Nel nostro Paese l’architettura istituzionale in materia di sicurezza cibernetica ha subito un considerevole aggiornamento con il DPCM del 17 febbraio 2017[1] (“Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”). Rispetto al DPCM del 24 gennaio 2013, le trasformazioni giuridiche hanno tenuto conto dell’esperienza maturata e del mutamento della minaccia, modellando ad essa anche un’armonizzazione delle strutture preposte al contrasto. Sulla base dell’assetto precedente, infatti, come si afferma nelle premesse al DPCM, l’obiettivo della riforma è stato quello di procedere a una “razionalizzazione e semplificazione della predetta architettura istituzionale”.
Il 31 marzo 2017, così come da art. 3, comma 1, lett. c) della Direttiva, è stato adottato il nuovo Piano nazionale per la protezione cibernetica e la sicurezza informatica[2] (di seguito, Piano) che si pone in continuità con quello precedente del biennio 2014-2015[3]. Il Piano, al fine di dare concreta attuazione al Quadro strategico nazionale per la sicurezza dello spazio cibernetico[4] e in particolare agli indirizzi strategici in esso contenuti[5], individua gli indirizzi operativi (IIOO), gli obiettivi da conseguire e le linee di azione da porre in essere.
Gli spunti su cui spendere delle riflessioni sulla nuova struttura sono molteplici. Tuttavia, per brevità, ci concentreremo sui seguenti tre: gli attori che hanno partecipato al processo di revisione, le principali direttrici di intervento di tale revisione e la realizzazione di un innovativo “piano d’azione”.
Il Piano nazionale è stato rivisitato dai punti di contato cyber dei Dicasteri CISR (Affari Esteri, Interno, Difesa, Giustizia, Economia e Finanze, Sviluppo Economico), dell’Agenzia per l’Italia Digitale e del Nucleo per la sicurezza cibernetica (operante prima presso l’Ufficio del Consigliere Militare del Presidente del Consiglio e con l’attuale riforma istituito presso il Dipartimento delle Informazioni per la Sicurezza “per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento”).
Per quanto riguarda la struttura del Documento, tra gli undici indirizzi operativi[6] del Piano, le principali direttrici di intervento della revisione hanno riguardato i seguenti due obiettivi strategici:
- L’indirizzo operativo 1 (“Potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare) con l’obiettivo di rafforzare le capacità complessive di risposta integrata ad eventi cibernetici;
- L’indirizzo operativo 5 (“Operatività delle strutture nazionali di incident prevention, response e remediation”) con l’obiettivo di potenziare alcune strutture (come gli attuali CERT), costituire le strutture previste dalla Direttiva NIS (CSIRT, Punto unico di contatto, Autorità nazionale) e definire le modalità di coordinamento tra i vari attori (CERT, CSIRT, Comparto Intelligence, CNAIPIC, Difesa, AgID) in una prospettiva di unificazione dei CERT pubblici.
L’aspetto innovativo e che merita degli approfondimenti ulteriori è il terzo, ovvero la realizzazione di un cosiddetto “piano d’azione”. In altre parole, si tratta di un “nucleo essenziale di iniziative, cui attribuire carattere di priorità e urgenza” che sono state evidenziate sullo sfondo delle esigenze e dei criteri che hanno animato la revisione del Piano e scelte allo scopo di rendere effettivo e operativo il cambio di passo in termini di innalzamento dei livelli di sicurezza dei sistemi e delle reti del nostro Paese – obiettivo della più ampia ristrutturazione del nuovo impianto giuridico in materia di sicurezza cyber nel suo complesso e in vista del Recepimento della Direttiva dell’Unione Europa NIS (Network and Information Systems)[7]. Il piano d’azione, che è costituito da alcuni elementi chiave[8] indefettibili, ruota attorno alle seguenti tre direttrici:
- Interazione tra soggetti pubblici, privati e settore accademico. Considerato che, ai fini della sicurezza nazionale, il patrimonio informativo sensibile non è di sola pertinenza del settore pubblico e istituzionale, è essenziale integrare i saperi, le informazioni e le conoscenze. Per il settore privato è annunciato il finanziamento di start-up e/o la partecipazione al capitale societario di realtà imprenditoriali di interesse (venture capital); invece, per quanto concerne il settore accademico, è prevista la costituzione di un “Centro nazionale di Ricerca e Sviluppo in CyberSecurity” – impegnato nella malware analysis, nella security governance, nella protezione delle infrastrutture critiche e nella threat analysis system – e di un “Centro nazionale di crittografia”;
- Ristrutturazione del sistema di difesa cyber. Approntamento del sistema di difesa cibernetica tra cui il perimetro di copertura degli assetti di difesa comuni (interazione/integrazione del CERT nazionale e del CERT-PA), la certificazione, presso il MiSE, di innovative soluzioni SW/HW, l’identificazione delle funzioni manageriali/professionali critiche, l’obbligo di condivisione degli eventi cibernetici significativi al superamento di determinate soglie di gravità (soprattutto per gli “operatori di servizi pubblici essenziali” e i “fornitori di servizi digitali”) per i quali sono previste anche delle sanzioni in caso di omissione;
- Ridefinizione dell’organizzazione di alcune strutture che si occupano di sicurezza cyber. In questo senso le ipotesi di lavoro sono molteplici: a) sarà attribuito al Direttore del DIS un ruolo attivo e centrale nell’ambito dell’architettura cyber; b) riposizionamento del NSC all’interno del DIS, guidato da un Vice Direttore generale di quest’ultimo; c) espresso riconoscimento del ruolo del CNAIPIC, dell’AgID e soprattutto dell’Amministrazione della Difesa con l’organizzazione di un Comando Interforze Operazioni Cibernetiche (CIOC) e la realizzazione di un poligono virtuale nazionale
“Cooperazione” e “condivisione delle informazioni e delle conoscenze” sono le parole chiavi in tema di sicurezza cyber. Per questo motivo il Piano, sulla scorta del Quadro Nazionale e del “nuovo” DPCM, si pone come un processo dinamico e in divenire che sollecita e integra gli sforzi di tutti gli attori che, a vario titolo, sono interessati e partecipano attivamente alla tematica cyber.
Per quanto riguarda i CERT, è doveroso riconoscere l’egregio lavoro svolto in questi anni dal CERT Nazionale, nelle sue numerose competenze, e dal CERT PA i quali hanno raggiunto risultati encomiabili nonostante la scarsità di risorse e la quantità e varietà di problemi da fronteggiare. Qualunque sia l’assetto con il quale si deciderà di operare nel futuro, con CERT distinti come ora o con CERT integrati, sarà necessario assegnare fondi significativi che consentano di usufruire di profili sempre aggiornati e di strumenti all’avanguardia. Il/i CERT continueranno ad essere parte della mente pensante operativa nel Paese per il contrasto alla minaccia cibernetica e saranno una parte integrante del processo sia di protezione e preparazione che di gestione degli incidenti, a fianco dell’NSC, il cui ruolo andrà sicuramente meglio strutturato e dipanato.
_________________________________________________
