Il decreto cybersicurezza è legge. Dopo la Camera anche il Senato ha dato l’ok al provvedimento che definisce l‘architettura nazionale e istituisce l’Agenzia per la cybersicurezza, modificando anche il decreto legge del 2019 con cui era stato definito il perimetro di sicurezza cibernetica.
In dettaglio, il sistema nazionale di sicurezza cibernetica ha al suo vertice il presidente del Consiglio dei ministri al quale è attribuita “l’alta direzione e la responsabilità generale delle politiche di cybersicurezza”. Sarà il presidente del Consiglio a nominare e revocare il direttore generale e il vice direttore generale della nuova Agenzia per la cybersicurezza nazionale, nomine che dovranno essere preventivamente essere comunicate al Copasir e alle competenti Commissioni parlamentari.
Il provvedimento istituisce anche il Comitato interministeriale per la cybersicurezza, con funzioni di consulenza, proposta e vigilanza sulle politiche del settore. Presso l’Agenzia sono trasferiti il Csirt italiano (il Computer security incident response team) e il Centro di valutazione e certificazione nazionale (Cvcn).
Urso: “L’Italia si sta attrezzando”. Ma non è finita qui
La sicurezza digitale è considerata centrale anche in termini di Pnrr, visto che è uno dei capitoli chiave per la transizione digitale della Pubblica Amministrazione a cui sono destinati circa 620 milioni di euro. “Il decreto licenziato anche dal Senato permetterà di partire subito, colmando una grave lacuna”, commenta il presidente dei Copasir, Adolfo Urso, in una intervista al Corriere della Sera. “L’Agenzia sarà a regime con 800 dipendenti del più alto livello, presi dalla Pubblica amministrazione e poi anche attraverso gare e chiamate dirette. La resilienza cibernetica diventerà realtà con in campo le imprese, le università, la PA e la formazione”.
Secondo il presidente del Copasir però il cammino nazionale non è concluso e l’attacco hacker alla Regione Lazio rappresenta il pericoloso segnale di un’evoluzione che rischia di produrre effetti nefasti. “La Nato, nell’ultimo vertice, ha equiparato gli attacchi cibernetici a quelli via mare, via terra, via cielo. E ha concluso che per fronteggiarli servirà ancora una volta il mutuo soccorso tra i vari Paesi. Insomma, se questa è una guerra nuova per il dominio dello spazio cibernetico, va combattuta insieme com’è sempre stato”.
“L’Italia si sta attrezzando”, evidenzia Urso ricordando che il Copasir “affrontò la questione sin dall’inizio della legislatura, tre anni fa, quando con la presidenza Guerini — io ero il vice — elaborò una relazione al Parlamento, approvata all’unanimità in cui si evidenziava come già nel 2018, prima del Covid-19, le azioni ostili cibernetiche erano aumentate del 561% rispetto all’anno precedente e avevano colpito soprattutto, nel 72% dei casi, i sistemi informatici di pubbliche amministrazioni centrali e locali”. Urso accende anche i riflettori sul 5G e la questione cinese: “Quella relazione indicava la necessità di evitare l’utilizzo della tecnologia cinese nelle infrastrutture 5G per meglio garantire la sicurezza nazionale, cosa che sembra finalmente caratterizzare l’azione del governo Draghi”. Secondo il presidente del Copasir “bisogna intervenire su altri fronti: realizzare un perimetro di sicurezza cibernetico proteggendo al massimo reti, imprese, banche dati e realizzare il cosiddetto cloud nazionale”.
L’agenzia nazionale per la Cybersecurity
La nuova Agenzia per la cybersicurezza nazionale (Acn), che verrà istituita “a tutela degli interessi nazionali nel campo della cybersicurezza” con sede a Roma, avrà personalità giuridica di diritto pubblico e sarà dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria. L’Agenzia sarà Autorità nazionale per la cybersicurezza e dovrà quindi assicurare il coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e promuovere la realizzazione di azioni comuni dirette ad assicurare la sicurezza e resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonché per il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore.
Oltre al direttore, come organo è previsto un collegio dei revisori dei conti. Il direttore generale, che rappresenta l’organo di gestione, è il legale rappresentante dell’Agenzia ed è il diretto referente del presidente del Consiglio e delle autorità delegate. Il direttore è scelto nelle categorie tra cui può essere nominato il segretario generale della presidenza del Consiglio. L’incarico del direttore ha una durata massima di quattro anni e può essere rinnovato, anche con successivi provvedimenti, per un massimo di ulteriori quattro anni. Il collegio dei revisori dei conti è organo di controllo interno, per la cui composizione e funzionamento si fa rinvio interamente al regolamento. Il dl prevede, oltre al regolamento di organizzazione e di funzionamento dell’Agenzia, il regolamento di contabilità, il regolamento sulle procedure per la stipula di contratti di appalti, di lavori e di forniture per le attività finalizzate alla sicurezza, il regolamento del personale.
