Questa è la trascrizione del discorso di Baldoni al Cybersecurity360Summit di oggi organizzato da Digital360
Come avete visto, negli ultimi mesi il panorama della cyber security sta cambiando> ad agosto abbiamo visto l’approvazione e dell’Agenzia per la sicurezza cibernetica. Successivamente l’Agenzia a partire dal primo settembre ha iniziato a muovere i primi passi che la porteranno a definire quelli che sono i regolamenti di funzionamento. Ma mentre lavoriamo a questi, già abbiamo acquisito parte delle competenze che ci dà il DL 82.
Nuove competenze e risorse per l’Agenzia cyber
In particolare sono le competenze relative al Dis. Stiamo crescendo in termini di personale, arriveremo a 90 persone per la fine dell’anno e successivamente a 300 per la fine del 2023, 800 per la fine del 2027.
Quindi c’è un grande progetto di crescita al quale ci stiamo avvicinando nel migliore dei modi. E come cambierà l’architettura nazionale di cyber security? Il legislatore l’ha di fatto posta al centro, riconoscendo l’importanza della resilienza cibernetica a livello nazionale.
Il ruolo dell’Agenzia: quattro pilastri
Che cosa deve fare l’Agenzia da un punto di vista astratto? Ecco, io quando immagino il lavoro dell’Agenzia, immagino il lavoro di un ente che deve riuscire a connettere la parte che parla di bit, di hardware, di cose più vicine all’infrastruttura di base della trasformazione digitale a quelle che sono le grandi strategie internazionali.
Però, poiché l’infrastruttura digitale è diventata di fatto un elemento geopolitico di straordinaria importanza, noi dobbiamo avere come paese una postura unitaria. Postura unitaria che è garantita in qualche modo dalla Agenzia.
L’Agenzia coordina quelli che sono gli approcci alla materia a livello nazionale, nello stesso tempo, ricevendo da parte delle organizzazioni che sono tenutarie di specifiche competenze, quelle che sono le loro politiche, le loro azioni, in maniera tale da rappresentare un quadro comune. Poi per far rispettare quelle che sono le politiche di cyber sicurezza che ci daremo e che imporrà anche il Presidente del Consiglio come Paese.
Questa agenzia si basa su quattro pillar fondamentali.
Prevenzione e mitigazione incidenti
Uno lo conoscete bene, riguarda la parte di prevenzione e di mitigazione degli incidenti grazie allo Csirt inserito all’interno dell’Agenzia, grazie poi al costituendo CVCN, che noi assorbiremo nei prossimi mesi dal Mise e tutta la parte di certificazione e degli apparati.
E questo ovviamente è un pezzo, al quale si ricongiunge anche tutto lo sforzo legislativo che è stato fatto negli ultimi anni dalla direttiva Nis al perimetro di sicurezza nazionale cibernetica, per cui l’Agenzia sarà, diciamo in qualche modo a regime.
Collaborazione internazionale per la cyber
Abbiamo però un secondo elemento importante, che è quello della collaborazione, la cooperazione internazionale. L’Agenzia, come le altre agenzie europee, diciamo vive in un dialogo continuo con, diciamo con gli altri, più le altre gemelle agenzie estere, per sviluppare sempre di più un information sharing a livello internazionale, così fondamentale per l’attuazione poi delle politiche a livello finale.
Consapevolezza, competenze
Abbiamo poi un altro punto importante che è quello della work force e della consapevolezza, perché uno dei grandi problemi che noi abbiamo e condividiamo con tutti gli altri paesi a livello nazionale e quello ovviamente della mancanza di esperti, e quindi dobbiamo mettere come sistema paese in gioco tutta una serie di azioni che vanno dalle politiche scolastiche allo skilling e reskilling che sono fondamentali per poter avere quella adeguata forza lavoro.
Tutto questo ci permetterà di resistere a quelle che saranno ondate di attacchi che, ahimè, purtroppo, aumenteranno soltanto nel futuro. Anche la consapevolezza sarà importante. Si intende non soltanto la consapevolezza dei cittadini, ma anche degli amministratori delegati, la consapevolezza dei direttori generali delle pubbliche Amministrazioni.
Ecco servirà capire come il rischio cyber sia un rischio centrale da essere gestito, esattamente come ad esempio il rischio finanziario per quanto riguarda le imprese.
Indipendenza tecnologica dell’Italia e dell’Europa
Abbiamo poi un ultimo pillar particolarmente importante che è quello dello sviluppo tecnologico.
In tutta l’Unione europea si sta, diciamo portando avanti un processo importante di per diminuire la dipendenza tecnologica rispetto a paesi extra UE.
Chiaramente la l’Agenzia avrà un ruolo centrale in questo, essendo di fatto il Centro nazionale di competenza in cyber security connesso al neocostituito Centro europeo di Bucarest, dove ovviamente verranno definite quelle che saranno le azioni.
Per quanto riguarda l’Europa, nei prossimi nei prossimi anni, quindi, queste azioni tecnologiche verranno poi portate nel nostro paese per essere sviluppate attraverso opportune partnership pubblico pubblico privato.
I primi effetti del nuovo quadro strategico
Quindi è un progetto ovviamente molto importante e che avrà bisogno del tempo per svilupparsi, ma devo dire che già molti effetti si sono si sono visti. Mi riferisco fondamentalmente al piano nazionale cloud; al toolbox europeo del 5G e l’organizzazione che ci siamo dati attraverso l’ex nucleo di sicurezza cibernetica, adesso rinominato nucleo per la cyber sicurezza, dove le varie organizzazioni collaborano per poter mitigare opportunamente incidenti che avranno impatto sulla sicurezza nazionale rispetto alle aziende.
In più ci sarà una grande semplificazione.
Basti pensare che prima dell’Agenzia, noi avevamo 46 autorità nazionali di cyber security per quanto riguarda la parte sanità, acqua potabile all’interno nel contesto della direttiva NIS.
Ovviamente 46 autorità è uno scenario molto complesso da gestire, considerando le problematiche di mancanze di skill, quindi il legislatore ha diciamo ridotto ad una un’unica autorità competente per quanto riguarda le problematiche di cybersecurity, che sarà l’Agenzia.
Quindi le aziende avranno a che fare con un unico interlocutore che potrà, diciamo semplificare, tutte le relazioni che loro hanno. Per quanto riguarda il rispetto per esempio delle misure di sicurezza o delle notifiche di incidenti. Io credo che diciamo davanti a noi, abbiamo un futuro molto eccitante per poter costruire la nostra resilienza cibernetica. Ovviamente ho lasciato in ultimo un elemento fondamentale.
L’agenzia nasce come enzima per poter realizzare partnership pubblico private rilevanti per poter sviluppare operazioni a livello, per esempio di sviluppo di forza lavoro piuttosto che di sviluppo tecnologico.
Ecco, l’agenzia vuole essere un enzima per poter portare avanti queste azioni che già negli altri paesi hanno avuto molto successo e che noi in Italia dobbiamo capire come far partire, come far proliferare per poter avere un futuro meno dipendente da tecnologie non nazionali e non europee e soprattutto più orientato a una trasformazione digitale in sicurezza per la prosperità e l’indipendenza del nostro Paese.
