kaspersky vietato pa legge

Kaspersky va sostituito in tutte le PA.

Entra in vigore nella giornata di oggi – 22 marzo 2022 – il Decreto-legge n. 21, del 21 marzo 2022, che tratta delle “Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina

 

Decreto-legge su Kaspersky: via dalla Pubblica amministrazione

Il Decreto, in sostanza, si occupa di tutte quelle materie e quegli ambiti strettamente connessi, per non dire interdipendenti, alla sfera di influenza/dipendenza nei confronti della Federazione Russa.

E che la Federazione Russa stia dando qualche grattacapo è fuori questione, ma non è questa la sede per vaneggiare dibattiti politici, ci limiteremo ad esporre le novità, ancora poco chiare e dai contorni indefiniti, che da oggi investono il settore cyber legato, più meno intimamente, a detti ambienti.

 

Perché Kaspersky è stato vietato dalla legge nelle PA?

Il nostro interlocutore diventa quindi il Titolo IV del Decreto in esame, che disciplina il “Rafforzamento dei presidi per la sicurezza, la difesa nazionale e per le reti di comunicazione elettronica”.

Il legislatore ha voluto mettere “in sicurezza” alcuni ambiti che, stante lo stato di guerra in cui versa la Russia, potrebbero risentire di un concreto disservizio.

Nello specifico, il Capo II si occupa della “Cybersicurezza delle reti, dei sistemi informativi e dei servizi informatici e approvvigionamento di materie prime critiche”, stabilendo all’art. 29 che, in ottica della prevenzione di qualsivoglia pregiudizio in capo alle amministrazioni pubbliche in riferimento a servizi di aggiornamento di prodotti e servizi forniti da aziende tecnologiche legate alla Federazione Russa, si richiede una tempestiva “diversificazione dei prodotti in uso”. Ecco l’art. 29:

“Rafforzamento della disciplina cyber 1. Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti appartenenti alle categorie individuate al comma 3, in conseguenza della crisi in Ucraina, le medesime amministrazioni procedono tempestivamente alla diversificazione dei prodotti in uso. 2. Fermo restando quanto previsto dall’articolo 1, comma 2, lettera a), del decreto-legge 16 luglio 2020, n. 76, convertito, con modificazioni, dalla legge 11 settembre 2020, n. 120, le stazioni appaltanti, che procedono ai sensi del comma 1, provvedono all’acquisto di un ulteriore prodotto o servizio tecnologico di sicurezza informatica di cui al comma 3 e connessi servizi di supporto mediante gli strumenti di acquisto messi a disposizione dalle centrali di committenza, ovvero, laddove non sussistano o non siano comunque disponibili nell’ambito di tali strumenti, mediante la procedura negoziata senza previa pubblicazione del bando di cui all’articolo 63 del decreto legislativo 16 aprile 2016, n. 50, anche in deroga a quanto disposto dal comma 6, secondo periodo, del medesimo articolo 63. 3. Le categorie di prodotti e servizi di cui al comma 1 sono indicate con circolare dell’Agenzia per la cybersicurezza nazionale, tra quelle volte ad assicurare le seguenti funzioni di sicurezza: a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed «endpoint detection and response» (EDR); b) «web application firewall» (WAF); 4. Dall’attuazione dei commi 1, 2 e 3 non derivano effetti che possano costituire presupposto per l’azione di responsabilita’ di cui all’articolo 1 della legge 14 gennaio 1994, n. 20. Le amministrazioni interessate provvedono agli adempimenti previsti dai commi 1, 2 e 3 con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente. 5. All’articolo 5, comma 1, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, dopo le parole «fattore di rischio o alla sua mitigazione,» sono inserite le seguenti: «in deroga ad ogni disposizione vigente, nel rispetto dei principi generali dell’ordinamento giuridico e» e, dopo il primo periodo sono aggiunti i seguenti: «Laddove nelle determinazioni di cui al presente comma sia recata deroga alle leggi vigenti anche ai fini delle ulteriori necessarie misure correlate alla disattivazione o all’interruzione, le stesse determinazioni devono contenere l’indicazione delle principali norme a cui si intende derogare e tali deroghe devono essere specificamente motivate. Le determinazioni di cui al presente comma non sono soggetti al controllo preventivo di legittimita’ di cui all’articolo 3 della legge 14 gennaio 1994, n. 20.». 6. Al fine di consentire il piu’ rapido avvio delle attivita’ strumentali alla tutela della sicurezza nazionale nello spazio cibernetico, all’articolo 12 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 8 e’ aggiunto il seguente: «8-bis. In relazione alle assunzioni a tempo determinato di cui al comma 2, lettera b), i relativi contratti per lo svolgimento delle funzioni volte alla tutela della sicurezza nazionale nello spazio cibernetico attribuite all’Agenzia, possono prevedere una durata massima di quattro anni, rinnovabile per periodi non superiori ad ulteriori complessivi quattro anni. Delle assunzioni e dei rinnovi disposti ai sensi del presente comma e’ data comunicazione al COPASIR nell’ambito della relazione di cui all’articolo 14, comma 2.».”