L’Agenzia assume tutte le funzioni in materia di cybersicurezza nazionale attribuite alla presidenza del Consiglio, al ministero dello Sviluppo economico, al Dis e all’Agenzia per l’Italia digitale. Lungo e articolato l’elenco di compiti affidati all’Acn: predispone la Strategia nazionale di cybersicurezza; svolge le necessarie attività di supporto al funzionamento del Nucleo per la cybersicurezza portato dal dl presso la stessa Agenzia; è Autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi; è Autorità nazionale di certificazione della cybersicurezza; sviluppa la capacità nazionale di prevenzione, monitoraggio, rilevamento, analisi e risposta per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici; cura e promuove la definizione e il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza; sostiene, negli ambiti di competenza, lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche, e, per questo riguardo, l’Agenzia si fa promotore del coinvolgimento del sistema dell’università e della ricerca, nonché del sistema produttivo nazionale; assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza e, in particolare, con il ministero della Difesa, per gli aspetti inerenti alla ricerca militare; svolge attività di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia; promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, anche attraverso l’assegnazione di borse di studio, di dottorato e assegni di ricerca, favorendo l’attivazione di percorsi formativi universitari in materia di cybersicurezza.
Inoltre, l’Agenzia assume iniziative idonee a valorizzare la crittografia come strumento di cybersicurezza; provvede alla qualificazione dei servizi cloud per la pubblica amministrazione; promuove iniziative di partenariato pubblico-privato, onde rendere effettive le capacità di prevenzione, rilevamento e risposta degli incidenti e degli attacchi informatici; può promuovere la costituzione di aree dedicate allo sviluppo dell’innovazione finalizzate a favorire la formazione e il reclutamento di personale nei settori avanzati dello sviluppo della cybersicurezza; può predisporre attività di formazione specifica riservata ai giovani che aderiscono al servizio civile; può costituire e partecipare a partenariati pubblico-privati sul territorio nazionale, nonché, previa autorizzazione del presidente del Consiglio, a consorzi, fondazioni o società con soggetti pubblici e privati, italiani e stranieri.
Presso l’Agenzia sono dunque trasferiti il Computer Security Incident Response Team, il Csirt italiano, il Centro di valutazione e certificazione nazionale. È inoltre prevista l’istituzione di un comitato tecnico-scientifico presso l’Agenzia, con funzioni di consulenza e di proposta. Tale comitato è presieduto dal direttore generale della stessa Agenzia o da un dirigente da lui delegato ed è composto da personale della stessa Agenzia, nonché da qualificati rappresentanti dell’industria, degli enti di ricerca, delle accademie e delle associazioni nel settore della sicurezza.
Le nomine e il ruolo del Presidente del Consiglio
Il presidente del Consiglio è l’autorità di vertice dell’architettura e della sicurezza cibernetica, in quanto a lui è attribuita in via esclusiva “l’alta direzione e la responsabilità generale delle politiche di cybersicurezza”. Inoltre, al presidente del Consiglio spetta, sempre in via esclusiva, l’adozione della strategia nazionale di cybersicurezza, sentito il nuovo Comitato interministeriale per la cybersicurezza (Cic), che viene istituito dallo stesso decreto legge. Sarà il premier a nominare e revocare il direttore generale e il vicedirettore generale dell’Agenzia per la cybersicurezza nazionale con previa deliberazione del Cdm.
Si prevede che il presidente del Consiglio informi preventivamente circa le nomine il Copasir (Comitato parlamentare per la sicurezza della Repubblica) e le commissioni parlamentari competenti. Non si interviene sui contenuti della strategia nazionale di sicurezza cibernetica, che rimangono disciplinati dal decreto legislativo n. 65 del 2018, ma ne viene mutata la denominazione in strategia nazionale di cybersicurezza e si provvede a modificare la procedura di adozione, prevedendo il parere del nuovo Comitato interministeriale per la cybersicurezza, anziché del Comitato interministeriale per la sicurezza della Repubblica (Cisr). Il presidente del Consiglio, ai fini dell’esercizio delle competenze di responsabilità generale e dell’attuazione della strategia nazionale di cybersicurezza, impartisce le direttive per la cybersicurezza ed emana le disposizioni per l’organizzazione e il funzionamento dell’Agenzia per la cybersicurezza nazionale, previo parere del Cic.
