDA) e, idealmente, il personale che accede ai sistemi nel perimetro deve essere soggetto a procedure di screening di sicurezza. I report devono essere classificati e gestiti con accesso ristretto. La condivisione con ACN avviene attraverso canali sicuri.
Matproof è qualificato dall'ACN per i servizi di pentest nel Perimetro?
La qualificazione ACN per i servizi di pentest è un processo in evoluzione. Matproof sta seguendo le procedure di qualificazione ACN. Per i sistemi nel Perimetro che richiedono fornitori già qualificati, Matproof può essere utilizzato per la componente di vulnerability scanning continuo e reporting, mentre per il pentest formale sulle funzioni critiche del Perimetro collaboriamo con partner qualificati ACN. Contatti il nostro team per una valutazione specifica della Sua situazione.
Approfondisci — articoli correlati dal blog
Avvii il programma di cybersicurezza per i sistemi nel Perimetro
I soggetti nel Perimetro di Sicurezza Nazionale Cibernetica necessitano di un programma di test tecnici robusto e documentato. Matproof Sentinel fornisce la componente di vulnerability management e pentest con report strutturati per le ispezioni ACN.
Avvia il pentest ACN Perimetro