Trovate qui il decreto completo: https://www.gazzettaufficiale.it/eli/id/2022/03/21/22G00032/sg

 

Quali software russi sono stati vietati?

Tra le categorie di prodotti e servizi di nostro interesse, come indicato con circolare dell’Agenzia per la cybersicurezza nazionale, rientrano, citando la norma, quelli volti ad assicurare le funzioni di:

  • sicurezza dei dispositivi (ED – endpoint security, ovverosia protezione delle reti collegate da remoto ai dispositivi client),  ivi  compresi applicativi  antivirus,  antimalware  ed  «endpoint   detection   and response» (EDR – endpoint detection   and response, ovverosia una tecnologia di sicurezza informatica che monitora gli endpoints per mitigare le minacce informatiche);
  • «web application firewall» (WAF – web application firewall, ovverosia una forma specifica di firewall per applicazioni che filtra, monitora e blocca il traffico HTTP da e verso un servizio web)”.

 

russia antivirus pa

 

Ma le aziende private cosa devono fare con Kaspersky?

Kaspersky, un antivirus russo diffusamente utilizzato dalla pubblica amministrazione italiana, è quindi oggetto di una necessaria e repentina sostituzione (il decreto-legge si caratterizza infatti per la sua efficacia immediata), all’interno del più ampio quadro di una ri-organizzazione complessiva, dunque, di tutto il comparto tecnologico pubblico russo-dipendente.

Ma quali politiche e quali strategie lato operational devono adottare le aziende private?

Purtroppo non ci è ancora dato saperlo, appena ci saranno novità le segnaleremo su dirittodellinformatica.it, per qualsiasi informazione puoi fare affidamento alla mail studio@fclex.it

Se devi aggiornare la tua compliance aziendale, la tua Pubblica Amministrazione utilizza Kaspersky e devi metterti a norma, puoi fare affidamento al nostro partner Studio Legale FCLEX (Con sede a Bologna, ma si può procedere anche completamente online) chiedendo dell’Avvocato Giuseppe Croari, esperto da anni di diritto delle nuove tecnologie.

avvocato giuseppe croari bologna privacy

Ultimi aggiornamenti

youtube copyright ban strike
Non esiste content creator, youtuber o streamer di Twitch che non abbia mai usato una canzone, una foto, uno spezzone di un film o di un’altra opera di terzi in un proprio video. Eppure, proprio in relazione a questa pratica diffusissima, sono ad oggi innumerevoli i casi […]
Sommario: 1. Premessa 2. PC Gaming e console: sono “apparecchiature” da omologare? Quale legame hanno con la “pubblica sicurezza”? 3. L’impatto sulle sale LAN e sugli esports bar: ma anche su musei e altre attività 4. L’impatto sull’esport 5. La lacuna normativa italiana. Prospettive oltre la […]
server dati cloud azienda
Per un’azienda, è sempre più avvertita la necessità di poter integrare i sistemi di conservazione tradizionale dei dati, con vari tipi di soluzioni tecnologiche. Tra queste, le offerte proposte dal mercato digitale si concentrano principalmente su due tipologie, le soluzioni in cloud e quelle in azienda […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.