Il comitato interministeriale per la cybersicurezza
Il Cic, istituito presso la presidenza del Consiglio con “funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza”, è composto dal presidente del Consiglio, che lo presiede, dall’Autorità delegata per la sicurezza della Repubblica (oggi è il sottosegretario alla presidenza del Consiglio Franco Gabrielli), dai ministri degli Esteri, dell’Interno, della Giustizia, della Difesa, dell’Economia, dello Sviluppo economico, della Transizione ecologica, dell’Università e della ricerca, per l’Innovazione tecnologica e la transizione digitale, delle Infrastrutture e della mobilità sostenibili. Al Cic sono attribuiti i compiti di: proporre al presidente del Consiglio gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale; esercitare l’alta sorveglianza sull’attuazione della strategia nazionale di cybersicurezza; promuovere l’adozione delle iniziative per favorire la collaborazione tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza per la condivisione delle informazioni e per l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cybersicurezza, allo sviluppo industriale, tecnologico e scientifico in materia; esprimere il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cybersicurezza nazionale. Inoltre, vengono affidate al Cic tutte le funzioni di consulenza e proposta già attribuite al Cisr dal decreto legge Perimetro e dai relativi provvedimenti attuativi, fatta eccezione per quelle in materia di determinazione del presidente del Consiglio in caso di crisi di natura cibernetica.
Il nucleo per la cybersicurezza
Presso l’Agenzia è costituito, in via permanente, il Nucleo per la cybersicurezza, a supporto del presidente del Consiglio “per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento”.
Il Nucleo è presieduto dal direttore generale dell’Agenzia o, per sua delega, dal vicedirettore generale.
È composto da: il consigliere militare del presidente del Consiglio, un rappresentante del Dis, un rappresentante dell’Agenzia informazioni e sicurezza esterna (Aise), un rappresentante dell’Agenzia informazioni e sicurezza interna (Aisi), un rappresentante di ciascuno dei ministeri rappresentati nel Cic, un rappresentante del dipartimento della Protezione civile e, limitatamente alla trattazione di informazioni classificate, un rappresentante dell’Ufficio centrale per la segretezza, istituito presso il Dis. A fronte di questa composizione allargata, è prevista una possibile composizione ristretta, con la partecipazione dei rappresentanti delle sole amministrazioni e dei soggetti interessati, anche relativamente ai compiti di gestione delle crisi.
Tra le funzioni del Nucleo sono previste quelle di: formulare proposte di iniziative in materia di cybersicurezza; promuovere, sulla base delle direttive del presidente del Consiglio, la programmazione e la pianificazione operativa, da parte delle amministrazioni e degli operatori privati interessati, della risposta a situazioni di crisi cibernetica; promuovere e coordinare lo svolgimento di esercitazioni interministeriali o la partecipazione italiana a esercitazioni internazionali di simulazione di eventi di natura cibernetica; valutare e promuovere procedure di condivisione delle informazioni, anche con gli operatori privati, in raccordo con le amministrazioni competenti, per specifici profili della cybersicurezza ai fini della diffusione di allarmi relativi ad eventi cibernetici e alla gestione delle crisi; acquisire le comunicazioni circa i casi di violazioni o di tentativi di violazione alla sicurezza o alla perdita di integrità significativa ai fini di un corretto funzionamento delle reti e dei servizi; ricevere dal Csirt Italia le notifiche di incidenti; valutare se le violazioni o i tentativi di violazione della sicurezza o i casi di perdita dell’integrità significativi o gli incidenti assumano dimensioni, intensità o natura tali da non poter essere fronteggiati dalle singole amministrazioni competenti in via ordinaria e da richiedere l’assunzione di decisioni coordinate in sede interministeriale. In tal caso, il Nucleo provvede ad informare tempestivamente il presidente del Consiglio o l’autorità delegata per la sicurezza della Repubblica, sulla situazione in atto o sullo svolgimento delle attività di gestione della crisi.
Come saranno gestite le crisi
In casi di situazioni di crisi che coinvolgono aspetti di cybersicurezza, alle sedute del Cisr sono chiamati a partecipare il ministro per l’Innovazione tecnologica e la transizione digitale e il direttore dell’Agenzia. In situazioni di crisi, il Nucleo per la cybersicurezza è integrato con un rappresentante del ministero della Salute e del ministero dell’Interno-dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, in rappresentanza anche della commissione interministeriale tecnica di Difesa civile. Il Nucleo in questa composizione deve assicurare che le attività di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti, rispetto a situazioni di crisi di natura cibernetica, vengano espletate in maniera coordinata.
Il Nucleo mantiene costantemente informato il presidente del Consiglio o l’Autorità delegata, assicura il coordinamento per l’attuazione a livello interministeriale delle determinazioni del presidente del Consiglio per il superamento della crisi, raccoglie tutti i dati relativi alla crisi, elabora rapporti e fornisce informazioni sulla crisi e li trasmette ai soggetti pubblici e privati interessati, partecipa ai meccanismi europei di gestione delle crisi cibernetiche, assicurando anche i collegamenti finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della Nato, dell’Ue o di organizzazioni internazionali di cui l’Italia fa parte.
