Approvata la Strategia Nazionale di Cybersicurezza (2022-2026)

Il 18 maggio 2022 il Comitato Interministeriale per la Cybersicurezza, presieduto dal Presidente del Consiglio dei Ministri ha approvato la Strategia nazionale di cybersicurezza (2022-2026) e l’annesso Piano di implementazione. 

Attraverso i due documenti, il Governo intende pianificare, coordinare ed attuare misure tese a rendere il Paese più sicuro e resiliente.

Strategia Nazionale di Cybersicurezza per combattere nuovi rischi

La rapida evoluzione tecnologica che ormai caratterizza il mondo contemporaneo ha determinato la comparsa di nuovi rischi. Ulteriori ne sorgeranno con l’avanzare della stessa e delle tecniche di attacco. A ciò non sempre corrisponde, tuttavia, un adeguato grado di consapevolezza da parte della società.

Tali rischi includono quelli sistemici, connessi a:

Attacchi cyber dovuti a cybercriminali, attivisti o a campagne statuali coordinate

Sfruttano errori software, errate configurazioni, debolezze nei protocolli e/o umane, per sottrarre dati o arrecare danni ai sistemi; come nel caso delle campagne ransomware, le quali hanno un impatto sull’erogazione dei servizi, anche essenziali di un Paese, sul suo PIL e sulla sua reputazione.

Tecnologie impiegate

Sviluppate e prodotte da grandi realtà aziendali, talvolta controllate o, comunque, influenzate nel loro operato dai Governi in cui hanno sede, con conseguenti possibili ingerenze nella catena degli approvvigionamenti, sia in termini di disponibilità sul mercato delle relative componenti, sia di affidabilità delle stesse;

Fake news, deepfake e campagne di disinformazione

Diffusione, attraverso lo spazio cibernetico, di fake news, deepfake e campagne di disinformazione che tendono a confondere e destabilizzare i cittadini di un Paese immergendoli in uno spazio informativo estremamente dinamico e orizzontale, caratterizzato da un insieme pressoché infinito di sorgenti di notizie che polarizzano le opinioni cambiando il modo in cui percepiamo la realtà.

Strategia Nazionale di Cybersicurezza: le nuove sfide

In considerazione dei citati rischi, la strategia mira ad affrontare diverse sfide. Vediamole nel dettaglio:

Transizione digitale cyber resiliente

E’ necessario assicurare una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo.

Resilienza agli attacchi

Non ci può essere transizione digitale senza un’adeguata resilienza agli attacchi e agli incidenti cyber. La cybersicurezza degli assetti e dei servizi digitali è, infatti, elemento imprescindibile della loro fruibilità da parte del cittadino. Esso sarà, così, non solo incentivato all’utilizzo degli stessi, ma ne farà ricorso in totale fiducia e con la consapevolezza che i suoi dati sono adeguatamente protetti.

Cultura della sicurezza informatica

Va da sé che la resilienza non deve essere intesa solo nell’accezione tecnica, ma anche sotto il profilo della cultura della sicurezza informatica e della disponibilità di un’adeguata forza lavoro qualificata.

Senza quest’ultima, infatti, ogni possibilità di raggiungere una sovranità digitale resterebbe pura utopia.

La questione di genere

A ciò si aggiunge una sfida nella sfida, la questione di genere, in quanto le donne che intraprendono studi informatici o lauree nelle discipline STEM (Scienze, Tecnologia, Ingegneria e Matematica) rappresentano un numero esiguo e ancora meno sono quelle che si specializzano in cybersicurezza.

Autonomia strategica nazionale ed europea nel settore del digitale

A livello UE, l’eccessiva frammentazione e competizione tra gli Stati Membri ha costituito, fino ad oggi, un grosso ostacolo allo sviluppo di tecnologia “made in EU” e alla creazione di grandi aziende di erogazione di servizi digitali.

L’UE, e in particolare l’Italia, si trova in una posizione di dipendenza tecnologica da altri Paesi, leader nella produzione di software e delle cosiddette Emerging and Disruptive Technologies quali, ad esempio, l’Intelligenza Artificiale e il quantum computing.

Ciò ha inevitabili ricadute anche sulla possibilità di detenere un controllo diretto sui dati conservati, elaborati e trasmessi attraverso tali tecnologie. Infatti, più si è autonomi dal punto di vista tecnologico e più si possono attuare politiche di sovranità delle informazioni.

Anticipare l’evoluzione della minaccia cyber

A seguito dell’esperienza maturata dal nostro Paese nell’implementazione del “Quadro strategico nazionale per la protezione dello spazio cibernetico” (2013) e dell’annesso “Piano nazionale per la protezione cibernetica e la sicurezza informatica” (aggiornato nel 2017), quali primi documenti strategici nazionali in materia di cybersecurity, è apparso chiaro come sia necessario puntare su tattiche di difesa attiva (che si aggiungono alle buone pratiche di cyber resilienza e due diligence) volte ad aumentare i costi di eventuali attività cyber offensive, così da renderle economicamente svantaggiose. Ciò presuppone, tuttavia, un cambio radicale di paradigma. Se è vero, infatti, che rincorrere la minaccia non è una strategia vincente, è anche vero che stare al passo con essa non è più sufficiente. Occorre, per quanto possibile, anticiparla, ossia prevederla, prevenirla e mitigarne il più possibile gli impatti.

