Il piano di implementazione della strategia di sicurezza nazionale cibernetica è il punto di partenza per la realizzazione della strategia stessa. Come sempre, riporta a terra le visioni strategiche, sostanziandone il significato e gli obiettivi di medio e lungo termine in azioni pragmatiche e sostenibili da intraprendere velocemente.
Il piano stabilisce anche i criteri per le metriche che verranno predisposte e utilizzate per valutare gli obiettivi attuativi, circa 81, descritti nel documento.
L’autonomia tecnologica UE in ambito digitale
Si parla ancora una volta dell’obiettivo dell’autonomia tecnologica UE in ambito digitale, rispetto al quale la consapevolezza è ormai totale. Autonomia che prelude a un gioco importante di posizionamenti e monopoli di fatto, che si verranno a creare anche in Europa. L’ACN insiste però sul promuovere ogni iniziativa utile al rafforzamento dell’autonomia industriale e tecnologica anche dell’Italia. Quindi ancora una volta ci porta tutti a riflettere sul futuro della nostra nazione e ribadisce poi l’importanza di un Piano per l’industria cyber nazionale volto a sostenere le imprese e le startup per la progettazione e la realizzazione di prodotti e servizi ad alta affidabilità (tra cui un’infrastruttura di comunicazione nazionale) che rispondano agli interessi strategici del Paese e che possano essere promossi presso Stati like-minded. Una visione strategica innovativa che ci potrà proiettare verso un futuro “tecnologicamente italiano”.
Un “parco nazionale della cybersicurezza”
Sempre nello stesso alveo si inserisce la misura 49: Realizzare un “parco nazionale della cybersicurezza” che ospiti le infrastrutture necessarie allo svolgimento di attività di ricerca e sviluppo nell’ambito della cybersecurity e delle tecnologie digitali, dotato di una struttura “diffusa”, con ramificazioni distribuite sull’intero territorio nazionale. Altri Paesi hanno avuto iniziative simili, Francia, Israele e Stati Uniti, per citarne solo tre, hanno ormai un tessuto consolidato di PMI e grandi aziende nate come start up in parchi tecnologici di questo tipo e poi cresciute o inglobate in consorelle già dimensionalmente stabili.
Le nostre industrie dovranno sostenere un grande balzo in avanti in termini di tecnologia cyber. Questi obiettivi spiegano il metodo, i passi, per effettuare il grande balzo.
Tre obiettivi sono poi dedicati all’awareness, attività sempre più gettonata dalle imprese per proteggere il management da metodi di ingaggio molto sofisticati, basati su tecniche di social engineering preventivo.
Il nodo delle competenze
Tutto il piano attuativa ruota intorno alla capacità di servizi digitali nazionali. Quindi è particolarmente focalizzato sull’accrescimento delle competenze non solo per i giovani, ma per tutti. La realizzazione di uno strato di competenze diffuse, radicate su professionalità disciplinari miste, umanistiche, tecniche e scientifiche, a tutti i livelli di titolarità, non solo confinate a laureati di alto rango, è la base imprescindibile per fare il grande balzo in avanti. Rispetto al quale non ci sono alternative di sopravvivenza.
Sia la strategia che il piano parlano di deterrenza, sostanziandola in obiettivi solidi e precisi, anche se il tema di una postura “response” non si può ancora affrontare. D’altra parte, è evidente a tutti come la cyberwarfare continui a configurarsi come asimmetrica.
Gli eventi di questo periodo aiuteranno la collettività internazionale e decidere di accelerare il lavoro di individuazione e definizione dei perimetri e delle regole di ingaggio cibernetico a livello sovranazionale per consentire a tutti gli Stati, non solo ai “cyber rogue”, di assumere posture “response” definite e dichiarate.
Il ruolo dell’Agenzia nazionale di cybersecurity e del CVCN
L’ACN, viene chiarito, opera quale ente regolatore, certificatore, nonché di vigilanza del settore della cybersicurezza, che definisce, ad esempio, i livelli minimi delle misure di sicurezza nei diversi ambiti (tra cui energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali, comunicazioni elettroniche, cloud nazionale, pubblica amministrazione), potendo anche effettuare ispezioni e irrogare sanzioni ed è designata quale Centro Nazionale di Coordinamento (NCC), ai sensi dell’articolo 6 del Regolamento (UE) 2021/887 del Parlamento e del Consiglio europeo, che istituisce il Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento.
Il centro darà ulteriori nuove possibilità di progetti innovativi in cooperazione con altri Stati Europei e di finanziamenti internazionali.
Ultimo, ma non ultimo, decisamente, il ruolo del CVCN e delle valutazioni e certificazioni nazionali di cyber security di prodotto. Aspettiamo a giorni l’ultimo DPCM attuativo del PSNC dedicato proprio a questo tema e all’accreditamento dei Laboratori Accreditati di Prova. Ancora una volta l’ACN giunge al punto prestabilito di emanazione legislativa in modo tempestivo e completo: come annunciato per l’estate potremo iniziare a lavorare sulle certificazioni e capiremo quale futuro si configura su questo tema che rappresenta il passaggio della cyber security dalla categoria artigianale alla categoria professionale.
