il piano italiano

Le tre cose da sistemare per una prima cybersecurity nazionale

Chi sono gli attori che hanno partecipato al processo di revisione del Piano nazionale per la protezione cibernetica e la sicurezza informatica; quali le principali direttrici di intervento e le innovazioni introdotte dalla realizzazione di un “piano d’azione” che definisca priorità e urgenze

Pubblicato il 30 Giu 2017

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

cyber_523277893

Nel nostro Paese l’architettura istituzionale in materia di sicurezza cibernetica ha subito un considerevole aggiornamento con il DPCM del 17 febbraio 2017[1] (“Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”). Rispetto al DPCM del 24 gennaio 2013, le trasformazioni giuridiche hanno tenuto conto dell’esperienza maturata e del mutamento della minaccia, modellando ad essa anche un’armonizzazione delle strutture preposte al contrasto. Sulla base dell’assetto precedente, infatti, come si afferma nelle premesse al DPCM, l’obiettivo della riforma è stato quello di procedere a una “razionalizzazione e semplificazione della predetta architettura istituzionale”.

Il 31 marzo 2017, così come da art. 3, comma 1, lett. c) della Direttiva, è stato adottato il nuovo Piano nazionale per la protezione cibernetica e la sicurezza informatica[2]  (di seguito, Piano) che si pone in continuità con quello precedente del biennio 2014-2015[3]. Il Piano, al fine di dare concreta attuazione al Quadro strategico nazionale per la sicurezza dello spazio cibernetico[4] e in particolare agli indirizzi strategici in esso contenuti[5], individua gli indirizzi operativi (IIOO), gli obiettivi da conseguire e le linee di azione da porre in essere.

Gli spunti su cui spendere delle riflessioni sulla nuova struttura sono molteplici. Tuttavia, per brevità, ci concentreremo sui seguenti tre: gli attori che hanno partecipato al processo di revisione, le principali direttrici di intervento di tale revisione e la realizzazione di un innovativo “piano d’azione”.

Il Piano nazionale è stato rivisitato dai punti di contato cyber dei Dicasteri CISR (Affari Esteri, Interno, Difesa, Giustizia, Economia e Finanze, Sviluppo Economico), dell’Agenzia per l’Italia Digitale e del Nucleo per la sicurezza cibernetica (operante prima presso l’Ufficio del Consigliere Militare del Presidente del Consiglio e con l’attuale riforma istituito presso il Dipartimento delle Informazioni per la Sicurezza “per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento”).

Per quanto riguarda la struttura del Documento, tra gli undici indirizzi operativi[6] del Piano, le principali direttrici di intervento della revisione hanno riguardato i seguenti due obiettivi strategici:

  • L’indirizzo operativo 1 (“Potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare) con l’obiettivo di rafforzare le capacità complessive di risposta integrata ad eventi cibernetici;
  • L’indirizzo operativo 5 (“Operatività delle strutture nazionali di incident prevention, response e remediation”) con l’obiettivo di potenziare alcune strutture (come gli attuali CERT), costituire le strutture previste dalla Direttiva NIS (CSIRT, Punto unico di contatto, Autorità nazionale) e definire le modalità di coordinamento tra i vari attori (CERT, CSIRT, Comparto Intelligence, CNAIPIC, Difesa, AgID) in una prospettiva di unificazione dei CERT pubblici.

L’aspetto innovativo e che merita degli approfondimenti ulteriori è il terzo, ovvero la realizzazione di un cosiddetto “piano d’azione”. In altre parole, si tratta di un “nucleo essenziale di iniziative, cui attribuire carattere di priorità e urgenza” che sono state evidenziate sullo sfondo delle esigenze e dei criteri che hanno animato la revisione del Piano e scelte allo scopo di rendere effettivo e operativo il cambio di passo in termini di innalzamento dei livelli di sicurezza dei sistemi e delle reti del nostro Paese – obiettivo della più ampia ristrutturazione del nuovo impianto giuridico in materia di sicurezza cyber nel suo complesso e in vista del Recepimento della Direttiva dell’Unione Europa NIS (Network and Information Systems)[7]. Il piano d’azione, che è costituito da alcuni elementi chiave[8] indefettibili, ruota attorno alle seguenti tre direttrici:

