Il sottosegretario alla Presidenza del Consiglio, Franco Gabrielli, in qualità di autorità delegata all’Intelligence ha sottolineato come la creazione di un’Agenzia per la Cybersicurezza Nazionale (ACN) sia una necessità visto anche il ritardo accumulato rispetto agli altri paesi dell’Unione Europea. L’ex capo della Polizia ha portato ad esempio i casi di Germania e Francia che hanno all’attivo, da ormai diversi anni, una struttura consolidata che opera a pieno regime per difendere i rispettivi Paesi dalle minacce cibernetiche.
Agenzia per la cyber security, una svolta per l’Italia digitale: ma ora lavorare sulle competenze
La sicurezza cibernetica in Francia
In effetti, la Francia ipotizzò la creazione di un’Agenzia dedicata alla sicurezza cibernetica già con la presentazione del libro bianco sulla difesa e la sicurezza nazionale del 2008. Nel documento, presentato dall’allora Presidente Nicolas Sarkozy, si prendeva già atto dei rischi posti specialmente per le infrastrutture critiche da parte degli attacchi cyber e della necessità di sviluppare capacità di rilevazione e contrasto da porre sotto il controllo di una struttura dedicata.
La creazione dell’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) nell’anno successivo colmò proprio questa lacuna, dando vita ad un‘autorità pubblica dedicata alla messa in sicurezza e protezione dei sistemi nazionali che agisse su indicazione governativa e con obbligo di riportare al segretario generale per la difesa e sicurezza nazionale. L’Agenzia, strutturata in 5 dipartimenti e un’”Unità di Anticipazione Cyber (CAC)”, svolge un’ampia gamma di attività normative e operative, dall’emissione di regolamenti e verifica della loro applicazione, al monitoraggio dei meccanismi di allerta e risposta rapida, in particolare sulle reti governative. Oltre ad assistere pubbliche amministrazioni e operatori di servizi essenziali, provvede anche al rilascio dei visti di sicurezza per prodotti e fornitori di servizi ICT. Dal 2013 l’Agenzia ha assunto ancor più rilevanza con l’aggiornamento del libro bianco e la successiva emanazione della legge di programmazione militare che hanno rafforzato poteri e prerogative dell’autorità con riguardo specialmente ai cosiddetti “operatori di vitale importanza”, ovvero quelli la cui indisponibilità minaccerebbe fortemente il potenziale economico o militare, la sicurezza e la resilienza dello stato.
Le reti critiche e i sistemi informativi di tali operatori sono quindi tenuti a conformarsi agli standard di sicurezza definiti dall’ANSSI, adottare meccanismi di rilevazione operati anche dall’Agenzia stessa e riportare incidenti cyber rilevanti. A tali obblighi si accompagnano poteri di audit e verifica del livello di sicurezza dei sistemi o, nel caso di crisi, anche di imporre l’implementazione delle misure definite necessarie dal governo.
A oltre 10 anni dalla sua creazione, l’Agenzia si è imposta come elemento vitale per l’implementazione della strategia di sicurezza nazionale digitale francese del 2015, contribuendo attraverso l’azione dello CSIRT nazionale a monitorare e difendere i sistemi della repubblica dagli attacchi informatici, nonché a fornire servizi di training e awareness (anche da parte dei 548 funzionari dell’Agenzia) grazie al suo centro di formazione (CFSSI). Nel manifesto programmatico presentato (https://www.ssi.gouv.fr/en/mission/annual-review-2020/) nel 2020, l’ANSSI ha delineato il suo piano strategico per i prossimi 10 anni che, forte anche dei 136 € milioni stanziati dal recovery plan francese per la cybersecurity, mira a continuare a creare partenariati pubblico-privato per aumentare la consapevolezza e sostenere aziende, amministrazioni e autorità locali nell’affrontare adeguatamente le minacce legate al rischio informatico.
La cybersicurezza in Germania
La Germania, che secondo il Global Cybersecurity Index 2020 dell’ITU si attesta in tredicesima posizione rispetto all’Italia che ritroviamo al ventesimo posto, si è impegnata a dotarsi di un’agenzia specifica sul fronte cyber ancora prima della Francia. Il BSI (Bundesamt für Sicherheit in der Informationstechnik), ovvero l’Ufficio Federale per la Sicurezza Informatica, è stato infatti creato nel 1991 quale autorità federale deputata, almeno all’inizio, a sviluppare standard che assicurassero la sicurezza delle informazioni degli apparati governativi, dal momento che derivava dall’Ufficio centrale per la crittografia del servizio di intelligence federale (da cui però è ormai nettamente separato). In effetti, a differenza del modello francese (e a quanto pare di quello italiano) l’autorità ha rivestito un piano più operativo nel proteggere le reti governative e le strutture nazionali, lasciando in capo al Consiglio per la Cybersecurity (Cyber-Sicherheitsrat) la responsabilità di delineare il piano strategico del governo federale in materia. Con l’entrata in vigore nel 2009 del “BSI Act”, l’agenzia ha visto i propri poteri ampliarsi ulteriormente con l’assegnazione di prerogative legate all’implementazione della direttiva NIS. Infatti, è stato incaricato di prevenire minacce alla sicurezza dei sistemi IT federali, testare sistemi e componenti, rilasciare certificati di sicurezza, nonché sviluppare relativi standard. Successivamente, l’adozione nel 2015 dell’”IT Security Act” e di una regolamentazione specifica per le infrastrutture critiche gli hanno affidato anche il compito di notificare agli enti interessati vulnerabilità di sicurezza presenti in software e servizi e di riportarli al Ministero federale dell’interno, dei lavori pubblici e della patria (da cui dipende), così da poter pubblicare report annuali aggiornati sullo stato della sicurezza IT tedesca.
Il secondo atto di questo processo di rafforzamento del BSI si è appena concluso con l’approvazione definitiva, lo scorso maggio, dell’”IT Security Act 2.0” che estende l’ambito di applicazione della legge precedente ad ulteriori destinatari e aumenta gli obblighi a loro carico. L’Ufficio assume dunque ufficialmente il ruolo di autorità di certificazione nazionale ai sensi del Cybersecurity Act dell’Unione Europea e estende i contorni della protezione informatica fino a tutelare anche i semplici consumatori, valutando anche la sicurezza di prodotti di uso comune quali tv e router e definendo standard minimi di sicurezza IT. Oltre a un generale rafforzamento dei poteri di indagine e richiesta informazioni anche attraverso la raccolta di dati di log anonimizzati forniti dai provider, il BSI è stato infine dotato di poteri proattivi per individuare rischi e vulnerabilità. Potrà infatti valutare la sicurezza dei sistemi informatici di infrastrutture critiche, servizi digitali e aziende di pubblico interesse anche simulando attacchi o mediante l’utilizzo di honeypot e port-scan al fine di raccogliere dati su eventuali malware e metodi d’attacco. L’Ufficio, che quest’anno segna 30 anni di attività con circa 1200 dipendenti per 8 dipartimenti e un budget per il 2021 di circa 197 milioni di euro, ha visto nel tempo un’espansione dei propri poteri fino a diventare il fulcro operativo di tutta la strategia cyber tedesca.
L’Agenzia cyber nazionale italiana
Alla luce delle esperienze francese e tedesca, la creazione di un’Agenzia cyber nazionale, seppur registrando il ritardo accumulato rispetto agli altri stati europei, è senz’altro da salutare con favore. In linea con i modelli delineati, la nuova agenzia si porrà al di fuori delle agenzie di intelligence, sottraendo così strutture quali lo CSIRT nazionale o il Nucleo di Sicurezza Cibernetica dal controllo esclusivo del DIS. Ciò permetterà anche di coordinare al meglio gli sforzi delle autorità NIS nazionali nel mettere in sicurezza e contrastare gli attacchi alle infrastrutture critiche, anche tenendo conto delle future necessità dovute alle modifiche alla disciplina che verranno introdotte con la revisione della direttiva (c.d. NIS 2). Anche le attività di certificazione finora esercitate entro il Ministero dello Sviluppo economico da parte dei competenti organi, quali il CVCN, rientreranno nella gestione dell’Autorità, così come le competenze in materia di Perimetro di Sicurezza Nazionale Cibernetica. Oltre alle attività di protezione vere e proprie, anche le variegate funzioni a più ampio spettro svolte dall’AgID rientreranno sotto il controllo dell’Agenzia, abbracciando quindi anche tematiche più vaste in tema di digitalizzazione, innovazione tecnologica e sviluppo dei servizi per i cittadini.
L’accentramento di funzioni porterà auspicabilmente a un’azione più coordinata ed efficace nel contrasto alle minacce cyber, nonché nello sviluppo tecnologico del sistema Paese, ma bisognerà tener conto del gap con le altre autorità nazionali che, come visto, forti dell’esperienza anche pluridecennale stanno già superando le funzioni che l’Italia si appresta ad assegnare alla nuova Agenzia.
