Avanti verso il nuovo assetto di sicurezza cibernetica nazionale: la legge 82/2021 - Cyber Security 360

Agenzia

Avanti verso il nuovo assetto di sicurezza cibernetica nazionale: la legge 82/2021

Approvato il nuovo testo del decreto-legge 82/2021 che punta a ridisegnare l’assetto della sicurezza cibernetica nazionale e prevede la creazione di una nuova Agenzia (ACN). Ecco lo stato del dibattito parlamentare

28 Lug 2021

D
Lorenzo Damiano

Analista Hermes Bay

La Camera ha approvato il nuovo testo del decreto-legge 82/2021 che punta a ridisegnare l’assetto della sicurezza cibernetica nazionale e prevede la creazione di una nuova Agenzia (ACN): in sede referente le Commissioni riunite di Affari costituzionali e Trasporti, presso le quali il testo del decreto è stato in esame, hanno ricevuto le proposte emendative che sono state discusse in aula. Dal potenziamento del ruolo della Difesa, alla valorizzazione della crittografia e della formazione, i relatori hanno presentato i profili di novità del testo approvato.

La legge sulla sicurezza cibernetica e Agenzia: punti chiave

Particolare enfasi è stata posta sulla valorizzazione della crittografia, vista come un’imprescindibile esigenza per mettere in sicurezza dati e informazioni. L’impegno a sviluppare algoritmi proprietari, nonché a incentivare la ricerca in tale ambito auspicando la creazione di un apposito centro nazionale porterebbe plurimi vantaggi.

Crittografia

Dal punto di vista strettamente legato alla sicurezza, disporre di capacità crittografiche “nazionali” permetterebbe di mettere al sicuro i dati conservati da pubbliche amministrazioni ed enti governativi senza dipendere da aziende e organismi stranieri a cui doversi affidare. Ciò è tanto più necessario in considerazione della spinta impressa alla migrazione dei sistemi della PA sul cloud, altra competenza che rientrerà tra quelle della nuova Agenzia. Specialmente per le categorie più delicate di dati sarà essenziale poter contare su provider affidabili stabiliti sul territorio nazionale a cui far gestire le chiavi crittografiche. La norma emendata impone proprio all’ACN il compito di attivare “ogni iniziativa utile al rafforzamento dell’autonomia industriale e tecnologica dell’Italia” in ambito crittografico, innescando così un circolo virtuoso che porti a svincolarci dalla dipendenza da altri stati in un ambito così delicato, nonché a portare benefici all’intero comparto produttivo.

Non bisogna sottovalutare, inoltre, che con l’avanzamento di tecnologie legate alla meccanica quantistica sarà essenziale mettere in sicurezza gli attuali sistemi di cifratura e procedere con lo sviluppo di sistemi di comunicazione che facciano uso della crittografia quantistica, quale quello che tutti gli stati membri dell’Unione Europea si sono impegnati a sviluppare nell’ambito del progetto EuroQCI (European Quantum Communication Infrastructure).

Iniziative pubblico-private

La previsione di capacità nazionali specifiche in ambito di sicurezza informatica è d’altronde incentivata anche dalla promozione di “iniziative di partenariato pubblico-privato” che permettano di renderle effettive. Viene in tal modo riconosciuto il prezioso apporto che possono fornire realtà private per le attività di prevenzione, monitoraggio e gestione degli incidenti informatici che viene svolta anche grazie allo CSIRT nazionale. La mole di attacchi di cui è stata vittima l’Italia, specialmente nell’ultimo anno per via del massiccio e improvviso trasferimento di servizi sul digitale imposto dalla crisi da Covid-19, hanno reso evidente come solo attraverso un impegno costante da parte di tutti gli attori coinvolti, dal pubblico al privato fino ai singoli cittadini, sia possibile tentare di arginare tali minacce.

Formazione

Il primo tassello di una rinnovata consapevolezza sulla sicurezza informatica passa senz’altro dalla formazione, su cui il testo emendato pone particolarmente l’accento. Si prevede infatti l’attivazione di percorsi formativi universitari volti alla creazione di figure specialistiche al fine di perseguire quegli obiettivi di eccellenza cui dovrà aspirare il nuovo assetto cyber nazionale. Per tale attività formativa l’Agenzia potrà essere coadiuvata dalle strutture già esistenti presso la Presidenza del Consiglio e i Ministeri di Interno e Difesa, favorendo ulteriormente la collaborazione virtuosa fra gli enti istituzionali.

