il piano italiano

Le tre cose da sistemare per una prima cybersecurity nazionale

Chi sono gli attori che hanno partecipato al processo di revisione del Piano nazionale per la protezione cibernetica e la sicurezza informatica; quali le principali direttrici di intervento e le innovazioni introdotte dalla realizzazione di un “piano d’azione” che definisca priorità e urgenze

Pubblicato il 30 Giu 2017

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

cyber_523277893

Nel nostro Paese l’architettura istituzionale in materia di sicurezza cibernetica ha subito un considerevole aggiornamento con il DPCM del 17 febbraio 2017[1] (“Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”). Rispetto al DPCM del 24 gennaio 2013, le trasformazioni giuridiche hanno tenuto conto dell’esperienza maturata e del mutamento della minaccia, modellando ad essa anche un’armonizzazione delle strutture preposte al contrasto. Sulla base dell’assetto precedente, infatti, come si afferma nelle premesse al DPCM, l’obiettivo della riforma è stato quello di procedere a una “razionalizzazione e semplificazione della predetta architettura istituzionale”.

Il 31 marzo 2017, così come da art. 3, comma 1, lett. c) della Direttiva, è stato adottato il nuovo Piano nazionale per la protezione cibernetica e la sicurezza informatica[2]  (di seguito, Piano) che si pone in continuità con quello precedente del biennio 2014-2015[3]. Il Piano, al fine di dare concreta attuazione al Quadro strategico nazionale per la sicurezza dello spazio cibernetico[4] e in particolare agli indirizzi strategici in esso contenuti[5], individua gli indirizzi operativi (IIOO), gli obiettivi da conseguire e le linee di azione da porre in essere.

Gli spunti su cui spendere delle riflessioni sulla nuova struttura sono molteplici. Tuttavia, per brevità, ci concentreremo sui seguenti tre: gli attori che hanno partecipato al processo di revisione, le principali direttrici di intervento di tale revisione e la realizzazione di un innovativo “piano d’azione”.

Il Piano nazionale è stato rivisitato dai punti di contato cyber dei Dicasteri CISR (Affari Esteri, Interno, Difesa, Giustizia, Economia e Finanze, Sviluppo Economico), dell’Agenzia per l’Italia Digitale e del Nucleo per la sicurezza cibernetica (operante prima presso l’Ufficio del Consigliere Militare del Presidente del Consiglio e con l’attuale riforma istituito presso il Dipartimento delle Informazioni per la Sicurezza “per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento”).

Per quanto riguarda la struttura del Documento, tra gli undici indirizzi operativi[6] del Piano, le principali direttrici di intervento della revisione hanno riguardato i seguenti due obiettivi strategici:

  • L’indirizzo operativo 1 (“Potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare) con l’obiettivo di rafforzare le capacità complessive di risposta integrata ad eventi cibernetici;
  • L’indirizzo operativo 5 (“Operatività delle strutture nazionali di incident prevention, response e remediation”) con l’obiettivo di potenziare alcune strutture (come gli attuali CERT), costituire le strutture previste dalla Direttiva NIS (CSIRT, Punto unico di contatto, Autorità nazionale) e definire le modalità di coordinamento tra i vari attori (CERT, CSIRT, Comparto Intelligence, CNAIPIC, Difesa, AgID) in una prospettiva di unificazione dei CERT pubblici.

L’aspetto innovativo e che merita degli approfondimenti ulteriori è il terzo, ovvero la realizzazione di un cosiddetto “piano d’azione”. In altre parole, si tratta di un “nucleo essenziale di iniziative, cui attribuire carattere di priorità e urgenza” che sono state evidenziate sullo sfondo delle esigenze e dei criteri che hanno animato la revisione del Piano e scelte allo scopo di rendere effettivo e operativo il cambio di passo in termini di innalzamento dei livelli di sicurezza dei sistemi e delle reti del nostro Paese – obiettivo della più ampia ristrutturazione del nuovo impianto giuridico in materia di sicurezza cyber nel suo complesso e in vista del Recepimento della Direttiva dell’Unione Europa NIS (Network and Information Systems)[7]. Il piano d’azione, che è costituito da alcuni elementi chiave[8] indefettibili, ruota attorno alle seguenti tre direttrici:

  • Interazione tra soggetti pubblici, privati e settore accademico. Considerato che, ai fini della sicurezza nazionale, il patrimonio informativo sensibile non è di sola pertinenza del settore pubblico e istituzionale, è essenziale integrare i saperi, le informazioni e le conoscenze. Per il settore privato è annunciato il finanziamento di start-up e/o la partecipazione al capitale societario di realtà imprenditoriali di interesse (venture capital); invece, per quanto concerne il settore accademico, è prevista la costituzione di un “Centro nazionale di Ricerca e Sviluppo in CyberSecurity” – impegnato nella malware analysis, nella security governance, nella protezione delle infrastrutture critiche e nella threat analysis system – e di un “Centro nazionale di crittografia”;
  • Ristrutturazione del sistema di difesa cyber. Approntamento del sistema di difesa cibernetica tra cui il perimetro di copertura degli assetti di difesa comuni (interazione/integrazione del CERT nazionale e del CERT-PA), la certificazione, presso il MiSE, di innovative soluzioni SW/HW, l’identificazione delle funzioni manageriali/professionali critiche, l’obbligo di condivisione degli eventi cibernetici significativi al superamento di determinate soglie di gravità (soprattutto per gli “operatori di servizi pubblici essenziali” e i “fornitori di servizi digitali”) per i quali sono previste anche delle sanzioni in caso di omissione;
  • Ridefinizione dell’organizzazione di alcune strutture che si occupano di sicurezza cyber. In questo senso le ipotesi di lavoro sono molteplici: a) sarà attribuito al Direttore del DIS un ruolo attivo e centrale nell’ambito dell’architettura cyber; b) riposizionamento del NSC all’interno del DIS, guidato da un Vice Direttore generale di quest’ultimo; c) espresso riconoscimento del ruolo del CNAIPIC, dell’AgID e soprattutto dell’Amministrazione della Difesa con l’organizzazione di un Comando Interforze Operazioni Cibernetiche (CIOC) e la realizzazione di un poligono virtuale nazionale

“Cooperazione” e “condivisione delle informazioni e delle conoscenze” sono le parole chiavi in tema di sicurezza cyber. Per questo motivo il Piano, sulla scorta del Quadro Nazionale e del “nuovo” DPCM, si pone come un processo dinamico e in divenire che sollecita e integra gli sforzi di tutti gli attori che, a vario titolo, sono interessati e partecipano attivamente alla tematica cyber.

Per quanto riguarda i CERT, è doveroso riconoscere l’egregio lavoro svolto in questi anni dal CERT Nazionale, nelle sue numerose competenze, e dal CERT PA i quali hanno raggiunto risultati encomiabili nonostante la scarsità di risorse e la quantità e varietà di problemi da fronteggiare. Qualunque sia l’assetto con il quale si deciderà di operare nel futuro, con CERT distinti come ora o con CERT integrati, sarà necessario assegnare fondi significativi che consentano di usufruire di profili sempre aggiornati e di strumenti all’avanguardia. Il/i CERT continueranno ad essere parte della mente pensante operativa nel Paese per il contrasto alla minaccia cibernetica e saranno una parte integrante del processo sia di protezione e preparazione che di gestione degli incidenti, a fianco dell’NSC, il cui ruolo andrà sicuramente meglio strutturato e dipanato.

_________________________________________________

[1] http://www.sicurezzanazionale.gov.it/sisr.nsf/documentazione/normativa-di-riferimento/dpcm-17-febbraio-2017.html
[2] http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2017/05/piano-nazionale-cyber-2017.pdf
[3] http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/piano-nazionale-cyber.pdf
[4] http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/quadro-strategico-nazionale-cyber.pdf
[5] Gli indirizzi strategici del Quadro strategico nazionale sono i seguenti sei: 1) Potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese; 2) Miglioramento, secondo un approccio integrato, delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati; 3) Incentivazione della cooperazione tra istituzioni ed imprese nazionali; 4) Promozione e diffusione della cultura della sicurezza cibernetica; 5) Rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica; 6) Rafforzamento delle capacità di contrasto alle attività e contenuti illegali on-line.
[6] Gli indirizzi operativi del “nuovo” Piano sono i seguenti 11: 1) Potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare; 2) Potenziamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati; 3) Promozione e diffusione della cultura della sicurezza informatica. Formazione ed addestramento; 4) Cooperazione internazionale ed esercitazioni; 5) Operatività delle strutture nazionali di incident prevention, response e remediation; 6) Interventi legislativi e compliance con obblighi internazionali; 7) Compliance a standard e protocolli di sicurezza; 8) Supporto allo sviluppo industriale e tecnologico; 9) Comunicazione strategica e operativa; 10) Risorse; 11) Implementazione di un sistema di cyber risk management nazionale.
[7] Si fa riferimento alla Direttiva (UE) 2016/1148 del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione: http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016L1148&from=IT
[8] Gli elementi caratterizzanti il piano d’azione sono i seguenti sette: a) Revisione del Nucleo per la sicurezza cibernetica; b) Contrazione della catena di comando per la gestione delle crisi cibernetiche; c) Riduzione della complessità dell’architettura nazionale, mediante soppressione/accorpamento di organi; d) Progressiva unificazione dei CERT; e) Istituzione di un centro di valutazione e certificazione nazionale ICT; f) Fondazione o Fondo di venture capital; g) Istituzione di un Centro nazionale di ricerca e sviluppo in cybersecurity; h) Costituzione di un Centro nazionale di crittografia.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati