Procede l’iter di conversione in legge del decreto che mira a rivoluzionare la cyber security italiana. Quello presentato il 14 giugno dal Presidente del Consiglio Mario Draghi.
Come cambia la cyber security dell’Italia
- Il Perimetro di sicurezza cibernetica nazionale.
- La creazione dell’Agenzia per la cybersicurezza nazionale.
- Le voci nel PNRR, Piano Nazione di Ripresa e Resilienza, dedicate alla cyber security.
- Il programma di digitalizzazione della Pubblica Amministrazione per offrire efficacia, velocità e sicurezza ai cittadini e alle imprese nella fruizione dei servizi, pertanto infrastrutture, interoperabilità, piattaforme e servizi, e cyber security, con un piano di razionalizzazione per mettere in sicurezza i datacenter nazionali.
Cyber security e PNRR: ecco perché può essere occasione di sviluppo per l’Italia
Qui comprese le misure propedeutiche alla piena realizzazione delle riforme chiave delle Amministrazioni Centrali, quali lo sviluppo e l’acquisizione di (nuove) competenze per il personale della PA (anche con il miglioramento dei processi di upskilling e di aggiornamento delle competenze stesse) e una significativa semplificazione/sburocratizzazione delle procedure chiave, incluso uno sforzo dedicato al Ministero della Giustizia per lo smaltimento del backlog di pratiche.
Sono solo alcuni degli step del percorso di potenziamento di cybersecurity che l’Italia ha già avviato e su cui continua a spingere, rafforzando strumenti di protezione e misure di prevenzione.
In questo percorso si incastra il Disegno di Legge “recante disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”.
I presupposti sono chiari. L’innovazione tecnologica è direttamente proporzionale all’aumento della vulnerabilità dei sistemi e dei dispositivi. Una maggiore vulnerabilità comporta un maggiore controllo e una migliore gestione di attacchi e minacce cyber. Si legge infatti nell’introduzione del Disegno di Legge: “[…] l’attuale crisi pandemica ha reso ancora più evidente come una società, che basi il suo futuro su un processo massiccio di trasformazione digitale, soffra un’accresciuta esposizione ad attacchi cyber. Ciò avviene anche a causa delle modalità di sviluppo dei prodotti ICT, per lungo tempo realizzati con il primario obiettivo di incrementarne l’efficacia e la facilità d’uso per l’utente, nonché di ridurne i costi, spesso ponendo in secondo piano, e in alcuni casi tralasciando completamente, gli aspetti di sicurezza.”
Cosa prevede il Disegno di Legge 14 giugno 2021
Sicuramente l’approccio da adottare deve essere di tipo olistico.
La prima cosa da fare è definire strategie di cybersicurezza adeguate, ossia tutte le “attività necessarie per proteggere e assicurare la disponibilità, la confidenzialità e l’integrità di reti, sistemi informativi, servizi informatici e comunicazioni elettroniche dalle minacce informatiche, garantendone altresì la resilienza”. Gli obiettivi di queste strategie devono essere una maggiore sicurezza e una maggiore resilienza del nostro Paese anche nel dominio digitale, coinvolgendo i cittadini in una fiducia più consolidata, nella piena tutela dei diritti e delle libertà.
Pertanto, è importante sviluppare capacità avanzate, che includano processi tecnologici come la certificazione, in modo da garantire che l’intero ciclo di resilienza, fatto di prevenzione, scoperta, attività di allertamento di attacchi, mitigazione e recupero, funzioni.
Nel processo di digitalizzazione italiana bisogna includere sicurezza e resilienza cibernetiche, in modo che l’innovazione tecnologica e quella scientifica del Paese vadano di pari passo con l’evoluzione e il rafforzamento della cybersecurity.
Necessario, anche, sensibilizzare settore pubblico e privato e società civile sulla diffusione e promozione della cultura della cybersicurezza, per far sì che si sentano tutti “parte attiva e responsabile all’interno del Sistema Paese, attuando comportamenti sicuri e virtuosi nello spazio cibernetico. Tali comportamenti, infatti, costituiscono fattori abilitanti per lo sviluppo e la crescita dell’economia e dell’industria nazionale, al fine di accrescere la competitività del Sistema Paese a livello globale”, si legge nel documento agli Atti Parlamentari.
Altro ambito è quello della formazione, per cui vanno favoriti corsi di specializzazione, universitari, master, dottorati e anche scuole superiori professionali, andando così ad arricchire il percorso formativo dei più giovani, gli esperti del futuro del nostro Paese.
Infine, si sottolinea l’importanza di mantenere “relazioni bilaterali e multilaterali, nonché di partecipare attivamente ai processi di definizione di politiche, norme e standard internazionali in materia, per favorire lo scambio di informazioni e di conoscenze, promuovere l’internazionalizzazione delle imprese attive nel settore e rafforzare il posizionamento del Paese”.
Il ruolo dell’Agenzia di cybersicurezza nazionale
Tutti questi punti dovranno essere presi in considerazione e portati a termine dall’agenzia nazionale di cybersicurezza, che, appunto, svolgerà le funzioni specialistiche in materia. Da aggiungere, ovviamente il coordinamento di tutte le amministrazioni e strutture coinvolte per un piano d’azione coerente e efficiente e che porti a compimenti tutti gli obiettivi nazionali.
Sono escluse alcune funzioni:
- quelle inerenti alla cyber-intelligence, di cui devono occuparsi gli organismi di informazione per la sicurezza.
- la cyber-defense, ossia difesa e sicurezza militare dello Stato, a cura del Ministero della difesa
- e la prevenzione e repressione dei reati, compito delle Forze di polizia.
Si legge ancora nella proposta: “In tale ottica, si pone dunque l’esigenza di ridefinire la complessiva Architettura nazionale cyber, che a partire dalla legge 7 agosto 2012, n. 133, ha visto via via l’attribuzione al Comparto intelligence e, in particolare, al Dipartimento delle informazioni per la sicurezza, di compiti e funzioni pienamente rientranti nell’ambito della salvaguardia della sicurezza nazionale, ma certamente non tipici dell’attività propria degli organismi di intelligence. In questo senso, il presente decreto aggiorna nel rinnovato contesto istituzionale l’architettura di sicurezza cibernetica che era stata, da ultimo, definita con la Direttiva del Presidente del Consiglio dei ministri recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, adottata con decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017”.
Quindi, a partire dalla definizione delle competenze in materia di cybersicurezza del vertice politico, si dovranno poi razionalizzare le competenze in materia di cybersicurezza, soprattutto in merito “alla sicurezza delle reti e dei sistemi informativi (NIS), del perimetro di sicurezza nazionale cibernetica, e della sicurezza delle comunicazioni elettroniche (TELCO), della sicurezza e disponibilità dei dati, dei sistemi e delle infrastrutture digitali delle pubbliche amministrazioni anche in relazione ai servizi cloud, delle certificazioni di cybersicurezza”, senza dimenticare, nell’ambito pubblico, la gestione dell’identità digitale e della qualificazione dei prestatori di servizi fiduciari qualificati e dei gestori di posta elettronica certificata, al momento affidati a diversi soggetti istituzionali. Non manca lo sviluppo di capacità industriali, tecnologiche e scientifiche nel campo della cybersicurezza, per favorire progetti di ricerca, crescita delle piccole e medie imprese e nuove realtà imprenditoriali, in cui venga potenziata la sinergia tra industria e ricerca.
Nella proposta, infine, viene ribadita la necessità di attuare il Piano Nazionale di Ripresa e Resilienza, PNRR, così come di raccordare l’Architettura di cybersicurezza nazionale con il Sistema di informazione per la sicurezza della Repubblica (intelligence) di cui alla legge 3 agosto 2007, n. 124, “a fronte di una chiara separazione di competenze a tutela della sicurezza nazionale nel dominio cibernetico e dell’attribuzione di poteri di controllo al Comitato parlamentare per la sicurezza della Repubblica (COPASIR), di cui all’articolo 30 della legge n. 124 del 2007”.
L’intelligence: cosa fanno i nostri servizi segreti, i reparti, le funzioni
