In questo articolo facciamo il punto sull’Agenzia per la Cybersicurezza Nazionale: cos’è, come funziona, i suoi compiti e la normativa che la regolamenta: il Decreto Cybersicurezza (il DL 82/2021 convertito con modificazioni dalla L. 4 agosto 2021, n. 109 (in G.U. 4/8/2021, n. 185).
Approfondiamo anche su cosa si intende per “Cybersicurezza” e in cosa consiste la Strategia nazionale di Cybersicurezza 2022-2026 approvata con Decreto del Presidente del Consiglio dei ministri del 17 maggio 2022 insieme al Piano di implementazione (richiesto all’art. 2 comma 1 lett. b del DL 82/21) .
Nell'articolo
Agenzia per la Cybersicurezza nazionale: la normativa
In questa sezione riportiamo i principali provvedimenti che aggiornano l’attività dell’Agenzia per la Cybersicurezza nazionale: dal DL Cybersicurezza convertito.
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 1 settembre 2022
Con DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 1 settembre 2022 il Governo disciplina, ai sensi dell’art. 17, comma 5, del decreto «Cybersicurezza», i termini e le modalità per il trasferimento all’Agenzia delle funzioni in materia di cybersicurezza già assicurate dall’Agenzia per l’Italia digitale (Agid) e dal Dipartimento per la trasformazione digitale, le procedure per il trasferimento dei beni strumentali e delle risorse finanziarie idonee ad assicurare la prima operatività dell’Agenzia. Il decreto fissa anche i termini e le modalità per il trasferimento in capo all’Agenzia, dei rapporti giuridici attivi e passivi relativi alle funzioni trasferite.
Quali funzioni sono trasferite all'Agenzia per la Cybersicurezza?
L’Agenzia assume, ai sensi dell’art. 7, comma 1, lettera m), del decreto «Cybersicurezza» i compiti in materia di cybersicurezza di cui all’art. 51 del Codice dell’Amministrazione digitale (CAD), adotta le linee guida contenenti le regole tecniche di cybersicurezza ai sensi dell’art. 71 del CAD e provvede alla qualificazione dei servizi cloud per la pubblica amministrazione, nei termini di cui all’art. 8 del Decreto 1 settembre 2022. L’Agenzia, inoltre, assume tutte le funzioni attribuite alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica ai sensi dello stesso art. 7, comma 1, lettera h), del decreto «Cybersicurezza».Per l’approvazione del Piano triennale, l’Agenzia assicura, per gli ambiti di competenza, gli opportuni raccordi con l’AgID, anche in relazione agli obiettivi della Strategia nazionale di cybersicurezza.
Servizi cloud per la PA: è una competenza dell'Agenzia per la Cibersicurezza?
Per la Qualificazione dei servizi cloud per la pubblica amministrazione, l’art. 8 del Decreto 1 settembre 2022 prevede che l’Agenzia subentri ad AgID secondo il processo definito all’art. 13 del regolamento «Cloud della PA» il trentesimo giorno successivo alla pubblicazione delle modalità di presentazione delle domande di qualificazione comunque non oltre il 18 gennaio 2023.Sino al subentro dell’Agenzia l’AgID continua a qualificare i servizi cloud con la piattaforma Cloud Marketplace secondo le modalità attualmente previste.Le qualificazioni rilasciate conservano la loro validità fino al rilascio di una nuova qualificazione da parte dell’Agenzia e comunque non oltre il termine di cui all’art. 8, comma 4, del regolamento «Cloud della PA».Sino al subentro dell’Agenzia ai sensi del comma 1, l’AgID provvede al mantenimento della piattaforma Cloud Marketplace, consentendone l’accesso ai soggetti interessati.
DL 82/2021: istituzione dell’Agenzia per la Cybersicurezza
In Gazzetta ufficiale (GU Serie Generale n.185 del 04-08-2021) la LEGGE 4 agosto 2021, n. 109 di conversione con modificazioni, del decreto-legge 14 giugno 2021, n. 82.
Il Decreto, anticipato nel Consiglio dei Ministri del 10 giugno, detta «Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale» qui il Testo coordinato con le modifiche intervenute in sede di conversione).
In vigore dal 15 giugno 2021 il decreto è stato aggiornato in sede di conversione diventando operativo dal 5 agosto 2021 e istituisce l’Agenzia per la cybersicurezza nazionale (ACN) (art.5).
L’Agenzia ha come finalità la promozione della cultura della sicurezza cibernetica, la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.
A seguire, vediamo come il DL 82/2020 convertito:
- definisce la struttura dell’Agenzia e la sua organizzazione sotto la responsabilità del Presidente del Consiglio
- identifica i compiti l’Agenzia e come attuerà la strategia di cyber-resilienza nazionale, avviata con il Decreto sul perimetro cibernetico (DPR 54/2021),
- istituisce il Comitato interministeriale per la cybersicurezza (CIC) (art.4), il Nucleo per la Cybersicurezza (art.8) e prevede specifici poteri di controllo da parte del Comitato parlamentare per la sicurezza della Repubblica (COPASIR).
- Infine, il DL 82/2021 definisce i collegamenti dell’Agenzia con il Centro di Competenza europeo.
Compiti dell’Agenzia per la Cybersicurezza Nazionale (ACN)
L’Agenzia opererà sotto la responsabilità del Presidente del Consiglio dei ministri e dell’Autorità delegata per la sicurezza della Repubblica e in stretto raccordo con il Sistema di informazione per la sicurezza della Repubblica (art.2). Il Presidente
- adotta la strategia nazionale di cybersicurezza (art.2), sentito il Comitato interministeriale per la cybersicurezza (CIC);
- nomina e revoca il direttore generale e il vice direttore generale dell’Agenzia per la cybersicurezza;
- impartisce le direttive per la cybersicurezza ed emana ogni disposizione necessaria per l’organizzazione e il funzionamento dell’Agenzia.
Com’è composta l’Agenzia per la Cybersicurezza?
La sua composizione è regolamentata all’art.6 del DL n.82/2021. Un prossimo Regolamento (da approvarsi entro 120 giorni dall’entrata in vigore del DL) definirà organizzazione e funzionamento dell’Agenzia che conterà fino ad un numero massimo di:
- otto uffici di livello dirigenziale generale;
- trenta articolazioni di livello dirigenziale non generale nell’ambito delle risorse disponibili.
Cos’è e cosa fa il Comitato interministeriale per Cybersicurezza
Il DL 82/2021 istituisce (art.4) il Comitato interministeriale per la cybersicurezza (CIC) presso la Presidenza del Consiglio dei ministri, con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.
Quali sono le funzioni del Comitato?
- a) propone al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale;
- b) esercita l’alta sorveglianza sull’attuazione della strategia nazionale di cybersicurezza;
- c) promuove l’adozione delle iniziative necessarie per favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonché per la condivisione delle informazioni e per l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza;
- d) esprime il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cybersicurezza nazionale.
Il direttore generale dell’Agenzia svolge le funzioni di segretario del Comitato.
Il Comitato svolge anche le funzioni già attribuite al CISR dal DL 105/2019, il decreto-legge perimetro e dai relativi provvedimenti attuativi, fatta eccezione per quelle previste dall’articolo 5 (rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e servizi e casi di crisi cibernetica).
Qual è il ruolo del Nucleo per la cybersicurezza?
Viene affiancata dal Nucleo per la cybersicurezza (art.8), a supporto del Presidente del Consiglio dei ministri, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento. Il Nucleo è presieduto dal direttore generale dell’Agenzia o dal vice direttore generale da lui designato ed è composto
- dal Consigliere militare del Presidente del Consiglio dei ministri,
- da un rappresentante
- del DIS
- dell’AISE
- dell’AISI
- di ciascuno dei Ministeri rappresentati nel Comitato, del Ministero dell’università e della ricerca,
- del Ministro delegato per l’innovazione tecnologica e la transizione digitale e del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri.
Per gli aspetti relativi alla trattazione di informazioni classificate il Nucleo è integrato da un rappresentante dell’Ufficio centrale per la segretezza.
Cosa può fare il Nucleo?
Il Nucleo può, fra l’altro: (art.9)
- formulare proposte di iniziative in materia di cybersicurezza del Paese;
- promuovere a programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati;
- curare lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese
- viene coinvolto nelle crisi che coinvolgono la cybersicurezza (art.10).
Di cosa si occuperà l’Agenzia per la Cybersicurezza?
Sarà tra l’altro incaricata (art.7 del DL n.82/2021) di:
- esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche;
- sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale;
- contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
- supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
- assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica.
Chi controlla l’attività della Agenzia?
Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei ministri deve trasmettere al Parlamento una relazione sull’attività svolta dall’Agenzia nell’anno precedente, in materia di cybersicurezza nazionale (art.14).