A fare da corollario c’è la previsione di apposite aree dedicate allo sviluppo delle competenze cibernetiche e dell’innovazione volte a favorire appunto la formazione avanzata e il reclutamento di personale specializzato. Si va dunque delineando la creazione di “cyberparchi” sul modello di quello israeliano di Beer Sheva, esempio della sinergia fra aziende, università e istituzioni che già l’Associazione CyberArea ha proposto in Italia: in particolare il progetto, appoggiato da esponenti di tutti i Partiti, prevede la creazione di un polo tecnologico “cyber parco” presso l’ex Cara di Mineo. Tali ecosistemi permettono di mettere in comunicazione e fare da volano per capacità imprenditoriali e tecnologiche essenziali per il sistema Paese, sia per le necessità sovrane che per la loro eventuale esportazione.

La specificità della materia e la necessità di consultarsi con i maggiori esperti di settore hanno suggerito l’istituzione in seno all’Agenzia di un apposito Comitato tecnico-scientifico composto, oltre che dallo stesso personale, anche da accademici, rappresentanti di industria, enti di ricerca e associazioni di sicurezza informatica con a capo il direttore generale dell’ACN. Tale organo con funzioni di consulenza e di proposta potrà senz’altro svolgere una preziosa attività di supervisione dei lavori dell’Agenzia, nonché dare adeguato impulso all’impianto formativo delineato dal decreto.

Settore militare

A dimostrazione dell’importanza della sicurezza informatica anche per il settore militare, che ormai da tempo ha inserito il dominio cyber tra quelli operativi, le prerogative del relativo Ministero sono state ampliate specialmente per quanto concerne la ricerca in materia di cybersicurezza in ambito militare e la collaborazione con altri enti. L’impegno per la sicurezza nazionale in ambito cyber, infatti, impone una stretta e fruttuosa cooperazione con enti e organizzazioni quali l’Agenzia europea per la difesa e soprattutto la NATO. L’Alleanza militare ha infatti recentemente presentato la sua nuova cyber defence policy che, oltre a ribadire l’equiparazione fra attacchi cyber e cinetici, impegna gli stati membri, Italia compresa, ad incrementare le capacità di difesa delle infrastrutture e reti nazionali, nonché migliorare la resilienza verso gli attacchi. L’Agenzia potrà quindi svolgere un fondamentale ruolo di raccordo con il Ministero della Difesa per quei progetti e quelle iniziative fondamentali per assicurare la migliore difesa della sicurezza nazionale.

L’importanza della legge

In attesa di eventuali modifiche apportate dal Senato, la strada tracciata dal decreto-legge così come emendato dalle Commissioni della Camera sembra chiara: rafforzamento delle competenze, cooperazione e sinergia pubblico-privato. La sfida della sicurezza informatica non può prescindere dall’azione concertata di tutte le parti in gioco che la nuova Agenzia avrà il compito di sovrintendere e dirigere.

Le parole del presidente americano Joe Biden di questi giorni hanno chiaramente presentato gli attacchi cyber come possibile causa scatenante di una guerra vera e propria, portandolo ad emanare un ennesimo memorandum in merito alle misure di sicurezza che le infrastrutture critiche sono tenute a implementare. L’Italia ha già predisposto le necessarie misure conformandosi alla direttiva NIS, realizzando il perimetro di sicurezza nazionale cibernetica, nonché istituendo appunto la nuova Agenzia per la Cybersicurezza Nazionale che, anche in ottica futura, potrà svolgere il ruolo di cabina di regia per la protezione strategica del sistema Paese quale unico punto di contatto per tutte le attività cyber.

Il dettaglio della seduta della Camera che ha approvato la legge

Le proposte di emendamento sono state discusse durante la seduta della Camera dei deputati che ha avuto luogo lo scorso 26 Luglio, presieduta dal Vicepresidente Andrea Mandelli. La seduta ha visto quale primo intervento il resoconto della Relatrice per la Commissione Trasporti Raffaella Paita (Italia Viva). La deputata ha esordito ribadendo la necessità di un simile provvedimento soprattutto in una prospettiva futura, a vantaggio sia della funzionalità di tutto il sistema paese che della competitività con i partner europei ed esteri. Paita ha poi passato in rassegna l’impianto del decreto-legge, sottolineando il lavoro svolto dalle Commissioni in sede referente e spiegando i contenuti salienti delle singole previsioni.

Ha preso poi la parola Angela Raffa, appartenente al gruppo del Movimento 5 Stelle, la quale, entrando immediatamente nel merito delle previsioni del decreto, ha sottolineato come in tema di nomine dei vertici della istituenda Agenzia, le prerogative del Presidente del Consiglio siano state modificate dalle Commissioni. Nel testo emendato è stata inserita la preventiva comunicazione dei nomi al COPASIR e alle Commissioni parlamentari competenti, rivendicando come tale aggiunta fosse stata fortemente voluta dalla propria forza politica. Ancora, analizzando il dettato dell’art.4 co.5, che tratta della composizione del Comitato Interministeriale per la Cybersicurezza, è stata espunta la possibilità di convocazione presso lo stesso Comitato del direttore generale del DIS, del direttore dell’AISE e del direttore dell’AISI. Dando lettura dell’art.5 ha invece ricordato come il Movimento abbia spinto per includere le forze armate tra gli enti di collaborazione per le attività dell’Agenzia.

Con riguardo all’Art.6 ha poi ricordato come i pentastellati abbiano voluto l’inserimento del previo parere delle Commissioni parlamentari in merito al Regolamento di organizzazione dell’Agenzia per i profili finanziari.  Per quanto riguarda il successivo art.7, Raffa ha sottolineato che è stata aggiunta la previsione secondo cui l’Agenza promuove anche quelle iniziative che tendono a valorizzare la crittografia come strumento di sicurezza, aggiungendo che essa è un punto di fondamentale importanza, soprattutto per la tutela di dati ed informazioni. Inoltre, all’Agenzia viene data facoltà di promuovere la costituzione di aree dedicate allo sviluppo e all’innovazione volte a favorire la formazione ed il reclutamento di personale nei settori avanzati della cybersicurezza, i c.d. CyberParchi.

Specialmente in ambito militare, la formazione degli esperti sarà demandata ad una nuova Cyber Defence Academy istituita presso il Ministero della Difesa. Infine, sempre da parte del Movimento, è stata prevista la promozione formativa intrapresa dall’Agenzia tramite percorsi universitari specifici.

Il secondo intervento è stato quello del membro di Fratelli d’Italia, Federico Mollicone, che ha esordito descrivendo quali sono le caratteristiche dello spazio cibernetico e quali le necessità dei sistemi per far fronte alle nuove e continue minacce digitali. Nel contesto così designato si innesta il decreto-legge, che risponderebbe alle esigenze di riorganizzazione della sicurezza e della capacità di risposta alle minacce, anche a fronte di una legislazione nazionale che, nell’opinione dell’onorevole, è risultata negli ultimi anni piuttosto disarticolata e che il decreto di creazione dell’ACN mira a semplificare. Mollicone ha ricordato l’emendamento, presentato in concerto con le forze di maggioranza, che introduce un coordinato meccanismo di interlocuzione.

Il raccordo con i diversi portatori d’interessi assicurerà da un lato la trasparenza delle decisioni e dall’altro consentirà agli attori pubblici e privati di fornire elementi conoscitivi utili ad indirizzare la strategia e le politiche nazionali, con un ruolo privilegiato mantenuto dal Parlamento e dal COPASIR. Ha poi aggiunto come l’Agenzia dovrebbe occuparsi anche della sicurezza della supply chain, in particolare come ente certificatore per la sicurezza delle stazioni appaltanti e delle infrastrutture. Il deputato ha in seguito proposto un ulteriore emendamento riguardante la previsione di agevolazioni fiscali per aziende, start up e PMI che operano nel settore della cybersicurezza. Con lo stesso tenore della collega che lo ha preceduto, Mollicone ha poi ricordato la presentazione di un emendamento sulla crittografia che valorizza lo sviluppo di algoritmi proprietari nonché la ricerca e il conseguimento di nuove capacità crittografiche nazionali, oltre al ruolo dell’Agenzia nella formazione, sin dai primi gradi d’istruzione.

