Ecco l'Agenzia per la cybersicurezza nazionale: come cambia la sicurezza cibernetica dell’Italia - Cyber Security 360

il decreto

Ecco l’Agenzia per la cybersicurezza nazionale: come cambia la sicurezza cibernetica dell’Italia

Prende forma l’Agenzia per la cybersicurezza nazionale: uscita la legge che la istituisce, 4 agosto 2021, in gazzetta ufficiale, conversione del dl cybersicurezza . Ecco le principali novità

08 Ago 2021
Paolo Tarsitano

Editor Cybersecurity360.it

Istituita l’Agenzia per la cybersicurezza nazionale. Giornata cruciale, il 4 agosto 2021, per chiunque si occupi di cyber security.

C’è in gazzetta ufficiale la legge dà il via all’Agenzia, per il quale è stato subito dopo nominato il direttore, il professore Roberto Baldoni, già a capo del settore presso il DIS alla presidenza del Consiglio. La legge converte il dl 14 giugno 2021 “cybersicurezza”.

Ora si tratterà di comporre in effetti quest’Agenzia, con il personale e attuando i suoi compiti.

Ma la legge completa, formalmente, la strategia di cyber-resilienza nazionale già definita con la disciplina sul perimetro di sicurezza nazionale cibernetica.

L’obiettivo dichiarato del Governo è quello di accrescere, attraverso la promozione della cultura della sicurezza cibernetica, la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.

Agenzia per la cybersicurezza nazionale: cos’è

Il governo, dunque, ha dato una decisa accelerazione sull’Agenzia per la cybersicurezza nazionale (Acn) che nel decreto, avrà “personalità giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria”.

Il decreto definisce l’Agenzia “l’Autorità nazionale nella cybersicurezza”.

I motivi e lo scopo dell’Agenzia cyber

I fini di fondo si leggono bene nei consideranda del decreto. Un’accelerazione nella ridefinizione dell’architettura nazionale della cyber security dettata dalla “necessità ed urgenza di dare attuazione al Piano Nazionale di Ripresa e Resilienza, deliberato dal Consiglio dei ministri nella riunione del 29 aprile 2021, che prevede apposite progettualità nell’ambito della cybersicurezza, in particolare per l’istituzione di un’Agenzia di cybersicurezza nazionale, quale fattore necessario per assicurare lo sviluppo e la crescita dell’economia e dell’industria nazionale, ponendo la cybersicurezza a fondamento della trasformazione digitale”. Il PNRR prevede 620 milioni per la cyber.

Sempre tra i fini di fondo, la “realizzazione in corso di importanti e strategiche infrastrutture tecnologiche” e alla luce dei “recenti attacchi alle reti di Paesi europei e di importanti partner internazionali idonei a determinare effetti anche di natura sistemica che sottolineano ulteriormente come il dominio cibernetico costituisca terreno di confronto con riflessi sulla sicurezza nazionale”, anche dalla “necessità e urgenza di razionalizzare le competenze in materia, di assicurare un più efficace coordinamento, di attuare misure tese a rendere il Paese più sicuro e resiliente”.

La governance

L’Agenzia, creata specificamente per la gestione della cyber security nazionale e posta sotto il diretto controllo del COPASIR, è istituita in capo alla Presidenza del Consiglio dei Ministri ed è prevista l’assunzione di personale ad hoc anche non proveniente dalla Pubblica Amministrazione.

In particolare, l’organico dell’Agenzia sarà composto inizialmente da 300 dipendenti.

La direzione generale dell’Agenzia deve essere affidata da decreto ad un dirigente di prima fascia dell’amministrazione dello Stato o equiparato con mandato di quattro anni (rinnovabile, con successivi provvedimenti, per una durata complessiva massima di ulteriori quattro anni).

Confermate le voci che vedevano Roberto Baldoni alla direzione dell’Agenzia; Baldoni (professore alla Sapienza di Roma) già è responsabile di questi temi come vicedirettore generale del Dipartimento delle Informazioni per la Sicurezza (DIS).

All’interno dell’Agenzia verrà incluso anche il Nucleo per la sicurezza cibernetica (Nsc) che, al momento, è sotto il controllo del DIS. L’obiettivo è quello di consentire al DIS guidato da Elisabetta Belloni di concentrarsi esclusivamente sul suo compito principale che è quello di coordinare le due agenzie di intelligence, l’AISE (Agenzia informazioni e sicurezza esterna) e l’AISI ((Agenzia informazioni e sicurezza interna).

La cyber security nel PNRR e nella strategia Italia Digitale 2026: risorse e obiettivi

La dotazione finanziaria dell’agenzia per la sicurezza digitale nazionale

Nel decreto si legge che ci sono:

  • 2milioni per l’anno 2021
  • 41milioni di euro per l’anno 2022,
  • 70 milioni di euro per l’anno 2023,
  • 84 milioni di euro per l’anno 2024,
  • 100 milioni di euro per l’anno 2025,
  • 110 milioni di euro per l’anno 2026
  • e 122 milioni di euro a decorrere dall’anno 2027

Il personale

Ci saranno subito 90 persone in arrivo da Dis, Aisi, ministero degli internet e dell’Economia. Poi circa 200 persone da selezionare per chi lavora nelle PA, università o da assumere con concorso.

Il decreto stabilisce la possibilità di assumere con trattamento pari a quello dei dipendenti Banca d’Italia.

Anche possibile avvalersi di esperti, fino a 50. 

Al 2027 si arriverà a mille persone.

 

Le funzioni dell’Agenzia per la cybersicurezza nazionale

L’Agenzia cyber è delegata dal presidente del consiglio per

  • esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche;
  • sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale;
  • contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
  • supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
  • assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica.
  • Coordina soggetti pubblici per realizzare azioni comuni n materia di cybersicurezza a livello nazionale e promuove la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonche’ per il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore.
  • Predispone la strategia nazionale di cybersicurezza
  • è autorità nazionale di certificazioni di cybersicurezza

Nel decreto la prima funzione citata, per l’Agenzia per la cybersicurezza nazionale, nel rispetto delle competenze attribuite dalla normativa vigente ad altre amministrazioni, è il “coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale”.

Inoltre, l’Agenzia dovrà promuovere “la realizzazione di azioni comuni dirette ad assicurare la sicurezza e resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonché per il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore”.

Ancora, l’Agenzia dovrà “predisporre la strategia nazionale di cybersicurezza” e sarà “Autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, per le finalità di cui al decreto legislativo NIS, a tutela dell’ unità giuridica dell’ ordinamento, ed è competente all’accertamento delle violazioni e all’ irrogazione delle sanzioni amministrative previste dal medesimo decreto”.

Importante sottolineare che l’Acn sarà anche Autorità nazionale di certificazione della cybersicurezza “ai sensi dell’articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, e assume tutti i compiti in materia di certificazione di sicurezza cibernetica già attribuiti al Ministero dello sviluppo economico dall’ordinamento vigente, compresi quelli relativi all’ accertamento delle violazioni e all’irrogazione delle sanzioni”.

Infine, l’Agenzia per la cybersicurezza nazionale “assume tutti i compiti in materia di cybersicurezza già attribuiti dalle disposizioni vigenti al Ministero dello sviluppo economico, ivi compresi quelli relativi: 1) al perimetro di sicurezza nazionale cibernetica, …, ivi incluse le funzioni attribuite al Centro di valutazione e certificazione nazionale ai sensi del decreto-legge di attuazione del perimetro”.

Perimetro nazionale cibernetico: approvato il secondo DPCM, ma c’è ancora tanto da fare

Istituito il Comitato interministeriale per la cybersicurezza

Il decreto  istituisce anche, oltre all’Agenzia per la cybersicurezza nazionale, un Comitato interministeriale per la cybersicurezza (CICS) “con funzioni di consulenza, proposta e deliberazione in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico”.

In particolare, il Comitato proporrà al Presidente del Consiglio dei Ministri “gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale” e eserciterà “l’alta sorveglianza sull’attuazione della strategia nazionale di cybersicurezza”.

Il Comitato interministeriale per la cybersicurezza sarà “presieduto dal Presidente del Consiglio dei ministri ed è composto dall’ Autorità delegata, ove istituita, dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell’interno, dal Ministro della giustizia, dal Ministro della difesa, dal Ministro dell’economia e delle finanze, dal Ministro dello sviluppo economico, dal Ministro della transizione ecologica, dal Ministro dell’università e della ricerca e dal Ministro delegato per l’innovazione tecnologica e la transizione digitale”.

Nel decreto viene stabilito, infine, che al Presidente del Consiglio dei Ministri sono attribuite in via esclusiva: “L’alta direzione e la responsabilità generale delle politiche di cybersicurezza; l’adozione della strategia nazionale di cybersicurezza, sentito il Comitato interministeriale per la Cybersicurezza; la nomina e la revoca del direttore generale e del vice direttore generale dell’Acn. Funzioni che il capo del governo può delegare, nell’esercizio delle sue funzioni, al sottosegretario ai Servizi”.

Compiti del Nucleo per la cybersicurezza

Il nucleo per la cybersicurezza

  • Può formulare proposte di iniziative in materia di cybersicurezza del Paese, anche nel quadro del contesto internazionale in materia;
  • promuove la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l’elaborazione delle necessarie procedure di coordinamento interministeriale, in raccordo con le pianificazioni di difesa civile e di protezione civile
  • promuove e coordina lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;
  • valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della cybersicurezza, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi;
  • riceve, per il tramite del CSIRT Italia, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell’integrita’ significativi ai fini del corretto funzionamento delle reti e dei servizi, dal DIS, dall’AISE e dall’AISI, dalle Forze di polizia e, in particolare, dall’organo del Ministero dell’interno di cui all’articolo 7-bis del decreto-legge n. 144 del 2005, convertito, con modificazioni, dalla legge n. 155 del 2005, dalle strutture del Ministero della difesa, nonche’ dalle altre amministrazioni che compongono il Nucleo e dai gruppi di intervento per le emergenze informatiche (Computer Emergency Response Team – CERT) istituiti ai sensi della normativa vigente;
  • riceve dal CSIRT Italia le notifiche di incidente ai sensi delle disposizioni vigenti;
  • valuta se gli eventi di minaccia cyber  assumono dimensioni, intensita’ o natura tali da non poter essere fronteggiati dalle singole amministrazioni competenti in via ordinaria, ma richiedono l’assunzione di decisioni coordinate in sede interministeriale, provvedendo in tal caso a informare tempestivamente il Presidente del Consiglio dei ministri, ovvero l’Autorita’ delegata, ove istituita, sulla situazione in atto e allo svolgimento delle attivita’ di raccordo e coordinamento di cui all’articolo 10, nella composizione ivi prevista.

I prossimi step nell’attuazione dell’Agenzia

Adesso passerà del tempo, si immagina poco data l’accelerazione degli ultimi giorni dovuta anche a gravi recenti incidenti cyber (Regione Lazio, Erg), per la composizione dell’Agenzia, l’entrata in servizio del personale e l’attuazione delle sue funzioni, completando anche la strategia per la cybersecurity.

Articolo aggiornato rispetto alla versione di giugno che dava conto dello schema di decreto sulla cybersicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 5