Insediato il Governo, e completata anche la squadra dei viceministri e sottosegretari, il nuovo esecutivo è formalmente e tecnicamente operativo. Davanti a sé ha molti nodi e molte priorità, fra le quali un ruolo non indifferente lo giocano i temi legati al mondo digitale in generale, ed in particolare alla sicurezza cibernetica (o cyber security che dir si voglia) del sistema Paese (sono temi che affronteremo nell’evento annuale Cybersecurity360 Summit di novembre, Ndr.).
Il rischio di discontinuità nella governance ICT
Peraltro, complici le naturali ma coincidenti giunte a termine di alcuni mandati importanti, il nuovo Governo si trova di fronte a potenziali rischi di importanti discontinuità nell’azione di governance dell’ICT pubblica e della relativa sicurezza. Le scadenze imposte dalle normative dell’Ue, inoltre, impongono tabelle di marcia serrate e soprattutto improrogabili per completare il quadro di attuazione delle due norme importanti e complementari che sono atterrate quasi contemporaneamente sul panorama europeo, ossia il regolamento sulla protezione dei dati personali (GDPR) e la Direttiva NIS.
I prossimi mesi saranno dunque cruciali per mantenere l’Italia allineata e puntuale sui temi della sicurezza e della privacy, e il Governo deve affrontare un difficile percorso ad ostacoli se vuole recuperare i ritardi che, sui medesimi temi, hanno purtroppo caratterizzato l’azione del precedente esecutivo nei suoi ultimi mesi di lavoro.
I mandati in scadenza
Antonio Samaritani, Agid
Iniziamo dai nodi legati alle persone chiave. Il 9 giugno si è formalmente concluso il mandato del Direttore generale dell’Agenzia per l’Italia Digitale, Antonio Samaritani, e ovviamente il Presidente del Consiglio, cui spetta nominarne il successore su proposta del ministro competente, non ha ancora avuto materialmente modo di esaminare compiutamente la delicata questione. Fortunatamente, in caso di mancata nomina del nuovo Direttore entro il termine della naturale scadenza del mandato del precedente, la legge prevede una sua proroga automatica di 45 giorni. L’esecutivo ha dunque tempo fino a fine luglio per decidere se prorogare formalmente il DG uscente, cosa che richiederà un provvedimento ad hoc, oppure avviare la procedura di selezione per la scelta di un nuovo direttore.
Diego Piacentini e Team Digitale
Analogamente, a metà settembre scadrà il mandato biennale del Commissario straordinario del Governo per l’attuazione dell’Agenda digitale, Diego Piacentini. Con lui, giorno più giorno meno, scadrà anche la Struttura a supporto della sua attività, il cosiddetto Team Digitale. Anche in questo caso il Governo è chiamato a decidere per tempo se considerare conclusa l’attività del Commissario straordinario oppure farla proseguire, in questo caso anche stabilendo come.
Entrambe le nomine sono piuttosto critiche perché vanno ad insistere su una situazione caratterizzata da moltissime iniziative già in corso, che vanno dallo sviluppo di SPID alla realizzazione dell’Anagrafe centralizzata della popolazione residente, alla riduzione dei data center della PA. L’indirizzo che i nuovi vertici daranno alle attività delle rispettive strutture risulterà quindi cruciale al fine del raggiungimento degli obiettivi strategici stabiliti nel Piano Crescita Digitale e nel Piano Triennale per l’informatica nella pubblica amministrazione, i quali regolano l’evoluzione dell’informatica (e della sicurezza cibernetica) nella PA.
Prorogato il mandato del direttore del DIS
Da notare che un ulteriore ed ancor più critico rischio di discontinuità, dovuto alla scadenza del mandato del Direttore del DIS, era già stato previdentemente scongiurato dal precedente Governo. Questo infatti aveva provveduto, fra i suoi ultimi atti, a prorogare di un anno l’attuale Direttore, il prefetto Pansa, proprio per consentire al Dipartimento di esercitare in continuità la sua funzione di governance strategica verso quelle strutture partecipanti all’architettura nazionale di protezione cibernetica (tra cui AgID e molti Ministeri chiave) le quali sarebbero certamente state impattate nella loro operatività, o dalle scadenze dei propri vertici o dalla inevitabile riorganizzazione interna che sarebbe seguita al cambio di Governo.
La corsa per l’adeguamento al GDPR
Passando alle scadenze imposte dagli adempimenti legislativi, il primo compito del Governo sui temi della sicurezza in senso lato sarà quello di riuscire ad emanare entro il 21 agosto il DPCM avente il compito di armonizzare il sistema italiano al Regolamento generale sulla protezione dei dati personali, il cosiddetto GDPR, il quale come noto è divenuto pienamente applicabile lo scorso 25 maggio.
Ricordiamo a tal proposito che l’articolo 13 della legge n. 163 del 2017 delegava il Governo ad adottare entro il 21 maggio 2018 (ossia entro sei mesi dal 21 novembre 2017, data di entrata in vigore della legge in questione) uno o più decreti legislativi per definire armonizzare il sistema italiano alla nuova disciplina europea, ma questa data non era stata rispettata perché non era stato possible avere in tempo utile i due pareri delle Commissioni dei rispettivi rami parlamentari. Per questo motivo, ai sensi dell’articolo 31, comma 3, della legge n. 234 del 2012, il termine di scadenza della delega si è prorogato di novanta giorni, e quindi la nuova (e definitiva) scadenza per l’adozione del decreto attuativo Gdpr è fissata al 21 agosto 2018. In questi ultimi giorni è circolata la bozza del nuovo DPCM, che sostituisce la precedente bozza oggetto di molte critiche adottando un approccio completamente diverso.
Tra l’altro l’attuale bozza ha optato per non abrogare in toto la precedente normativa italiana (D.Lgs 196/2003) ma solo le parti in conflitto col GDPR, integrandovi taluni aspetti mancanti nel GDPR stesso ma ritenuti rilevanti dal Legislatore italiano (ad esempio il mantenimento delle sanzioni penali, che invece il GDPR di per sé non contempla). Da notare che, qualora il Parlamento non riuscisse ad approvare questo nuovo DPCM entro la scadenza di agosto, non vi saranno più possibilità di interventi legislativi in materia, e l’intero D.Lgs 196/2013 dovrà dunque essere considerato definitivamente inapplicabile.
Decreto Gdpr, che cambia: soggetti designati, poteri del Garante, sanzioni
Attuazione della Direttiva NIS
Tempi leggermente più dilatati, anche se non di molto, vi sono invece per quanto riguarda l’iter necessario per raggiungere la piena attuazione della Direttiva europea NIS (Network and Information Security), che come noto è mirata ad innalzare il livello di protezione dei cosiddetti “operatori di servizi essenziali” nell’intera Ue. Lo scorso 18 maggio l’Italia è riuscita ad approvare proprio sul filo di lana (tecnicamente, con qualche giorno di ritardo sulla scadenza ultima consentita) il DPCM di recepimento della Direttiva: questo è stato pubblicato in Gazzetta Ufficiale il 9 giugno, ed entrerà in vigore a partire dal prossimo 24 giugno. Tra le altre cose tale DPCM prevede due importanti scadenze operative, fissate entrambe al 9 novembre 2018: la prima relativa all’obbligo, per le autorità competenti NIS, di identificare puntualmente con propri provvedimenti gli operatori di servizi essenziali aventi una sede nel territorio nazionale; la seconda relativa all’obbligo, questa volta per il Governo, di emanare un apposito DCPM finalizzato a disciplinare l’organizzazione e il funzionamento dello CSIRT italiano, struttura centralizzata di prevenzione e risposta agli incidenti cibernetici che nasce dalla fusione degli attuali CERT Nazionale (istituito all’interno del Ministero dello sviluppo economico) e CERT della Pubblica amministrazione (istituito all’interno dell’Agenzia per l’Italia Digitale). Questa seconda scadenza è particolarmente critica in quanto il DPCM di recepimento approvato a maggio non chiarisce le modalità operative di costituzione, organizzazione e funzionamento della nuova struttura di sicurezza cibernetica nazionale: essa dunque non potrà entrare pienamente a regime finché tale lacuna non verrà adeguatamente colmata.
Il nodo delle risorse finanziarie per la cyber security
Il rispetto dei tempi e delle scadenze è ovviamente cruciale per assicurare la regolarità dell’azione intrapresa o da intraprendere, ma non è l’unico aspetto critico da considerare: l’altro è ovviamente quello delle risorse, che in contesti di ampio respiro ed elevata complessità, come è lo scenario italiano attuale, fanno la reale differenza fra la teoria e la pratica (o meglio, fra l’intenzione e l’attuazione).
Per finanziare la messa in esercizio dello CSIRT italiano, il Governo precedente ha previsto nel DPCM di recepimento la cifra di due milioni di euro una tantum, più spese ricorrenti di esercizio pari a 700.000 euro l’anno e retribuzioni per il (nuovo) personale pari a 1.300.000 euro l’anno, entrambe a partire dal 2018. È un buon inizio, stante che in passato ogni nuova iniziativa doveva essere solitamente attuata “senza aggravio di costo per l’Amministrazione”. In questo caso invece è evidente che, senza un forte committment e un reale impegno da parte della Presidenza del Consiglio, non sarà possibile far funzionare efficacemente una macchina complessa e delicata come lo CSIRT italiano.
È dunque fondamentale che il Governo in carica provveda rapidamente a liberare le risorse finanziarie previste e soprattutto ad erogarle tempestivamente alle strutture di destinazione, così che tutto il sistema possa essere realmente pronto per andare regolarmente in esercizio in quel fatidico e non lontanissimo 9 novembre.
Una transizione morbida
Il nuovo esecutivo ha dunque davanti a sé alcune importanti incombenze che deve affrontare in tempi brevi ed in regime di potenziale discontinuità di governance. L’auspicio è ovviamente che possa rapidamente mettersi a regime e soprattutto assicurare una transizione morbida alle strutture interessate dagli inevitabili cambiamenti, al fine di mantenere alto il livello di attenzione e di servizio sugli importanti temi della sicurezza e della privacy che il nostro Paese dovrà recepire e metabolizzare nei prossimi mesi.