  • Interazione tra soggetti pubblici, privati e settore accademico. Considerato che, ai fini della sicurezza nazionale, il patrimonio informativo sensibile non è di sola pertinenza del settore pubblico e istituzionale, è essenziale integrare i saperi, le informazioni e le conoscenze. Per il settore privato è annunciato il finanziamento di start-up e/o la partecipazione al capitale societario di realtà imprenditoriali di interesse (venture capital); invece, per quanto concerne il settore accademico, è prevista la costituzione di un “Centro nazionale di Ricerca e Sviluppo in CyberSecurity” – impegnato nella malware analysis, nella security governance, nella protezione delle infrastrutture critiche e nella threat analysis system – e di un “Centro nazionale di crittografia”;
  • Ristrutturazione del sistema di difesa cyber. Approntamento del sistema di difesa cibernetica tra cui il perimetro di copertura degli assetti di difesa comuni (interazione/integrazione del CERT nazionale e del CERT-PA), la certificazione, presso il MiSE, di innovative soluzioni SW/HW, l’identificazione delle funzioni manageriali/professionali critiche, l’obbligo di condivisione degli eventi cibernetici significativi al superamento di determinate soglie di gravità (soprattutto per gli “operatori di servizi pubblici essenziali” e i “fornitori di servizi digitali”) per i quali sono previste anche delle sanzioni in caso di omissione;
  • Ridefinizione dell’organizzazione di alcune strutture che si occupano di sicurezza cyber. In questo senso le ipotesi di lavoro sono molteplici: a) sarà attribuito al Direttore del DIS un ruolo attivo e centrale nell’ambito dell’architettura cyber; b) riposizionamento del NSC all’interno del DIS, guidato da un Vice Direttore generale di quest’ultimo; c) espresso riconoscimento del ruolo del CNAIPIC, dell’AgID e soprattutto dell’Amministrazione della Difesa con l’organizzazione di un Comando Interforze Operazioni Cibernetiche (CIOC) e la realizzazione di un poligono virtuale nazionale

“Cooperazione” e “condivisione delle informazioni e delle conoscenze” sono le parole chiavi in tema di sicurezza cyber. Per questo motivo il Piano, sulla scorta del Quadro Nazionale e del “nuovo” DPCM, si pone come un processo dinamico e in divenire che sollecita e integra gli sforzi di tutti gli attori che, a vario titolo, sono interessati e partecipano attivamente alla tematica cyber.

Per quanto riguarda i CERT, è doveroso riconoscere l’egregio lavoro svolto in questi anni dal CERT Nazionale, nelle sue numerose competenze, e dal CERT PA i quali hanno raggiunto risultati encomiabili nonostante la scarsità di risorse e la quantità e varietà di problemi da fronteggiare. Qualunque sia l’assetto con il quale si deciderà di operare nel futuro, con CERT distinti come ora o con CERT integrati, sarà necessario assegnare fondi significativi che consentano di usufruire di profili sempre aggiornati e di strumenti all’avanguardia. Il/i CERT continueranno ad essere parte della mente pensante operativa nel Paese per il contrasto alla minaccia cibernetica e saranno una parte integrante del processo sia di protezione e preparazione che di gestione degli incidenti, a fianco dell’NSC, il cui ruolo andrà sicuramente meglio strutturato e dipanato.

_________________________________________________

[1] http://www.sicurezzanazionale.gov.it/sisr.nsf/documentazione/normativa-di-riferimento/dpcm-17-febbraio-2017.html
[2] http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2017/05/piano-nazionale-cyber-2017.pdf
[3] http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/piano-nazionale-cyber.pdf
[4] http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/quadro-strategico-nazionale-cyber.pdf
[5] Gli indirizzi strategici del Quadro strategico nazionale sono i seguenti sei: 1) Potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese; 2) Miglioramento, secondo un approccio integrato, delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati; 3) Incentivazione della cooperazione tra istituzioni ed imprese nazionali; 4) Promozione e diffusione della cultura della sicurezza cibernetica; 5) Rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica; 6) Rafforzamento delle capacità di contrasto alle attività e contenuti illegali on-line.
[6] Gli indirizzi operativi del “nuovo” Piano sono i seguenti 11: 1) Potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare; 2) Potenziamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati; 3) Promozione e diffusione della cultura della sicurezza informatica. Formazione ed addestramento; 4) Cooperazione internazionale ed esercitazioni; 5) Operatività delle strutture nazionali di incident prevention, response e remediation; 6) Interventi legislativi e compliance con obblighi internazionali; 7) Compliance a standard e protocolli di sicurezza; 8) Supporto allo sviluppo industriale e tecnologico; 9) Comunicazione strategica e operativa; 10) Risorse; 11) Implementazione di un sistema di cyber risk management nazionale.
[7] Si fa riferimento alla Direttiva (UE) 2016/1148 del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione: http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016L1148&from=IT
[8] Gli elementi caratterizzanti il piano d’azione sono i seguenti sette: a) Revisione del Nucleo per la sicurezza cibernetica; b) Contrazione della catena di comando per la gestione delle crisi cibernetiche; c) Riduzione della complessità dell’architettura nazionale, mediante soppressione/accorpamento di organi; d) Progressiva unificazione dei CERT; e) Istituzione di un centro di valutazione e certificazione nazionale ICT; f) Fondazione o Fondo di venture capital; g) Istituzione di un Centro nazionale di ricerca e sviluppo in cybersecurity; h) Costituzione di un Centro nazionale di crittografia.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati