fbpx

Agenzia per la Cybersicurezza Nazionale: cos’è e come funziona – LA SCHEDA

1269 0

In Gazzetta ufficiale la LEGGE 4 agosto 2021, n. 109 di Conversione con modificazioni, del decreto-legge 14 giugno 2021, n. 822 qui il Testo coordinato con le modifiche intervenute in sede di conversione) in materia di cybersicurezza (GU Serie Generale n.185 del 04-08-2021).

Il Decreto, che era in vigore dal 15 giugno 2021 e aggiornato con le modifiche emerse in sede di conversione, a partire dal 5 agosto 2021, era stato annunciato dal Governo, nel Consiglio dei Ministri del 10 giugno: istituisce l’Agenzia per la cybersicurezza nazionale (ACN) – art.5.
L’Agenzia ha come finalità la promozione della cultura della sicurezza cibernetica, la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.

In questa notizia vediamo come il DL 82/2020 convertito:

  • definisce la struttura dell’Agenzia e la sua organizzazione sotto la responsabilità del Presidente del Consiglio
  • identifica i compiti l’Agenzia e come attuerà la strategia di cyber-resilienza nazionale, avviata con il Decreto sul perimetro cibernetico (DPR 54/2021),
  • istituisce il Comitato interministeriale per la cybersicurezza (CIC) (art.4), il Nucleo per la Cybersicurezza (art.8) e prevede specifici poteri di controllo da parte del Comitato parlamentare per la sicurezza della Repubblica (COPASIR).
  • Infine, il DL 82/2021 definisce i collegamenti dell’Agenzia con il Centro di Competenza europeo.

Come opererà l’Agenzia per la Cybersicurezza Nazionale (ACN)?

L’Agenzia opererà sotto la responsabilità del Presidente del Consiglio dei ministri e dell’Autorità delegata per la sicurezza della Repubblica e in stretto raccordo con il Sistema di informazione per la sicurezza della Repubblica (art.2). Il Presidente

  • adotta la strategia nazionale di cybersicurezza (art.2), sentito il Comitato interministeriale per la cybersicurezza (CIC);
  • nomina e revoca il direttore generale e il vice direttore generale dell’Agenzia per la cybersicurezza;
  • impartisce le direttive per la cybersicurezza ed emana ogni disposizione necessaria per l’organizzazione e il funzionamento dell’Agenzia.

Com’è composta l’Agenzia per la Cybersicurezza?

La sua composizione è regolamentata all’art.6 del DL n.82/2021. Un prossimo Regolamento (da approvarsi entro 120 giorni dall’entrata in vigore del DL) definirà organizzazione e funzionamento dell’Agenzia che conterà fino ad un numero massimo di:

  • otto uffici di livello dirigenziale generale;
  • trenta articolazioni di livello dirigenziale non generale nell’ambito delle risorse disponibili.

Cos’è e cosa fa il Comitato interministeriale per Cybersicurezza

Il DL 82/2021 istituisce (art.4) il Comitato interministeriale per la cybersicurezza (CIC) presso la Presidenza del Consiglio dei ministri, con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.

Quali sono le funzioni del Comitato?

  • a) propone al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale;
  • b) esercita l’alta sorveglianza sull’attuazione della strategia nazionale di cybersicurezza;
  • c) promuove l’adozione delle iniziative necessarie per favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonché per la condivisione delle informazioni e per l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza;
  • d) esprime il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cybersicurezza nazionale.

Il direttore generale dell’Agenzia svolge le funzioni di segretario del Comitato.
Il Comitato svolge anche le funzioni già attribuite al CISR dal DL 105/2019, il decreto-legge perimetro e dai relativi provvedimenti attuativi, fatta eccezione per quelle previste dall’articolo 5 (rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e servizi e casi di crisi cibernetica).

Qual è il ruolo del Nucleo per la cybersicurezza?

Viene affiancata dal Nucleo per la cybersicurezza (art.8), a supporto del Presidente del Consiglio dei ministri, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento. Il Nucleo è presieduto dal direttore generale dell’Agenzia o dal vice direttore generale da lui designato ed è composto

  • dal Consigliere militare del Presidente del Consiglio dei ministri,
  • da un rappresentante
    • del DIS
    • dell’AISE
    • dell’AISI
    • di ciascuno dei Ministeri rappresentati nel Comitato, del Ministero dell’università e della ricerca,
    • del Ministro delegato per l’innovazione tecnologica e la transizione digitale e del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri.

Per gli aspetti relativi alla trattazione di informazioni classificate il Nucleo è integrato da un rappresentante dell’Ufficio centrale per la segretezza.

Cosa può fare il Nucleo?

Il Nucleo può, fra l’altro: (art.9)

  • formulare proposte di iniziative in materia di cybersicurezza del Paese;
  • promuovere a programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati;
  • curare lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese
  • viene coinvolto nelle crisi che coinvolgono la cybersicurezza (art.10).

Di cosa si occuperà l’Agenzia per la Cybersicurezza?

Sarà tra l’altro incaricata (art.7 del DL n.82/2021) di:

  • esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche;
  • sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale;
  • contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
  • supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
  • assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica.

Chi controlla l’attività della Agenzia?

Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei ministri deve trasmettere al Parlamento una relazione sull’attività svolta dall’Agenzia nell’anno precedente, in materia di cybersicurezza nazionale (art.14).

Entro il 30 giugno di ogni anno, il Presidente del Consiglio dei ministri trasmette al COPASIR una relazione sulle attività svolte nell’anno precedente dall’Agenzia in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, nonché in relazione agli ambiti di attività dell’Agenzia sottoposti al controllo del Comitato.

Coordinamento con il Centro di competenza europeo per la cybersicurezza europeo

L’Agenzia, in qualità di Centro nazionale di coordinamento italiano, si interfaccerà con il “Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca”, concorrendo ad aumentare l’autonomia strategica europea nel settore.

Istituito nel marzo scorso con Regolamento del 6 aprile 2021 il Centro di Competenza europeo per la Cybersicurezza intende rafforzare la sicurezza di internet, e garantire la sicurezza dell’infrastruttura digitale nonché la sicurezza delle reti e dei sistemi informativi in settori cruciali quali la sanità, i trasporti, l’energia, i mercati finanziari e i sistemi bancari..
Ha sede a Bucarest (Romania), e dovrà anche convogliare i finanziamenti legati alla cybersicurezza provenienti da Orizzonte Europa e dal Programma Europa digitale.

Inoltre, collaborerà con una rete di centri nazionali di coordinamento designati dagli Stati membri: per l’Italia la neonata Agenzia per la Cybersicurezza nazionale.

Al suo interno saranno presenti i principali portatori di interessi europei, tra cui organizzazioni industriali, accademiche e di ricerca e altre associazioni pertinenti della società civile, al fine di formare una comunità delle competenze in materia di cibersicurezza intesa a consolidare e diffondere le competenze in materia di cibersicurezza in tutta l’UE.

Ulteriori informazioni sul sito del Consiglio europeo.

Che cos’è la Cybersecurity

Il DL 82/2021 definisce “Cybersicurezza” l’insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità, e garantendone altresì la resilienza.

La sicurezza informatica o per meglio dire la sicurezza delle informazioni, nell’eccezione che siano le informazioni (e i dati personali) gli oggetti più preziosi da proteggere, è invero molto di più, abbracciando aspetti umani ed organizzativi in un approccio a tutto tondo.

Cos’è la Strategia nazionale di Cybersicurezza?

Per realizzare la sicurezza delle informazioni si devono considerare tutti gli aspetti che influiscono, in qualche misura, sulla sicurezza, e quindi ben oltre i semplici strumenti tecnologici.

In Italia è stata dettata una strategia nazionale di cybersicurezza, definita all’articolo 6 del decreto legislativo NIS (il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, che contiene le misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.

Per approfondire sulla Cybersecurity

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell'ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore