L’Italia ha recentemente creato la propria Agenzia per la Cybersicurezza Nazionale, anche alla luce delle esperienze di agenzie analoghe in paesi come Francia e Germania, realizzando l’ennesimo passo avanti in un percorso di evoluzione virtuosa nell’ambito della sicurezza informatica. Proprio tale percorso nell’ultimo anno ha condotto il sistema paese dalla promulgazione dei decreti attuativi del Perimetro di sicurezza nazionale cibernetica fino all’istituzione della sopracitata Agenzia. In aggiunta a ciò, il Piano nazionale di ripresa e resilienza (PNRR) redatto dal Governo italiano sembra orientato a utilizzare parte dei fondi della Commissione Europea per trasformare i costi del rilancio della crisi economica dovuta alla pandemia da Covid-19 in investimenti per il futuro, attuando una profonda trasformazione del paese in senso digitale e rafforzandone la sicurezza cyber.
È dunque opportuno realizzare un bilancio su quanto è stato realizzato nell’ultimo anno per migliorare la sicurezza cyber del paese e, allo stesso tempo, cercare di comprendere meglio la direzione intrapresa dalle Istituzioni.
Baldoni una scelta “sicura”, per l’Agenzia della cybersecurity
Dove siamo: il Rapporto Clusit 2021 e il Documento di sicurezza nazionale 2020 del DIS
A partire dall’insorgenza del virus SARS-CoV-2 in Italia tutte le imprese, sia pubbliche che private, hanno incentivato il ricorso al telelavoro. La pandemia da Covid-19 ha infatti avuto, è continua ad avere, notevoli impatti a livello sanitario, sociale, economico e lavorativo per miliardi di persone e milioni di organizzazioni a livello globale. La diffusione di tale modalità di lavoro ha posto l’accento sulla necessità di poter fare affidamento su reti di informazione e comunicazione efficienti e sicure quale prerequisito essenziale per la regolare fornitura dei servizi pubblici, nonché per lo svolgimento delle attività economiche fondamentali e della vita dei cittadini.
Data la criticità del momento storico, non stupisce che il tema “Covid-19” sia stato inevitabilmente sfruttato da vari attori ostili nel dominio cyber. Secondo il rapporto del Clusit per il 2021, infatti, lo scorso anno è stato “l’anno peggiore di sempre” in termini di evoluzione e crescita delle minacce “cyber” e dei relativi impatti. A livello globale sono stati rilevati 1.871 attacchi gravi, ovvero attacchi con un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica. In termini percentuali, durante lo scorso anno l’aumento degli attacchi cyber è aumentato del 12% rispetto al 2019. Ed è stata proprio la pandemia ad aver caratterizzato il 2020 per andamento, modalità e distribuzione degli attacchi: il 10% degli attacchi portati a termine a partire dalla fine di gennaio è stato infatti a tema Covid-19. In particolare, prosegue il rapporto, “i cybercriminali hanno sfruttato la situazione di disagio collettivo, nonché di estrema difficoltà vissuta da alcuni settori – come quello della produzione dei presidi di sicurezza (ad esempio, delle mascherine) e della ricerca sanitaria – per colpire le proprie vittime. Diverse operazioni di spionaggio sono state compiute a danno di organizzazioni di ricerca correlate con lo sviluppo dei vaccini”. In particolare, relativamente al settore sanitario, più della metà degli attacchi a tema Covid-19 (il 55%) è stato condotto a scopo di cybercrime, mentre nel 45% dei casi la finalità degli attacchi è stata lo spionaggio o “l’Information Warfare”. Infine, ma non meno importante, il Clusit riporta che nel 2020 gli attacchi rilevati e andati a buon fine hanno avuto nel 56% dei casi un impatto valutato come “alto” e “critico” e il 44% è stato di gravità “media”. (Clusit – Rapporto 2021 sulla Sicurezza ICT in Italia)
Relativamente alla situazione del nostro paese, è opportuno riportare quanto è emerso dal Documento di Sicurezza Nazionale, l’apposita sezione della Relazione annuale del Dipartimento delle Informazioni per la Sicurezza (DIS) al Parlamento, che ha l’obiettivo di descrivere lo stato della minaccia cibernetica in Italia individuando le principali azioni intraprese per la protezione delle Infrastrutture Critiche materiali e immateriali, nonché la protezione cibernetica e la sicurezza informatica. In particolare, tale documento ha evidenziato, tra il 2019 e il 2020, un incremento del 20% degli attacchi cyber, orientati prevalentemente contro i sistemi IT di soggetti pubblici (83%, in aumento di 10 punti percentuale). Tra tali soggetti, quelli maggiormente interessati dagli attacchi risultano le Amministrazioni locali con una percentuale che si attesta a 48 punti, con un incremento del 30% rispetto al 2019. Le azioni digitali ostili perpetrate nei confronti dei soggetti privati hanno interessato prevalentemente il settore bancario (11%), quello farmaceutico/sanitario (7%, in sensibile incremento rispetto al 2019) e dei servizi IT (11%). Quanto alla tipologia di attori ostili, il complesso degli attacchi cibernetici rilevati nel 2020 ha confermato, in linea con quanto emerso nell’ultimo biennio, l’hacktivismo come matrice più ricorrente (71%).
In tale contesto, l’Italia ha proseguito sul sentiero virtuoso che aveva già intrapreso. Il percorso di rafforzamento dell’architettura nazionale di sicurezza cibernetica, avviato nel 2018 e ancora in corso, è orientato proprio ad accrescere la resilienza cyber del sistema Paese, garantendo, al contempo, “unicità di indirizzo e un alto livello di coordinamento attraverso un approccio univoco a una materia complessa e trasversale a diversi settori e realtà”. (DIS – Documento di sicurezza nazionale 2020, Allegato alla Relazione annuale al Parlamento ai sensi dell’art. 38, comma 1 bis, legge 124/2007)
Cosa abbiamo fatto: i decreti attuativi del Perimetro di Sicurezza Nazionale Cibernetica
Proprio lo scorso anno ha fatto registrare ottimi progressi nel rafforzamento dell’architettura nazionale di sicurezza cibernetica, in primo luogo, in relazione alla promulgazione dei decreti attuativi del Perimetro di Sicurezza Nazionale Cibernetica. È opportuno riportare che il Perimetro è un provvedimento che prevede sia obblighi legali volti al rispetto di stringenti misure di sicurezza e alla notifica degli incidenti, sia specifiche disposizioni in materia di forniture di determinati beni, sistemi e servizi ICT destinati a essere impiegati su reti, sistemi informativi e per l’espletamento dei servizi informatici utilizzati dai soggetti inclusi nel Perimetro stesso per l’esercizio della funzione/servizio essenziale per la sicurezza nazionale. Il provvedimento in questione prevede che siano promulgati una serie di decreti attuativi, quattro DPCM e un DPR, quattro dei quali sono stati già pubblicati. Il primo, il DPCM n. 131 del 30 luglio 2020, ha dettagliato le specifiche e gli ambiti di attività dei soggetti inclusi nel Perimetro di sicurezza cibernetica nonché le modalità di elaborazione, aggiornamento e trasmissione degli elenchi dei beni ICT. La determinazione di tali elementi si configura come passaggio fondamentale per la concreta realizzazione del Perimetro al fine di instaurare una serie di presidi di sicurezza funzionali a garantire un’efficace protezione cibernetica di tutto il sistema paese. Il secondo decreto, il DPR n. 54 del 5 febbraio 2021, affronta le procedure e i termini per le valutazioni svolte da parte del Centro di Valutazione e Certificazione Nazionale (CVCN) e dei Centri di Valutazione del Ministero degli Affari Interni e della Difesa su prodotti in fase di acquisizione da parte dei soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica.
Perimetro di sicurezza cibernetica, atto terzo: il DPR sulle procedure di verifica degli acquisti
Il terzo decreto, il DPCM n. 81 del 14 aprile 2021, disciplina nel dettaglio le procedure di notifica che devono seguire i soggetti inclusi nel Perimetro in caso di incidenti impattanti su beni ICT, definendone una tassonomia per livelli di gravità, unitamente ad un elenco delle misure di sicurezza, basate su quanto previsto dal Framework Nazionale per la Cybersecurity e la Data Protection, che i soggetti stessi dovranno implementare per ciascun bene ICT di propria pertinenza. Il quarto decreto, il DPCM n. 15 giugno 2021, individua le categorie in relazione alle quali i soggetti inclusi nel Perimetro che intendano procedere, anche per il tramite delle centrali di committenza alle quali sono tenuti a fare ricorso, all’affidamento di forniture di beni, sistemi e servizi ICT, destinati ad essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici, effettuano la comunicazione al CVCN o ai Centri di Valutazione.
Le categorie individuate dal decreto in questione sono: componenti hardware e software “che svolgono funzionalità e servizi di rete di telecomunicazione (accesso, trasporto, commutazione)”, “che svolgono funzionalità per la sicurezza di reti di telecomunicazione e dei dati da esse trattati”, “per acquisizione dati, monitoraggio, supervisione controllo, attuazione e automazione di reti di telecomunicazione e sistemi industriali e infrastrutturali”, e “applicativi software per l’implementazione di meccanismi di sicurezza”. Tali categorie saranno aggiornate, tramite DPCM, con cadenza almeno annuale.
Secondo Roberto Baldoni, già Vicedirettore generale del DIS con delega alla cybersecurity e recentemente nominato Direttore della nuova Agenzia per la cybersicurezza nazionale, l’ultimo DPCM, non ancora promulgato, prevederà l’identificazione delle regole di accreditamento per quanto riguarda i laboratori accreditati di prova che potranno effettuare screening di tecnologie. (Intervento di Roberto Baldoni, Itasec, 9 aprile 2021, Stakeholder Space 9th April – ITASEC21)
In sintesi, è possibile affermare che il Perimetro di Sicurezza Nazionale Cibernetica, unitamente all’attuazione della Direttiva NIS e delle Misure Minime di sicurezza ICT per le PA di AgID, è finalizzato a garantire nel tempo un approccio integrato e univoco dello Stato contro le minacce cibernetiche e consentirà di migliorare la capacità di resilienza di tutto il sistema paese.
L’Agenzia per la Cybersicurezza Nazionale
Relativamente all’istituzione dell’Agenzia per la Cybersicurezza Nazionale (D.L. 14 giugno 2021, n. 82), seppur creata in ritardo rispetto agli altri Stati europei, è senz’altro un’iniziativa da accogliere con favore. La nuova Agenzia, come accennato diretta da Roberto Baldoni, avrà sede a Roma, avrà personalità giuridica, sarà l’Autorità nazionale per la cybersicurezza per la coordinazione tra i soggetti pubblici coinvolti in materia di cyber security a livello nazionale e promuoverà la realizzazione di azioni comuni orientate alla sicurezza e alla resilienza cyber per la digitalizzazione di tutto il sistema paese. In linea con i modelli francese e tedesco, la nuova agenzia si porrà al di fuori delle agenzie di intelligence, sottraendo così strutture quali il Computer Security Incident Response Team (CSIRT) italiano o il Nucleo di Sicurezza Cibernetica dal controllo esclusivo del DIS. Nonostante ciò, la nomina di Baldoni, già vicedirettore del DIS con delega alla cybersecurity, è emblematica della continuità necessaria per garantire la sicurezza di un settore di rilevanza strategica. Tale continuità permetterà anche di coordinare al meglio gli sforzi delle autorità competenti NIS nazionali nel porre in sicurezza e contrastare gli attacchi alle Infrastrutture Critiche, anche tenendo conto delle future necessità dovute alle modifiche alla disciplina che verranno introdotte con la revisione della direttiva stessa, la c.d. NIS2 di cui si parla più avanti.
Agenzia per la cyber security, una svolta per l’Italia digitale: ma ora lavorare sulle competenze
Tra i compiti in materia di cyber security nazionale attribuiti alla nuova Agenzia rientrano tutti quelli precedentemente assegnati alla presidenza del Consiglio, al Ministero dello Sviluppo Economico, al DIS e all’Agenzia per l’Italia Digitale così come le competenze in materia di Perimetro di Sicurezza Nazionale Cibernetica. Tra essi rientreranno quindi l’elaborazione della Strategia nazionale di cybersicurezza e il supporto alle attività del Nucleo per la cybersicurezza, rappresentando inoltre l’Autorità nazionale competente e il punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi. Essendo anche Autorità nazionale di certificazione della cyber security, l’Agenzia accentrerà tutte le attività di certificazione finora esercitate dal Ministero dello Sviluppo Economico da parte dei competenti organi, quali il CVCN. In aggiunta, l’Agenzia si occuperà della prevenzione, del monitoraggio, del rilevamento, dell’analisi, delle risposte e della gestione di incidenti di sicurezza informatica e gli attacchi cyber. Infine, ma non meno importante, la nuova struttura sarà promotrice del coinvolgimento del sistema universitario e della ricerca, nonché del sistema produttivo nazionale, nel campo della cyber security e pertanto avrà il compito di promuovere la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della sicurezza informatica, anche attraverso l’assegnazione di borse di studio, di dottorato e di assegni di ricerca, favorendo l’attivazione di percorsi
Il Piano Nazionale di Ripresa e Resilienza (PNRR)
Il PNRR è il programma di investimento e intervento, di circa 210 miliardi di euro, con cui l’Italia ha intenzione di dare attuazione all’iniziativa europea Next Generation EU orientata ad offrire una risposta alla crisi economica e sociale determinata dalla pandemia da Covid-19. Tra i principali obiettivi del PNRR sono stati individuati, oltre alla transizione ecologica e all’inclusione sociale, la digitalizzazione e l’innovazione del sistema paese. Un tema fondamentale diventa dunque il potenziamento della cyber security a livello nazionale. Come accennato, con l’aumento della digitalizzazione sia in ambito privato che pubblico risulterà necessario potenziare in maniera significativa la capacità di prevenzione, monitoraggio e difesa delle infrastrutture tecnologiche da attacchi e incidenti di tipo cibernetico. L’istituzione dell’Agenzia per la Cybersicurezza Nazionale descritta in precedenza dimostra che l’Italia è pronta a muoversi in questa direzione.
Il Piano elaborato dal Governo prevede lo stanziamento di quasi 8 miliardi di euro per la digitalizzazione della Pubblica Amministrazione finalizzati allo sviluppo di infrastrutture ad alta affidabilità ed efficienza per l’erogazione di servizi cloud alla Pubblica Amministrazione stessa. Ciò potrebbe consentire di superare la frammentarietà degli asset infrastrutturali IT, mettere in sicurezza i data center di interesse strategico, e consentire alle Pubbliche Amministrazioni di muoversi verso l’erogazione di servizi digitali in una situazione di maggiore sicurezza e ad alta affidabilità. Gli investimenti previsti consentiranno anche il rafforzamento del Perimetro di Sicurezza Nazionale Cibernetico. La sicurezza digitale del sistema paese, soprattutto in relazione ai beni ICT che supportano le funzioni ed i servizi essenziali dello Stato, costituisce la premessa necessaria per il miglioramento della comunità e un elemento fondamentale per lo sviluppo tecnologico in settori strategici come quelli del cloud computing, della cyber security e dell’Artificial Intelligence. Il PNRR prevede infine la realizzazione di reti ultraveloci in fibra ottica, 5G ed investimenti per il monitoraggio satellitare con lo scopo di incentivare le aziende produttrici di beni ICT ad un’effettiva trasformazione digitale dei processi di produzione.
Dal momento che la pandemia da Covid-19 ha causato un’accelerazione della digitalizzazione promuovendo attività online e smart working, il PNRR appare come uno strumento utile per sviluppare modalità di organizzazione volte alla crescita del sistema paese nell’ambito della tecnologica della sicurezza e della cyber security.
La cyber security nel PNRR: cosa c’è e cosa manca nel piano dell’Italia
Dove stiamo andando: le iniziative in ambito europeo
Il percorso intrapreso dall’Italia riguardo l’assetto della cyber security appena descritto sembra porsi in parallelo rispetto alle iniziative avviate a livello europeo. In particolare, due proposte orientate ad affrontare il tema della sicurezza di entità critiche: la Direttiva NIS2 e la Direttiva CER, entrambe finalizzate a far fronte ai rischi attuali e futuri, derivanti dagli attacchi informatici, dalle attività criminali o dai disastri naturali.
La prima importante iniziativa è rappresentata dalla proposta di revisione della Direttiva UE 2016/1148 sulla Sicurezza delle Reti e dell’Informazione (Direttiva NIS), la cosiddetta NIS2, presentata dalla
Commissione Europea già il 16 dicembre del 2020. Infatti, nonostante la Direttiva NIS abbia effettivamente migliorato le capacità di sicurezza informatica degli Stati membri, la sua attuazione si è rivelata complessa. Proprio per tale ragione, e per rispondere alle crescenti minacce poste dalla digitalizzazione e dall’aumento degli attacchi informatici, la Commissione Europea ha presentato una proposta per sostituire la Direttiva NIS e quindi rafforzare i requisiti di sicurezza, migliorare la sicurezza delle supply chain, semplificare gli obblighi di segnalazione e introdurre misure di supervisione più rigorose e requisiti di applicazione più severi, compresa la comminazione di sanzioni. L’obiettivo di lungo termine della Direttiva NIS2 è quello di aumentare il livello di cyber security in Europa obbligando effettivamente più entità e settori ad adottare misure di sicurezza informatica.
