Il nuovo approccio strategico del governo italiano in materia di sicurezza cibernetica ha preso finalmente forma in queste ore attraverso la pubblicazione in Gazzetta Ufficiale del DPCM del 17 febbraio 2017.
Attraverso questo nuovo Decreto del Presidente del Consiglio dei Ministri, il governo italiano ha inteso sostituire il DPCM del 24 gennaio 2013 (c.d. Decreto Monti), dando il via alla seconda fase del programma volto a rendere sempre più efficiente il sistema di sicurezza nazionale nel campo della cyber security.
Da più parti, infatti, si era chiesto a gran voce di razionalizzare e agevolare un più diretto ed efficace collegamento tra le funzioni deputate alle attività di prevenzione, preparazione e gestione di eventuali situazioni di crisi cibernetica e il Comitato Interministeriale per la Sicurezza della Repubblica (CISR), organo istituzionale di raccordo politico-strategico sul tema della sicurezza nazionale.
Il nuovo Decreto voluto da Gentiloni, quindi, oltre a riaffermare il ruolo strategico del CISR anche nelle situazioni di crisi per la sicurezza nazionale legate allo spazio cibernetico, riconferma tutti i compiti di consulenza, proposta e deliberazione in questo settore già demandati al Comitato attraverso il Decreto Monti del 2013.
Il vero elemento di novità introdotto dal nuovo Decreto risiede, invece, nel ruolo sempre più centrale e preponderante che il Dipartimento delle Informazioni per la Sicurezza (DIS) acquisisce nel settore della sicurezza cibernetica: da oggi in poi vero e proprio braccio operativo sul piano strategico del Presidente del Consiglio, nonché il collante tra il CISR e l’intera pubblica amministrazione e il settore privato.
Spetta, infatti, al Direttore Generale del DIS il compito di adottare tutte le iniziative ritenute più idonee per definire le linee di azione utili ad innalzare e migliorare i livelli di sicurezza dei sistemi e delle reti deputati alla prevenzione, al contrasto e alla risposta in caso di crisi cibernetica.
Per il raggiungimento di tale scopo, peraltro, non si può che guardare con estremo favore al continuo consolidarsi nel tempo del rapporto di cooperazione tra governo centrale e le professionalità delle pubbliche amministrazioni, degli enti di ricerca pubblici e privati, delle università e degli operatori economici privati, tutti chiamati a contribuire alla realizzazione di questo importantissimo obiettivo.
Peraltro, un ulteriore elemento di rafforzamento del ruolo del DIS è sicuramente rinvenibile anche nella decisione di trasportare il Nucleo Sicurezza Cibernetica dalla competenza dell’Ufficio del Consigliere Militare a quella, appunto, del DIS stesso, che lo presiede attraverso l’azione di un suo Vice Direttore Generale.
Anche questa previsione non può che essere accolta positivamente, in quanto di fatto pone finalmente il Nucleo Sicurezza Cibernetica al centro dell’azione strategica del governo italiano. Il Decreto realizza questo obiettivo attraverso le funzioni di raccordo del Nucleo con tutti gli attori che intervengono a vario titolo nella materia della sicurezza cibernetica.
Infatti, nel campo della prevenzione e della preparazione ad eventuali situazioni di crisi cibernetica, spetta al Nucleo Sicurezza Cibernetica:
- promuovere la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l’elaborazione delle necessarie procedure di coordinamento interministeriale;
- mantenere attiva, 24 ore su 24, 7 giorni su 7, l’unità per l’allertamento e la risposta a situazioni di crisi cibernetica;
- valutare e promuovere procedure di condivisione delle informazioni, anche con gli operatori privati interessati, al fine di diffondere gli allarmi relativi ad eventi cibernetici e per la gestione delle crisi;
- acquisire le comunicazioni circa i casi di violazione o dei tentativi di violazione della sicurezza o di perdita dell’integrità dal Ministero dello sviluppo economico, dagli organismi di informazione per la sicurezza, dalle Forze di polizia e, in particolare, dal CNAIPIC, nonché dalle strutture del Ministero della difesa e dai CERT;
- promuovere e coordinare, in raccordo con il Ministero dello sviluppo economico e con l’Agenzia per l’Italia digitale per i profili di rispettiva competenza, lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica;
- costituire punto di riferimento nazionale per i rapporti con l’ONU, la NATO, l’UE e le altre organizzazioni internazionali e gli altri Stati, ferme restando le specifiche competenze del Ministero dello sviluppo economico, del Ministero degli affari esteri e della cooperazione internazionale, del Ministero dell’interno, del Ministero della difesa e di altre amministrazioni previste dalla normativa vigente, assicurando comunque in materia ogni necessario raccordo.
Peraltro, nel campo dell’attivazione delle azioni di risposta e ripristino rispetto a situazioni di crisi cibernetica, il Nucleo Sicurezza Cibernetica:
- riceve, anche dall’estero, le segnalazioni di eventi cibernetici e dirama gli allarmi alle amministrazioni e agli operatori privati;
- valuta se l’evento assume dimensioni, intensità o natura tali da non poter essere fronteggiato dalle singole amministrazioni competenti in via ordinaria, ma richiede l’assunzione di decisioni coordinate in sede interministeriale;
- informa tempestivamente il Presidente del Consiglio, per il tramite del Direttore Generale del DIS, sulla situazione in atto.
Appare evidente, allora, come la collocazione del Nucleo Sicurezza Cibernetica all’interno del DIS consolidi non solo il ruolo del Dipartimento, ma contestualmente rafforzi – e non di poco rispetto a quanto avvenuto dal 2013 ad oggi – anche il ruolo istituzionale del Nucleo stesso, chiamato ad essere oggi più che mai il cardine sul piano strategico della prevenzione, della preparazione e della risposta del governo italiano in caso di eventuali crisi cibernetiche.
Infine, un ultimo elemento di novità e di sicuro rilievo presente all’interno del nuovo Decreto è certamente la previsione normativa che impegna il Ministro dello sviluppo economico a promuovere l’istituzione di un centro di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità su prodotti, apparati e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture critiche.
L’esigenza scaturisce da un mercato tecnologico globale sempre più incentrato su prodotti e servizi di aziende appartenenti a pochissime e ben individuabili nazioni. Il capillare utilizzo di questi prodotti e servizi in ogni ambito sia del settore pubblico che privato italiano, unitamente alla costante crescita della minaccia dello spionaggio informatico anche attraverso vulnerabilità o backdoor al loro interno, fa di questa previsione normativa un elemento assolutamente cardine in un’ottica di un’efficace strategia di difesa cibernetica.
In conclusione, la cristallizzazione e il potenziamento del ruolo strategico del DIS nel settore della sicurezza cibernetica, la centralità del Nucleo Sicurezza Cibernetica sul piano della prevenzione, preparazione e risposta del governo italiano in caso di crisi cibernetiche, così come, infine, l’istituzione di un centro di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità su prodotti, apparati e sistemi informatici, rappresentano finora le tre reali novità messe in campo dal governo Gentiloni per far fronte al crescente aumento della minaccia cibernetica in Italia e nel mondo.