L’Italia sconta nell’ambito della cybersicurezza un notevole ritardo rispetto agli altri paesi europei ed in generale in raffronto con il resto dei paesi industrializzati. Con l’istituzione, seppur tardiva, di una Agenzia per la cybersicurezza nazionale (Acn) il nostro Paese adegua la nostra architettura nazionale di sicurezza. Al relativo disegno di legge proprio oggi la Camera ha dato l’ok; il testo passa oggi al Senato (tempo fino al 13 agosto).
Lo stato delle norme
Dobbiamo correre. Basta pensare che in Germania una agenzia analoga esiste già dal 1991 e dispone, ad oggi, di 1200 dipendenti mentre la Francia si è dotata di un’agenzia analoga dal 2009. Al ritardo si aggiunga, poi, l’allarme lanciato dal ministro dell’Innovazione Tecnologica Vittorio Colao che ha detto: “Abbiamo il 93-95% dei server della Pubblica amministrazione che non è in condizioni di sicurezza.”.
Ampliamento del perimetro di sicurezza nazionale cibernetica: ecco i settori di attività
A livello europeo la direttiva (UE) 2016/1148 del 6 luglio 2016, reca misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (cosiddetta direttiva NIS – Network and Information Security) al fine di conseguire un «livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea».
La direttiva è stata recepita dal nostro ordinamento con il decreto legislativo n. 65 del 2018 che disegna, quindi, la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi e individua i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva NIS.
Successivamente, il decreto-legge n. 105 del 2019, al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, ha previsto l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi. Talune modifiche a tale provvedimento sono state apportate dal decreto-legge n. 162 del 2019, in materia di proroga dei termini e altre disposizioni sulla pubblica amministrazione.
I passi da fare
In futuro, il dominio cibernetico sarà sempre più uno dei piani su cui si misurerà la competizione tra gli Stati. I casi di cyber-espionage gli attacchi a Solarwinds e Microsoft Exchange emersi tra la fine del 2020 e l’inizio del 2021, e le sanzioni degli Stati Uniti alla Russia, non fanno altro che avvalorare questa considerazione.
Dato questo fattore significativo, è importante agire, sul piano internazionale, attraverso strumenti di cooperazione. I consessi multilaterali, in ambito UE, NATO e ONU, devono servire per definire un approccio comune agli attacchi cibernetici.
Questo mette in luce da un lato l’importanza di implementare le misure previste dal Perimetro di sicurezza nazionale cibernetica, dall’altro la necessità di creare una struttura che sia in grado di garantire, a livello nazionale, la resilienza cibernetica.
Proprio questo, infatti, sarà il compito principale dell’Agenzia. Essa si affiancherà all’attività di cyber investigation, in capo alle forze di polizia, a quella di cyber defense, di cui sono competenti le forze armate e a quella di cyber intelligence, che rimarrà in capo al Sistema di informazione per la sicurezza della Repubblica (SISR). In particolare, il Direttore generale della Pubblica Sicurezza Franco Gabrielli ha sottolineato come questa sarà svolta non solo in chiave difensiva, ma anche attraverso attività di cyber offense, elemento chiave della funzione di cyber deterrence.
Un ultimo elemento da considerare, poi, sono i fondi previsti dal PNRR per la Digitalizzazione, innovazione e sicurezza della Pubblica Amministrazione. A tale investimento sono destinati 620 milioni di euro, di cui 241 per le infrastrutture cyber e 150 per il rafforzamento delle capacità di difesa informatica dei ministeri dell’Interno, della Difesa, della Giustizia, della Guardia di Finanza e del Consiglio di Stato. La creazione dell’Agenzia cyber si pone in continuità con tale previsione ed è di vitale importanza in quanto agirà quale attore unico nel coordinamento delle strutture già esistenti predisposte alla gestione della sicurezza informatica.
Le criticità affrontate nel disegno di legge sull’Agenzia per la cybersecurity
Abbiamo dovuto affrontare, nel corso della discussione del testo del disegno di legge, diverse criticità. Uno di questi ha riguardato la cooperazione pubblico-privato. In un settore come la cybersecurity, questo è un elemento fondamentale per rappresentare le necessità del tessuto produttivo e prevenire le minacce informatiche attraverso la condivisione delle informazioni.
L’Agenzia potrà svolgere un ruolo fondamentale nell’instaurare un dialogo ispirato a criteri di efficienza, efficacia e rapidità, una funzione che, per propria natura, il comparto intelligence faticherebbe a svolgere.
Con una modificata introdotta in sede referente, l’Agenzia promuoverà iniziative di partenariato pubblico-privato, e rendere effettive le ricordate capacità di prevenzione e rilevamento e risposta ad incidenti ed attacchi informatici.
Dal lavoro in commissione è emersa anche la preoccupazione che si possa, con l’istituzione della agenzia, indebolire la struttura di intelligence che fa capo al DIS privandola delle competenze sulla cyber. Con un Ordine del giorno abbiamo proposto di rafforzare le strutture dedicate alla cyberintelligence nell’ambito di una ulteriore revisione complessiva della legge 124 del 2017.
Un’ulteriore preoccupazione è stata rappresentata dal coinvolgimento del Parlamento nella parte attuativa dell’agenzia e del funzionamento ordinario, che abbiamo risolto in parte con l’approvazione di emendamenti che introducono pareri parlamentari per i regolamenti e decreti attuativi, sulle iniziative da adottare per la crittografia come strumento di cybersicurezza, la qualificazione dei servizi Cloud della PA, oltre alla relazione annuale del Presidente del Consiglio al Parlamento sull’agenzia. in sede referente.
Grazie a un lungo lavoro di commissione, inoltre, l’Agenzia promuoverà percorsi formativi universitari sempre in materia di cybersicurezza avvalendosi anche delle strutture formative e delle capacità della Presidenza del Consiglio dei ministri, del Ministero della difesa e del Ministero dell’interno.
Attuazione del disegno di legge
Alla conversione in legge del decreto deve seguire, necessariamente, una rapida attuazione per evitare che la creazione della struttura dell’agenzia appesantisca la gestione della cybersecurity, che invece dovrebbe risultare in un processo rapido e snello. Sarebbe, quindi, necessaria una maggiore operatività, ottenibile attraverso la razionalizzazione delle risorse e delle strutture già presenti.
Dopo l’approvazione della Camera ed a stretto giro del Senato toccherà al Governo agire in modo rapido ed efficace, risolvendo le criticità presenti e sviluppando una struttura che possa eguagliare il lavoro svolto da quella tedesca e quella francese. Il settore della cybersecurity è in continua evoluzione, non possiamo più permetterci di perdere tempo, ci aspettano grandi sfide che non possono avere i tempi lunghi a cui, purtroppo, ci hanno abituato in passato.
