Con l’adozione del DPCM 17 febbraio 2017, che sostituisce il cosiddetto “Decreto Monti” (DPCM 24 gennaio 2013), l’Italia ha riorganizzato, senza tuttavia stravolgere, la propria architettura deputata ad assicurare la sicurezza cibernetica nazionale. Si tratta in realtà solo del primo passo di un programma nazionale per la cyber security basato su più fasi, che il CISR (Comitato Interministeriale per la Sicurezza della Repubblica) ha recentemente approvato, ed il cui obiettivo finale è quello di consolidare e sviluppare ulteriormente il sistema strategico incaricato della protezione e della reazione alle minacce cibernetiche verso il nostro Paese.
Lo scenario nel quale il decreto è maturato risente di due recenti ed importanti novità legislative, entrambe intervenute successivamente all’approvazione del Decreto Monti. La prima, di livello nazionale, consiste nell’approvazione del decreto legge 30 ottobre 2015, n. 174, convertito con modificazioni dalla legge 11 dicembre 2015, n. 198, che al suo articolo 7-bis, comma 5, attribuisce al CISR, convocato dal Presidente del Consiglio in caso di situazioni di crisi che coinvolgano apetti di sicurezza nazionale, compiti di consulenza, proposta e deliberazione. La seconda, di livello europeo, è stata l’approvazione della direttiva 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016 (la cosiddetta “Direttiva NIS”), la quale impone a tutti gli Stati mebri di adottare, entro il maggio 2018, misure volte ad incrementare i livelli di sicurezza delle reti e dei sistemi informativi dell’Unione.
La novità più importante apportata dal nuovo Decreto riguarda il Nucleo per la Sicurezza Cibernetica (NSC), struttura operativa centrale a supporto del Presidente del Consiglio e del CISR. Questo infatti nella nuova architettura non si trova più incardinato nell’Ufficio del Consigliere Militare (UCM), dove sinora risiedeva, ma viene spostato al Dipartimento delle Informazioni per la Sicurezza (DIS), dove sarà guidato da un Vice Direttore Generale. Al Nucleo viene inoltre assegnato l’ulteriore compito di coordinare la gestione delle crisi cibernetiche, ed a tal fine ne viene rafforzata l’interazione con l’Agenzia per l’Italia Digitale (AgID), il Ministero dello Sviluppo Economico, il Ministero dell’Interno, il Ministero della Difesa ed il Ministero dell’Economia e Finanze. È inoltre previsto che al nucleo venga fornito un maggiore e paritetico supporto da parte del CERT Nazionale (istituito presso il MiSE) e del CERT della Pubblica Amministrazione (istituito presso l’AgID) per quanto riguarda gli aspetti tecnici di risposta sul piano informatico e telematico nella gestione delle crisi, oltre che per l’acquisizione di informazioni relative a casi di violazioni o a minacce cibernetiche rilevanti.
Sempre al DIS, ma questa volta direttamente nella persona del suo Direttore, viene assegnato il compito di definire attivamente le linee di azione che dovranno portare ad assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, sia pubblici che privati. Per la realizzazione di tali iniziative possono essere coinvolti sia il mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, che le imprese di settore.
Sul fronte della semplificazione vengono soppressi sia il NISP “cyber”, organismo di supporto tecnico dalle funzioni invero un po’ fumose le quali vengono in pratica assorbite dal cosiddetto CISR “tecnico”, sia il Comitato scientifico, che di fatto non aveva mai svolto alcun ruolo pratico.
Ad una prima analisi appare evidente come i razionali che hanno ispirato il nuovo decreto siano decisamente orientati ad imprimere al sistema di protezione strategica nazionale una maggiore efficienza ed efficacia. La nuova architettura appare infatti caratterizzata da una catena di comando più corta, da una struttura di supporto a contorno più semplice e snella, e da vertici dotati di capacità maggiormente operative. Inoltre i ruoli dei diversi attori istituzionali sono stati meglio definiti e delimitati, riducendo così le aree di sovrapposizione prima presenti tra di essi.
Rimane adesso da vedere se le strutture operative chiamate da questa riorganizzazione ad un maggior impegno saranno effettivamente dotate di tutti gli strumenti necessari, in primis gli attesi finanziamenti, che possano consentire loro di approvvigionarsi di risorse e mezzi adeguati per consentire loro di poter erogare al meglio le attività richieste nei modi previsti.