Entro il 30 giugno di ogni anno, il Presidente del Consiglio dei ministri trasmette al COPASIR una relazione sulle attività svolte nell’anno precedente dall’Agenzia in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, nonché in relazione agli ambiti di attività dell’Agenzia sottoposti al controllo del Comitato.
Coordinamento con il Centro di competenza europeo per la cybersicurezza europeo
L’Agenzia, in qualità di Centro nazionale di coordinamento italiano, si interfaccerà con il “Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca”, concorrendo ad aumentare l’autonomia strategica europea nel settore.
Istituito nel marzo scorso con Regolamento del 6 aprile 2021 il Centro di Competenza europeo per la Cybersicurezza intende rafforzare la sicurezza di internet, e garantire la sicurezza dell’infrastruttura digitale nonché la sicurezza delle reti e dei sistemi informativi in settori cruciali quali la sanità, i trasporti, l’energia, i mercati finanziari e i sistemi bancari..
Ha sede a Bucarest (Romania), e dovrà anche convogliare i finanziamenti legati alla cybersicurezza provenienti da Orizzonte Europa e dal Programma Europa digitale.
Inoltre, collaborerà con una rete di centri nazionali di coordinamento designati dagli Stati membri: per l’Italia la neonata Agenzia per la Cybersicurezza nazionale.
Al suo interno saranno presenti i principali portatori di interessi europei, tra cui organizzazioni industriali, accademiche e di ricerca e altre associazioni pertinenti della società civile.
L’obiettivo è formare una comunità delle competenze in materia di cibersicurezza intesa a consolidare e diffondere le competenze in materia di cibersicurezza in tutta l’UE.
Ulteriori informazioni sul sito del Consiglio europeo.
Che cos’è la Cybersecurity
Il DL 82/2021 definisce “Cybersicurezza” l’insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità, e garantendone altresì la resilienza.
La sicurezza informatica o per meglio dire la sicurezza delle informazioni, abbraccia aspetti umani ed organizzativi in un approccio a tutto tondo.
Cos’è la Strategia nazionale di Cybersicurezza?
- In Italia è stata dettata una strategia nazionale di cybersicurezza, definita all’articolo 6 del decreto legislativo NIS (il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, che contiene le misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.
- Con decreto del Presidente del Consiglio dei ministri in data 17 maggio 2022 è stata adottata la «Strategia nazionale di cybersicurezz1 2022-2026», comprensiva del relativo «Piano di implementazione». La strategia prevede il raggiungimento di 82 obiettivi entro il 2026, monitorati dalla stessa Agenzia.
La Strategia Nazionale di Cybersicurezza è volta a pianificare, coordinare e attuare misure tese a rendere il Paese più sicuro e resiliente.
La Strategia ed il Piano di implementazione sono scaricabili sul sito dell’Agenzia per la Sicurezza Cibernetica.
La Strategia ha 3 obiettivi fondamentali:
1. La protezione degli asset strategici nazionali, attraverso un approccio orientato alla gestione e mitigazione del rischio;
2. La risposta alle minacce, agli incidenti e alle crisi cyber nazionali, attraverso sistemi di monitoraggio, rilevamento, analisi e attivazione di processi che coinvolgano l’intero ecosistema di cybersicurezza nazionale.
3. Lo sviluppo sicuro delle tecnologie digitali, per rispondere alle esigenze del mercato, attraverso strumenti e iniziative volti a supportare i centri di eccellenza, le attività di ricerca e le imprese.
L’Agenzia disegna tre principali sfide:
1. Assicurare una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo;
2. Anticipare l’evoluzione della minaccia cyber;
3. Contrastare la disinformazione online nel più ampio contesto della cd. minaccia ibrida.
Per approfondire sulla Cybersecurity
- L’articolo di InSic su: Cybersecurity: definizione e contesto normativo.
- Il volume edito da EPC Editore:
- IL SISTEMA INTEGRATO PER LA SICUREZZA DELLE INFORMAZIONI ED IL GDPR
Guida operativa all’efficace integrazione dei due mondi anche con l’ausilio della ISO/IEC 27701
di Renato Castroreale e Chiara Ponti
EPC Marzo 2021
Leggi un estratto su EPC.it
- IL SISTEMA INTEGRATO PER LA SICUREZZA DELLE INFORMAZIONI ED IL GDPR
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore
