Ecco l'Agenzia per la cybersicurezza nazionale: come cambia la sicurezza cibernetica dell’Italia - Cyber Security 360

il decreto

Ecco l’Agenzia per la cybersicurezza nazionale: come cambia la sicurezza cibernetica dell’Italia

Prende forma l’Agenzia per la cybersicurezza nazionale: la bozza del decreto-legge che la istituisce è stata infatti prima sottoposta al COPASIR che dovrà esprimere un proprio parere e poi approvata dal Governo, in attesa della successiva conversione in legge da parte del Parlamento. Ecco le principali novità

10 Giu 2021
Paolo Tarsitano

Editor Cybersecurity360.it

Giornata cruciale, quella di oggi 10 giugno 2021, per chiunque si occupi di cyber security: in mattinata, infatti, il Sottosegretario ai Servizi Franco Gabrielli ha illustrato al Copasir la bozza del decreto legge che, di fatto, istituisce l’Agenzia per la cybersicurezza nazionale.

Lo schema di decreto recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale” è stato quindi discusso e poi approvato durante il consiglio dei ministri convocato nel pomeriggio.

L’approvazione del provvedimento completa, quindi, la strategia di cyber-resilienza nazionale già definita con la disciplina sul perimetro di sicurezza nazionale cibernetica.

L’obiettivo dichiarato del Governo è quello di accrescere, attraverso la promozione della cultura della sicurezza cibernetica, la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.

Agenzia per la cybersicurezza nazionale: cos’è

Il governo, dunque, ha dato una decisa accelerazione sull’Agenzia per la cybersicurezza nazionale (Acn) che, come si legge nella bozza composta da 19 articoli, incompleta e ancora suscettibile di modifiche su indicazioni del COPASIR, avrà “personalità giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria” (art. 5 dello schema di decreto), anche se al momento la bozza non ha ancora alcuna indicazione in merito alla dotazione finanziaria destinata all’Agenzia.

QUIZ
Bradipo, Orso o Ghepardo: quanto è flessibile e agile la tua azienda? Scoprilo nel Quiz
Datacenter
Digital Transformation

I motivi e lo scopo dell’Agenzia cyber

Un’accelerazione nella ridefinizione dell’architettura nazionale della cyber security dettata (come si legge nei considerata della bozza di decreto) dalla “necessità ed urgenza di dare attuazione al Piano Nazionale di Ripresa e Resilienza, deliberato dal Consiglio dei ministri nella riunione del 29 aprile 2021, che prevede apposite progettualità nell’ambito della cybersicurezza, in particolare per l’istituzione di un’Agenzia di cybersicurezza nazionale, quale fattore necessario per assicurare lo sviluppo e la crescita dell’economia e dell’industria nazionale, ponendo la cybersicurezza a fondamento della trasformazione digitale”.

Oltre che, a fronte della “realizzazione in corso di importanti e strategiche infrastrutture tecnologiche” e alla luce dei “recenti attacchi alle reti di Paesi europei e di importanti partner internazionali idonei a determinare effetti anche di natura sistemica che sottolineano ulteriormente come il dominio cibernetico costituisca terreno di confronto con riflessi sulla sicurezza nazionale”, anche dalla “necessità e urgenza di razionalizzare le competenze in materia, di assicurare un più efficace coordinamento, di attuare misure tese a rendere il Paese più sicuro e resiliente”.

La governance

L’Agenzia, creata specificamente per la gestione della cyber security nazionale e posta sotto il diretto controllo del COPASIR, sarà istituita in capo alla Presidenza del Consiglio dei Ministri ed è prevista l’assunzione di personale ad hoc anche non proveniente dalla Pubblica Amministrazione.

In particolare, l’organico dell’Agenzia sarà composto inizialmente da 300 dipendenti che, entro il 2027 potrebbero arrivare a 800.

La direzione generale dell’Agenzia sarà affidata ad un dirigente di prima fascia dell’amministrazione dello Stato o equiparato con mandato di quattro anni (rinnovabile, con successivi provvedimenti, per una durata complessiva massima di ulteriori quattro anni).

Voci insistenti indicano Roberto Baldoni alla direzione dell’Agenzia; Baldoni (professore alla Sapienza di Roma) già è responsabile di questi temi come vicedirettore generale del Dipartimento delle Informazioni per la Sicurezza (DIS).

All’interno dell’Agenzia verrà incluso anche il Nucleo per la sicurezza cibernetica (Nsc) che, al momento, è sotto il controllo del DIS. L’obiettivo è quello di consentire al DIS guidato da Elisabetta Belloni di concentrarsi esclusivamente sul suo compito principale che è quello di coordinare le due agenzie di intelligence, l’AISE (Agenzia informazioni e sicurezza esterna) e l’AISI ((Agenzia informazioni e sicurezza interna).

La cyber security nel PNRR e nella strategia Italia Digitale 2026: risorse e obiettivi

La dotazione finanziaria dell’agenzia per la sicurezza digitale nazionale

Nel decreto si legge che ci sono:

  • 41milioni di euro per l’anno 2022,
  • 70 milioni di euro per l’anno 2023,
  • 84 milioni di euro per l’anno 2024,
  • 100 milioni di euro per l’anno 2025,
  • 110 milioni di euro per l’anno 2026
  • e 122 milioni di euro a decorrere dall’anno 2027

Le funzioni dell’Agenzia per la cybersicurezza nazionale

L’Agenzia cyber sarà quindi incaricata, come si legge nel comunicato stampa di Palazzo Chigi, di:

  • esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche;
  • sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale;
  • contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
  • supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
  • assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica.

Come si legge nella bozza di decreto (articolo 7), infatti, la funzione principale dell’Agenzia per la cybersicurezza nazionale, nel rispetto delle competenze attribuite dalla normativa vigente ad altre amministrazioni, è il “coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale”.

Inoltre, l’Agenzia dovrà promuovere “la realizzazione di azioni comuni dirette ad assicurare la sicurezza e resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonché per il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore”.

Ancora, l’Agenzia dovrà “predisporre la strategia nazionale di cybersicurezza” e sarà “Autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, per le finalità di cui al decreto legislativo NIS, a tutela dell’ unità giuridica dell’ ordinamento, ed è competente all’accertamento delle violazioni e all’ irrogazione delle sanzioni amministrative previste dal medesimo decreto”.

Importante sottolineare che l’Acn sarà anche Autorità nazionale di certificazione della cybersicurezza “ai sensi dell’articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, e assume tutti i compiti in materia di certificazione di sicurezza cibernetica già attribuiti al Ministero dello sviluppo economico dall’ordinamento vigente, compresi quelli relativi all’ accertamento delle violazioni e all’irrogazione delle sanzioni”.

Infine, l’Agenzia per la cybersicurezza nazionale “assume tutti i compiti in materia di cybersicurezza già attribuiti dalle disposizioni vigenti al Ministero dello sviluppo economico, ivi compresi quelli relativi: 1) al perimetro di sicurezza nazionale cibernetica, …, ivi incluse le funzioni attribuite al Centro di valutazione e certificazione nazionale ai sensi del decreto-legge di attuazione del perimetro”.

Perimetro nazionale cibernetico: approvato il secondo DPCM, ma c’è ancora tanto da fare

Istituito il Comitato interministeriale per la cybersicurezza

Il decreto in fase di approvazione istituisce anche, oltre all’Agenzia per la cybersicurezza nazionale, un Comitato interministeriale per la cybersicurezza (CICS) “con funzioni di consulenza, proposta e deliberazione in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico”.

In particolare, il Comitato proporrà al Presidente del Consiglio dei Ministri “gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale” e eserciterà “l’alta sorveglianza sull’attuazione della strategia nazionale di cybersicurezza”.

Il Comitato interministeriale per la cybersicurezza sarà “presieduto dal Presidente del Consiglio dei ministri ed è composto dall’ Autorità delegata, ove istituita, dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell’interno, dal Ministro della giustizia, dal Ministro della difesa, dal Ministro dell’economia e delle finanze, dal Ministro dello sviluppo economico, dal Ministro della transizione ecologica, dal Ministro dell’università e della ricerca e dal Ministro delegato per l’innovazione tecnologica e la transizione digitale”.

Nel decreto viene stabilito, infine, che al Presidente del Consiglio dei Ministri sono attribuite in via esclusiva: “L’alta direzione e la responsabilità generale delle politiche di cybersicurezza; l’adozione della strategia nazionale di cybersicurezza, sentito il Comitato interministeriale per la Cybersicurezza; la nomina e la revoca del direttore generale e del vice direttore generale dell’Acn. Funzioni che il capo del governo può delegare, nell’esercizio delle sue funzioni, al sottosegretario ai Servizi”.

I prossimi step nell’attuazione dell’Agenzia

Per l’istituzione definitiva dell’Agenzia per la cybersicurezza nazionale occorrerà adesso compiere ulteriori passi.

Intanto, bisognerà attendere il parere del COPASIR, tenendo presente che lo stesso Comitato ha chiesto di avere più tempo per esaminare il testo dello schema di decreto anche per completare l’insediamento del nuovo presidente del Comitato per la pubblica sicurezza, Adolfo Urso, insediatosi lo scorso mercoledì 9 giugno.

Ottenuta l’approvazione da parte del Governo, il decreto entrerà in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sarà presentato alle Camere per la conversione in legge.

DIGITAL EVENT, 16 GIUGNO
Customer Journey e Digital Onboarding: sali a bordo della Business Experience
CRM
Digital Transformation
@RIPRODUZIONE RISERVATA

Articolo 1 di 5