Diritti & LavoroScienza & Tecnologia

Nasce l’Agenzia per la cybersicurezza nazionale

Ci siamo o bisogna ancora lavorare sul fronte della sicurezza informatica?

Il Decreto-legge 14 giugno 2021, n. 82 (testo in calce) recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale” completa la strategia di cyber-resilienza nazionale, avviata con la disciplina sul perimetro cibernetico, e accresce, attraverso la promozione della cultura della sicurezza cibernetica, la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.

La principale novità del decreto è rappresentata indubbiamente dalla creazione dell’Agenzia per la cybersicurezza nazionale (art. 5) che opererà sotto la responsabilità del Presidente del Consiglio dei ministri e dell’Autorità delegata per la sicurezza della Repubblica e in stretto raccordo con il Sistema di informazione per la sicurezza della Repubblica e sarà tra l’altro incaricata di:

  • esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche;
  • sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale;
  • contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
  • supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
  • assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica.

Presso l’Agenzia è, inoltre, costituito, in via permanente, il Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento (art. 8)

Inoltre, il decreto istituisce all’art. 4 il Comitato interministeriale per la cybersicurezza (CIC) con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.

Diversi sono i compiti del Comitato:

  • propone al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale;
  • esercita l’alta sorveglianza sull’attuazione della strategia nazionale di cybersicurezza;
  • promuove l’adozione delle iniziative necessarie per favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonché per la condivisione delle informazioni e per l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza;
  • esprime il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cybersicurezza nazionale.

Nelle situazioni di crisi   che   coinvolgono   aspetti   di cybersicurezza, nei casi in cui il Presidente del Consiglio dei ministri convochi il CISR in materia di gestione delle predette situazioni di crisi, alle sedute del Comitato sono chiamati a partecipare il Ministro delegato per l’innovazione tecnologica e la transizione digitale e il direttore generale dell’Agenzia. In tal caso il Nucleo per la cybersicurezza assicura il supporto al CISR e al Presidente del Consiglio dei ministri, nella materia della cybersicurezza, per gli aspetti relativi alla gestione di situazioni di crisi nonché per l’esercizio dei poteri attribuiti al Presidente del Consiglio dei ministri, ivi comprese le attività istruttorie e le procedure di attivazione necessarie, ai sensi dell’articolo 5 del decreto-legge perimetro.

Infine, quale tempestivo adeguamento alla normativa europea, il Governo ha individuato l’Agenzia quale Centro nazionale di coordinamento italiano, che si interfaccerà con il “Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca” di recente istituzione, concorrendo ad aumentare l’autonomia strategica europea nel settore.

Il tema della sicurezza informatica riveste un’importanza fondamentale perché necessaria per garantire la disponibilità, l’integrità e la riservatezza delle informazioni del Sistema informativo.

Un’area tecnologica in continua evoluzione, quasi giornaliera, nella quale gli investimenti devono essere rafforzati in continuazione tenendo conto anche dei principi di privacy previsti dall’ordinamento giuridico.

Negli ultimi anni il numero complessivo di attacchi e di incidenti legati alla sicurezza informatica, specialmente nella PA, è aumentato in modo esponenziale. Tutti gli studi e le ricerche che analizzano e studiano questi fenomeni sono concordi nell’affermare una preoccupante tendenza alla crescita.

Le pubbliche amministrazioni, dal punto di vista sicurezza, possono essere considerate come organizzazioni fortemente regolate, in considerazione del fatto che la loro attività si svolge nell’ambito e nei limiti di norme che hanno valore di legge. Il problema era che fino a poco tempo fa erano state poche le norme giuridiche che si erano occupate di cyber security, ma la situazione, come a breve si vedrà, è fortemente cambiata.

Come noto, l’Agenzia per l’Italia Digitale (AgID) deve assicurare il coordinamento delle iniziative nell’ambito delle attività di indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica con particolare riferimento al Sistema Pubblico di Connettività. Ma in materia sono necessarie ulteriori regole tecniche che in coerenza con la disciplina in materia di tutela della privacy introducano elementi utili per riconoscere l’esattezza, la disponibilità, l’integrità e per verificare l’accessibilità e la riservatezza dei dati.

Proprio per questi motivi è stata emanata, sebbene intempestivamente, la Circolare AgID del 17 marzo 2017 n. 1/2017 contenente le “Misure minime di sicurezza ICT per le pubbliche amministrazioni” successivamente sostituita dalla circolare n. 2/2017 del 18 aprile 2017.

Le stesse misure erano parte integrante del più ampio disegno delle Regole Tecniche per la sicurezza informatica della Pubblica Amministrazione, emesso come previsto dal Piano Triennale per l’Informatica nella PA e dalla Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, che ha assegnato all’Agenzia per l’Italia Digitale il compito di sviluppare gli standard di riferimento per le amministrazioni.

Tale Direttiva in considerazione dell’esigenza di consolidare un sistema di reazione efficiente, che raccordi le capacità di risposta delle singole Amministrazioni, a fronte di eventi quali incidenti o azioni ostili che possono compromettere il funzionamento dei sistemi e degli assetti fisici controllati dagli stessi, ha sollecitato tutte le Amministrazioni e gli Organi chiamati ad intervenire nell’ambito degli assetti nazionali di reazione ad eventi cibernetici a dotarsi, secondo una tempistica definita e comunque nel più breve tempo possibile, di standard minimi di prevenzione e reazione ad eventi cibernetici.

In tale ottica ha assunto rilevanza anche la nuova direttiva sulla protezione cibernetica e la sicurezza informatica nazionale emanata con DPCM del 17 febbraio 2017 che si è posto l’obiettivo di aggiornare la precedente direttiva del 24 gennaio 2013 e di conseguenza anche la relativa architettura di sicurezza cibernetica nazionale e di protezione delle infrastrutture critiche.

L’esigenza di nuovi provvedimenti ed anche di nuove strategie nasce innanzitutto dall’emanazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. Direttiva NIS) recepita in Italia con il d.lgs. 18 maggio 2018, n. 65 nonché da quanto previsto dall’art. 7-bis, comma 5, del decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge n. 198 del 2015, al fine di ricondurre a sistema e unitarietà le diverse competenze coinvolte nella gestione della situazione di crisi, in relazione al grado di pregiudizio alla sicurezza della Repubblica e delle Istituzioni democratiche poste dalla Costituzione a suo fondamento.

La Direttiva NIS contiene una serie di misure legislative che si prefiggono l’obiettivo di creare un livello comune, quanto più elevato possibile, di sicurezza delle reti e in generale dei sistemi informativi all’interno dell’Unione Europea.

Lo scopo principale di questa normativa europea è di ottenere che:

  • ogni singolo Stato Membro dell’Unione Europea migliori la propria capacità di gestire la sicurezza delle reti;
  • che insieme se ne aumenti il livello, in modo comune e cooperato;
  • che tutti gli Stati riescano a riconoscere e gestire i rischi, nonché gli errori più gravi da parte degli operatori e dei fornitori dei servizi digitali.

Successivamente l’Italia con il d.lgs. n. 65/2018 ha inteso da una parte promuovere una cultura di gestione del rischio e di segnalazione degli incidenti tra i principali attori economici e, dall’altra, rafforzare la cooperazione a livello nazionale e in ambito UE.

Altro provvedimento fondamentale per la sicurezza informatica del nostro paese è rappresentato dal decreto-legge n. 105 del 2019  (convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133) adottato al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi. Talune modifiche sono state apportate, a tale provvedimento, dal decreto-legge n. 162 del 2019, in materia di proroga dei termini e altre disposizioni sulla pubblica amministrazione (di recente è stato anche aggiornato dal Presidente del Consiglio l’elenco dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica).

In attuazione del decreto-legge n. 105 sono stati definiti in particolare il DPCM 30 luglio 2020, n. 131, che ha dettato criteri e modalità per l’individuazione dei soggetti inclusi nel perimetro nazionale di sicurezza cibernetica, e il DPCM 14 aprile 2021, n. 81 che ha dettato il Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici e di misure volte a garantire elevati livelli di sicurezza.

Inoltre, il decreto-legge n. 162 (all’art. 26) ha previsto che il Computer security incident response team – CSIRT italiano, istituito presso la Presidenza del Consiglio, sia incardinato nel Dipartimento delle informazioni per la sicurezza – DIS, in aderenza con il decreto del Presidente del Consiglio dell’8 agosto 2019 che ha previsto la costituzione del CSIRT presso il DIS.

E’ stata, inoltre, disposta l’istituzione della Direzione generale per lo sviluppo della prevenzione e tutela informatiche presso il Dipartimento della pubblica sicurezza del Ministero dell’interno ad opera del decreto-legge 34/2020 (cd. Decreto Rilancio, art. 240).

Si attendono, adesso, gli ultimi due DPCM:

  • il terzo è relativo alle categorie per le quali sarà necessario effettuare la notifica al Centro di valutazione e certificazione nazionale (Cvcn);
  • il quarto è relativo ai criteri per l’accreditamento dei laboratori competenti per le verifiche delle condizioni di sicurezza.

Dall’analisi dell’attuale situazione normativa emerge, quindi, uno scenario fortemente cambiato rispetto a qualche anno fa, dove la materia della cybersecurity assume una rilevanza strategica ed operativa fondamentale e dove finalmente si avverte una presa di coscienza da parte del legislatore e quindi del Governo sulla centralità di questa materia in un’epoca come quella attuale contraddistinta da una sempre maggiore informatizzazione delle attività. Resta, però, un dubbio che nasce anche a seguito di precedenti normativi che hanno contraddistinto il campo della digitalizzazione del nostro paese e cioè: a tale vasta e compulsiva produzione normativa avutasi negli ultimi tempi in ambito cybersecurity farà seguito anche una concreta attività di gestione e finalizzazione o tutto rimarrà sulla carta? Ricordiamo, difatti, che nel campo della cybersecurity contano principalmente i mezzi e quindi le risorse, l’azione ed il coordinamento delle attività.

DECRETO LEGGE N. 82/2021 >> SCARICA IL TESTO PDF

altalex.com

Redazione Corriere di Puglia e Lucania

Articoli Correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button