Con la recente pubblicazione in Gazzetta Ufficiale di tre nuovi regolamenti attuativi, si va a delineare sempre di più la struttura e il funzionamento dell’Agenzia per la Cybersicurezza Nazionale, diretta dal professor Roberto Baldoni, già responsabile e vicedirettore generale del Dipartimento delle Informazioni per la Sicurezza (DIS).
I regolamenti attuativi dell’Agenzia per la cybersicurezza nazionale
I tre regolamenti saranno vincolanti, rispettivamente per le funzioni di contabilità, organizzazione e personale.
Cybersicurezza, dall’Agenzia nazionale l’impulso per un vero cambiamento
La contabilità dell’Agenzia
Il primo dei tre Dpcm, pubblicato il 24 dicembre 2021 ed entrato in vigore il giorno successivo, è il numero 222 e fa riferimento alla contabilità dell’Agenzia. Secondo quanto riportato nell’articolo 4 del decreto, il sistema contabile sarà “costituito dall’insieme dei principi e delle regole, nonché dal processo e dai documenti mediante i quali si rilevano in via preventiva, concomitante e consuntiva le operazioni di gestione” e risulta, inoltre, “basato sul principio di competenza economica, ai fini della rilevazione e imputazione all’esercizio degli effetti delle operazioni di gestione, secondo quanto previsto dal decreto legislativo.” Nell’art. 3 del documento, si evidenzia altresì l’autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria dell’Agenzia.
Organizzazione e funzionamento
Il secondo Dpcm, numero 223, pubblicato il 27 dicembre 2021 in riferimento all’organizzazione e funzionamento dell’Agenzia, definisce la figura del Direttore Generale come “diretto referente del Presidente del Consiglio dei ministri e dell’Autorità delegata, ove istituita, nella materia della cybersicurezza” riconoscendo tale figura anche come legale rappresentante dell’Agenzia; nonché gli ulteriori ruoli che vanno a comporre la struttura dell’Agenzia, come il Vicedirettore generale, il collegio dei revisori dei conti (presieduto da un magistrato della Corte dei conti, un componente effettivo, designato dal Ministero dell’economia e delle finanze e due ulteriori componenti, uno effettivo ed uno supplente), l’organismo indipendente di valutazione; vengono altresì definite, tra le altre cose, le sedi principali e secondarie dell’Agenzia.
Personale dell’Agenzia
Il terzo e ultimo decreto, tra quelli vincolanti, è il numero 224, pubblicato anch’esso in data 27 dicembre 2021. Quest’ultimo fa riferimento al personale dell’Agenzia e definisce la differenza tra il personale appartenente all’Area manageriale e alte professionalità e quello appartenente all’Area operativa. Il primo, sovraordinato al secondo, comprende figure come il Direttore Centrale, il Direttore, il Consigliere e l’Esperto. Nell’Area operativa, invece, rientrano le figure di Coordinatore e Assistente. In questo caso, viene riportata tutta la regolamentazione, da quella relativa alle funzioni del personale, alle assunzioni, agevolazioni e altro. In generale, le assunzioni di personale ad hoc potranno anche non provenire dalle Pubbliche Amministrazioni, e si prevede come organico complessivo iniziale un totale di 300 dipendenti. Il decreto evidenza ulteriormente la possibilità di assumere con trattamento economico “pari a quello in godimento da parte dei dipendenti della Banca d’Italia, sulla scorta dell’equiparabilità delle funzioni svolte e del livello di responsabilità rivestito”; nonché la possibilità di avvalersi fino a un massimo di 50 esperti.
I prossimi step
A completamento di quanto già pubblicato fino a ora, è prevista per febbraio 2022 la pubblicazione di un altro Dpcm relativo al trasferimento delle funzioni in materia di cybersicurezza di MISE e Agid. Si prevede inoltre, entro il 30 Giugno 2022, l’avvio dell’operatività del Centro di Valutazione e Certificazione Nazionale, per la valutazione di beni, sistemi e servizi ICT destinati a essere impiegati su infrastrutture che supportano la fornitura di servizi essenziali o di funzioni essenziali per lo Stato; nonché l’attuazione del programma di potenziamento del personale dell’Agenzia per la Cybersicurezza Nazionale, che vede l’integrazione, entro la fine del 2023, di 300 unità a supporto dello sviluppo delle attività previste dall’Agenzia.
Queste leggi completano ulteriormente la strategia di cyber-resilienza nazionale già definita con il perimetro di sicurezza nazionale cibernetica, evidenziando come l’Agenzia assumerà il ruolo di “Autorità Nazionale nella cyber sicurezza” a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato contro le minacce cibernetiche. Inoltre, l’Agenzia prevederà al proprio interno un Nucleo per la sicurezza cibernetica (Nsc), ad oggi sotto la direzione del DIS, in modo da agevolare quest’ultimo nell’espletamento dei propri compiti, ovvero il coordinamento dell’AISI (Agenzia informazioni e sicurezza interna) e dell’AISE (Agenzia informazioni e sicurezza esterna).
Cybersicurezza: la strategia del Governo
Lo scopo dell’attuale Governo, con la creazione dell’Agenzia, è quello di unificare tutte le attività di protezione dalle minacce informatiche. L’Istituzione dell’Agenzia per la Cybersicurezza Nazionale è avvenuta il 4 agosto 2021 con il decreto-legge n. 82 del 14 giugno 2021, convertito con modificazioni nella legge n. 109 del 4 agosto 2021.
Nel decreto in questione viene evidenziata la necessità di “attuare misure tese a rendere il Paese più sicuro e resiliente anche nel dominio digitale, di disporre dei più idonei strumenti di immediato intervento che consentano di affrontare con la massima efficacia e tempestività eventuali situazioni di emergenza che coinvolgano profili di cybersicurezza”.
Viene sottolineata inoltre, data l’urgenza di attuazione del PNRR, il quale prevede uno stanziamento di 620 milioni per la sicurezza informatica, la necessità di proseguire sul percorso di creazione dell’Agenzia per la Cybersicurezza Nazionale; percorso che rientra inoltre nel processo di digitalizzazione del Paese, con particolare riferimento all’ambito della Pubblica Amministrazione.
Conclusioni
Il tema della cyber-security, complici anche la diffusione delle nuove tecnologie e la presenza in rete di un numero crescente di utenti, sta acquisendo un’importanza sempre maggiore. Negli ultimi anni, anche in conseguenza della pandemia, è infatti aumentato il numero di attività ostili, di matrice diversa, i cui target, composti da soggetti sia pubblici che privati, hanno subito ingenti perdite di informazioni o capitali, dimostrando importanti falle interne e la necessità di intervenire tempestivamente per implementare strumenti di contrasto a queste minacce.
A tal fine, il Governo ha inserito la Cyber security in uno dei sette investimenti per il processo di Digitalizzazione della Pubblica Amministrazione, stanziando 241 milioni di euro (sui 620 milioni di euro totali) per la creazione di una infrastruttura per la cybersicurezza; 231 milioni per il rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica (PNSC) e altri 15 milioni per il rafforzamento delle capacità di difesa informatica dei ministeri e delle Forze dell’Ordine.
Secondo quanto riportato dalla Camera, entro il 2025 si prevede che vi saranno oltre 25 miliardi di dispositivi connessi, con conseguente aumento degli attacchi informatici e della cyber criminalità in tutta Europa. Gli attacchi cyber risultano infatti essersi triplicati nel 2019 (700 milioni di attacchi), con un danno pari a 5500 miliardi nel 2020.