A seguire ha parlato l’onorevole Valentino Valentini, del gruppo di Forza Italia, che ha inizialmente posto l’accento sui termini centrali della questione: sicurezza, difesa e minacce in uno spazio immateriale, come quello informatico, ma con conseguenze effettive e reali. In questo senso l’Agenzia e l’impianto del decreto dovrebbero contribuire a dare completezza all’architettura nazionale di cybersicurezza e della sua governance, attraverso l’interoperabilità delle strutture e la chiara definizione delle competenze. Ha poi evidenziato come gli attacchi e le minacce godano di una fortissima asimmetria tra difensori e attaccanti, in uno schema che ha ribaltato i ruoli tra grandi e piccoli soggetti, con questi ultimi ormai in grado di danneggiare importanti obiettivi anche con risorse limitate. Ritornando sulla crittografia ha invitato a porre attenzione alla doppia funzione che essa può avere: oltre ad essere strumento di difesa, la crittografia può permettere ad agenti malevoli di mascherare le loro attività. Nelle battute finali del suo discorso ha esortato a mantenere alti i livelli di guardia e sicurezza, con una legislazione aderente e capace di dare risposte unificate e coordinate, all’interno della nuova architettura che non vuole appesantire il sistema, ma migliorarne l’organizzazione e le capacità.

Ulteriore intervento politico è stato quello di Laura Ravetto, esponente della Lega, che ha fornito un quadro delle crescenti minacce cibernetiche che sono sorte negli ultimi mesi, anche in relazione alla digitalizzazione dei servizi dovuta alla pandemia. Riferendosi ai colleghi che l’hanno preceduta, Ravetto ha enfatizzato il ruolo dell’ACN come interlocutore unico di soggetti pubblici e privati nel settore della sicurezza informatica, così come ne ha sottolineato la centralità in ambito europeo. La deputata, dopo aver elencato la legislazione in materia che si è susseguita negli anni, sia nell’ordinamento italiano che europeo, ha affermato come attraverso il decreto si punti a semplificare e razionalizzare il quadro normativo esistente, avendo ben in mente come, anche grazie ai rilievi sollevati nelle audizioni delle scorse settimane, la situazione del nostro Paese sia particolarmente delicata. Ravetto ha ricordato l’impegno del proprio schieramento per un deciso coinvolgimento del Parlamento e delle Commissioni parlamentari in relazione all’Agenzia, con l’istituzione di una sede periodica in cui l’Agenzia medesima relazioni alle Commissioni.

Successivamente ha ricordato come la Lega abbia chiesto la valorizzazione delle competenze già presenti presso il Ministero della Difesa e la definizione del rapporto tra Agenzia e COPASIR, rimarcando infine come il proprio schieramento abbia sostenuto, ed ottenuto, una maggiore rilevanza per le iniziative di partenariato pubblico-privato. La collaborazione si estenderà anche al Ministero della Difesa, alla NATO e all’Agenzia Europea per la Difesa.

È stata infine data la parola a Stefano Ceccanti, in rappresentanza del Partito Democratico, il quale ha posto l’accento sull’attualità e sulla delicatezza dei provvedimenti, che hanno il merito di essere stati composti attraverso un fitto confronto tra Governo e Parlamento, rinnovando la centralità di quest’ultimo nelle decisioni politiche e legislative. Ceccanti ha favorevolmente giudicato, alla luce anche del recentissimo scandalo legato allo spyware Pegasus, la tutela che il decreto offre alle infrastrutture strategiche nazionali rispetto ad offensive poste in essere da soggetti malevoli. L’impianto organizzativo e di coordinamento delle strutture è stato definito “equilibrato”, portando ad esempio la previsione del coinvolgimento delle Commissioni parlamentari circa le cariche di vertice dell’Agenzia e nell’approvazione del proprio regolamento. Ha poi espresso il proprio positivo parere sull’emendamento all’art.7 circa la creazione di un comitato tecnico-scientifico, che consentirà, nella prospettiva presentata dall’onorevole, il coinvolgimento di esperti della comunità scientifica e della società civile.   

Hanno completato la seduta gli interventi conclusivi della Relatrice Raffaella Paita e le parole del Ministro per i rapporti con il Parlamento D’Incà, i quali hanno espresso un giudizio favorevole per i lavori svolti dalle Commissioni e sul clima propositivo in cui sono avvenuti le audizioni e i dibattiti. 

Con l’approvazione della Camera il testo emendato passa dunque all’esame del Senato che, viste le strette tempistiche, si auspica possa procedere all’esame da parte delle Commissioni e dell’Aula tenendo in considerazione le importanti modifiche presentate dai vari relatori.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5