Gestione di crisi cibernetiche

Le ultime tensioni internazionali hanno messo in evidenza l’importanza primaria di un meccanismo efficiente di gestione delle crisi cibernetiche, che consenta, con l’apporto di tutti i soggetti interessati, di graduare le attività sulla base di scenari predefiniti della minaccia cyber – che vanno dalla pre-allerta in vista di possibili eventi cyber sistemici su larga scala, fino al loro verificarsi in maniera conclamata – al ricorrere dei quali viene innescata l’immediata applicazione di strumenti, procedure e norme di linguaggio comuni.

La rapidità con cui eventi cyber possono verificarsi e susseguirsi, specie in scenari geopolitici complessi, richiede, infatti, un coordinamento continuativo tra tutti i soggetti pubblici e privati interessati, nonché prontezza nel dispiegamento di un set predefinito di misure.

Contrastare la disinformazione online nel più ampio contesto della cd. minaccia ibrida

La digitalizzazione di ogni aspetto della vita sociale, volano di crescita economica e sociale dei sistemi democratici occidentali, è sempre più sfruttata per azioni che mirano ad influenzare, interferire o tentare di condizionare il libero esercizio delle libertà fondamentali. Specie a ridosso di momenti strategici per i sistemi democratici come quelli connessi allo svolgimento di consultazioni elettorali, allo sviluppo di processi decisionali su questioni di rilevanza strategica ovvero in concomitanza con situazioni di crisi internazionale.

Il ricorso sempre più massivo alla disinformazione online richiede, specie quando essa assume connotazioni strutturate, azioni preventive e di contrasto sinergiche e coordinate a livello sia nazionale che internazionale per ostacolare i tentativi di mettere a repentaglio il sistema di valori su cui si base il nostro Paese.

Programma di investimenti per implementare la Strategia Nazionale di Cybersicurezza

Per implementare la presente strategia e affrontare le richiamate sfide, è previsto un adeguato programma di investimenti e leve finanziarie.

Al di là degli strumenti finanziari già assegnati alle Amministrazioni con competenza in materia cyber, potranno anche essere messi a disposizione appositi fondi previsti di anno in anno dalle leggi finanziarie, per supportare specifici progetti di interesse. A tale fine sarà riservata una quota percentuale degli investimenti nazionali lordi su base annuale. Tali leve finanziarie potranno anche consistere in sgravi fiscali per le aziende o nell’introduzione di aree nazionali a tassazione agevolata per la costituzione, ad esempio, di un “parco nazionale della cybersicurezza” e dei relativi “hub” delocalizzati sull’intero territorio nazionale.

Finanziamenti gestiti dall’Agenzia

Vi saranno, inoltre, anche i finanziamenti che l’Agenzia sarà chiamata a gestire. L’Agenzia infatti, sempre ai sensi del citato decreto, è designata quale Centro Nazionale di Coordinamento (NCC) ex articolo 6 del regolamento (UE) 2021/887 del Parlamento europeo e del Consiglio del 20 maggio 2021. Tale atto normativo istituisce il Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca, unitamente alla rete dei centri nazionali di coordinamento, il quale convoglierà in particolare i finanziamenti provenienti dai programmi Orizzonte Europa ed Europa Digitale.

Piano Nazionale di Ripresa e Resilienza (PNRR)

Ulteriore strumento strategico per affrontare le sfide è il Piano Nazionale di Ripresa e Resilienza (PNRR). Nell’ambito della Missione 1 “Digitalizzazione, Innovazione, Competitività, Cultura e Turismo”, sono incluse le attività di transizione digitale della Pubblica Amministrazione, quali:
– il progetto del Cloud Nazionale
– la digitalizzazione dei processi e servizi per i cittadini,

la cui realizzazione porterà al potenziamento delle capacità di resilienza delle infrastrutture e dei servizi digitali del Paese. Inoltre, lo specifico Investimento 1.5 “Cybersecurity”- pari a 623 milioni di euro – rimesso all’Agenzia per la Cybersicurezza Nazionale quale Soggetto Attuatore, prevede la realizzazione di specifiche progettualità per la creazione e lo sviluppo di servizi all’avanguardia per la gestione del rischio cyber, con strette connessioni, a livello nazionale e internazionale, con tutti i principali partner della Pubblica Amministrazione, dell’impresa e dei fornitori di tecnologia. Ciò, al fine di conseguire un’autonomia tecnologica nazionale ponendo la cybersicurezza e la resilienza a fondamento della trasformazione digitale della Pubblica Amministrazione.