Più nel dettaglio, la proposta NIS2 si pone tre obiettivi generali:
- Aumentare il livello di resilienza informatica di un insieme di imprese che operano nell’Unione Europea, ponendo in essere norme che garantiscano che tutti gli enti pubblici e privati nel mercato interno, che svolgono funzioni importanti per l’economia e la società nel suo complesso, siano tenuti ad adottare adeguate misure di sicurezza informatica. La proposta prevede inoltre che tutte le medie e grandi entità attive nei settori coperti dal framework NIS2 dovranno automaticamente rispettare le norme di sicurezza presentate. In aggiunta, viene eliminata la distinzione tra Operatori dei Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD), viene introdotta quella tra Entità Essenziali e Entità Importanti, e, per la prima volta, viene affrontato il tema della cyber security della catena di approvvigionamento ICT.
- Ridurre l’incongruenza del livello di resilienza tra gli Stati membri e nei settori già coperti dalla Direttiva NIS. A tale scopo, la NIS2 include un elenco di elementi chiave di cui tutte le aziende dovranno tenere contro, compresi l’incident response, la già citata supply chain e la crittografia. La proposta prevede inoltre un approccio in due fasi per la segnalazione degli incidenti. Le aziende interessate avranno infatti 24 ore da quando vengono a conoscenza di un incidente per presentare un rapporto iniziale all’autorità competente, seguito da un rapporto finale da presentare entro un mese. Infine, la NIS2 dovrebbe stabilire una lista minima di sanzioni amministrative, fino a 10 milioni di euro o il 2% del fatturato totale, che saranno erogate ogni volta che le entità violano le regole riguardanti la gestione del rischio di cybersecurity o i loro obblighi di segnalazione degli incidenti.
- Migliorare il livello di consapevolezza congiunta della situazione e la capacità collettiva di risposta ad una crisi. Le nuove regole proposte sono volte a migliorare il modo in cui l’UE previene, gestisce e risponde agli incidenti e alle crisi di cyber security su larga scala, introducendo responsabilità chiare, una pianificazione adeguata e una maggiore cooperazione a livello europeo. La Direttiva propone di instituire anche una rete organizzativa di collegamento UE-Cyber Crises (EU-CyCLONe) per sostenere la gestione coordinata degli incidenti di cybersecurity su larga scala, nonché per garantire lo scambio regolare di informazioni.
Al fine di garantire la coerenza e l’uniformità con la legislazione europea correlata, il riesame della Direttiva NIS tiene conto anche della seconda iniziativa della Commissione, la revisione della Direttiva sulla Resilienza delle Entità Critiche (CER), proposta insieme alla Direttiva NIS2, con l’obiettivo di migliorare la resilienza delle entità critiche contro le minacce fisiche in un gran numero di settori da cui dipendono i mezzi di sussistenza dei cittadini europei e il buon funzionamento del mercato interno.
Attraverso tale proposta, che è orientata ad ampliare l’ambito della Direttiva 2008/114 sulle Infrastrutture Critiche Europee (ICE), la Commissione intende creare un framework dei rischi transfrontalieri e intersettoriali per sostenere tutti gli Stati membri nello sviluppo di pratiche, metodologie, esercitazioni e attività di formazione per garantire e testare la resilienza delle entità critiche. I settori interessati dalla proposta di Direttiva CER sono energia, trasporti, banche, infrastrutture dei mercati finanziari, salute, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione e spazio.
Tra i principali elementi di novità che sarebbero introdotti dalla CER, si segnalano i seguenti:
- Gli Stati membri saranno obbligati a disporre di una strategia per garantire la resilienza delle entità critiche, a effettuare una valutazione nazionale dei rischi e, in base ad essa, identificare le entità critiche.
- Le entità critiche saranno tenute a effettuare valutazioni dei rischi, adottare misure tecniche e organizzative appropriate per aumentare la resilienza e riferire eventuali incidenti alle autorità competenti nazionali.
- Le entità critiche che forniscono servizi ad almeno un terzo degli Stati membri saranno soggette a una supervisione specifica della Commissione Europea.
- La Commissione stessa offrirà diverse forme di sostegno agli Stati membri e alle entità critiche, una panoramica dei rischi a livello di Unione Europea, best practice, metodologie, attività di formazione transfrontaliera ed esercitazioni per testare la resilienza delle entità critiche stesse.
- La cooperazione transfrontaliera regolare riguardo l’attuazione della direttiva sarà facilitata da un gruppo di esperti, il Critical Entities Resilience Group.
Contestualmente alla presentazione delle proposte di revisione delle due Direttive, l’Unione Europea ha presentato anche una nuova strategia per la cibersicurezza e nuove norme per rendere più resilienti i soggetti critici fisici e digitali.
Oltre a tali iniziative, è opportuno accennare infine al processo di costituzione della nuova Joint Cyber Unit (JCU) europea che coordinerà l’impegno per la cyber security per tutta l’Unione a partire dal 2023. La JCU costituisce il tentativo di armonizzare e coordinare gli sforzi delle istituzioni comunitarie. L’azione della nuova unità sarà strutturata seguendo tre direttrici principali, la prima delle quali è rappresentata dalla cooperazione verticale, tra autorità nazionali ed europee, e orizzontale, tra enti statali. La seconda direttrice è rappresentata dalla possibilità per polizia anticrimine, agenzie informatiche, strutture diplomatiche, servizi militari e società di sicurezza informatiche di accedere a risorse condivise. Infine, la terza direttrice è costituita da una più forte cooperazione nell’intervento degli Stati e delle autorità competenti per circoscrivere il perimetro degli attacchi e attenuarne gli effetti.
Cosa resta da fare
La nascita dell’Agenzia per la Sicurezza nazionale Cibernetica è la più grande opportunità degli ultimi anni per il nostro settore, soprattutto se considerata alla luce dei provvedimenti che la hanno preceduta, come il Perimetro Nazionale, attraverso i quali si troverà ad agire.
I temi caldi sono legati dal punto di vista tecnologico al cloud e al 5G, oltre che all’OT e all’IoT, aspetti che rappresentano la frontiera del futuro. L’Agenzia avrà il compito di progettare e realizzare il quadro protettivo e gli interventi normativi a supporto della postura nazionale di sicurezza.
A complemento, l’Agenzia avrà al proprio interno il CVCN e quindi le capacità di valutazione e certificazione di prodotto che influenzeranno anche i suddetti “temi caldi”. Lo schema nazionale di certificazione e valutazione avrà sicuramente un notevole impatto sulla sicurezza e sugli investimenti nel settore e tutte le Aziende, dai produttori ai vendor agli utilizzatori di tecnologia guardano con attenzione alle scelte che verranno compiute.
Per quanto riguarda gli aspetti metodologici, il tema della awareness e della formazione era e resta di fondamentale importanza e molto ci si aspetta dalla nuova architettura nazionale, anche in merito alla creazione di professionalità, oggi carenti. La collaborazione tra l’Agenzia e gli Enti di ricerca e formazione sarà un punto nodale, sul quale l’esperienza degli ultimi venti anni potrà essere utile.
Infine, ma non ultimo, esiste il tema della cooperazione tra pubblico e privato per lo scambio di informazioni, nello stile degli ISAC (Information Sharing and Analysis centre) americani e per lo sviluppo di competenze nazionali. A questo proposito l’Agenzia trova gli otto competence Centre, nati ormai da tre anni, e ha la facoltà di promuovere anche la creazione di cyber parchi, come quello proposto dalla Associazione Cyber Area presso il Cara di Mineo.
Le opportunità non mancano e l’attenzione dedicata finora dal Governo e dalle Autorità preposte al settore mantiene alte le aspettative per un 2022 che potrebbe aprirsi al galoppo.
Conclusioni
L’insorgenza della pandemia da Covid-19 ha causato un contestuale incremento del numero degli attacchi cyber ai danni delle Infrastrutture Critiche così come dei semplici cittadini. Nonostante ciò, ha rappresentato anche una eccezionale spinta propulsiva che ha incentivato l’Italia a porre in essere iniziative volte a rafforzare la sicurezza cibernetica di tutto il sistema paese. Nei mesi a venire, la promulgazione del restante decreto attuativo del Perimetro di Sicurezza Nazionale Cibernetica e l’entrata a regime dell’Agenzia per la Cybersicurezza Nazionale rappresenteranno un ulteriore miglioramento della sicurezza cyber. Il percorso intrapreso dal Governo, quindi, è molto ambizioso ma è senz’altro quello giusto e sembra condurre il Paese verso lo stesso obiettivo prefissato dalle iniziative messe in atto dalla Commissione Europea, cioè il rafforzamento della cyber security dell’Unione attraverso il consolidamento della sicurezza di tutti gli Stati membri.