La direttiva del PDCM 6 luglio 2023 in tema di Strategia Nazionale di Cybersicurezza

Introduzione

La ricerca scientifica e lo sviluppo industriale hanno determinato l’incremento delle emerging and disruptive technologies. Tuttavia, la complessità di questo sistema rappresenta terreno fertile per gli attori malevoli che vogliono indurre in errore gli addetti alla sicurezza dei software. Orbene, vi sono due tipi di attività delinquenziali attenzionate dal Legislatore: quelle che alludono all’ottenimento di proventi illeciti (cybercrime) e quelle finalizzate a generare un vantaggio informativo in ambito geopolitico (cyber espionage).

La Strategia Nazionale di Cybersicurezza unisce i valori costituzionali della sicurezza e dello sviluppo in virtù degli impegni assunti con le istituzioni internazionali e comunitarie.

«(…) per realizzare questa nuova visione, l’Italia ha costruito un ecosistema di cybersicurezza fondato sulla collaborazione tra i settori pubblico e privato (…)». Queste le parole dell’ex Presidente del Consiglio dei Ministri, Mario Draghi, il quale ha dato prova che è stata consapevolmente recepita dal Governo la necessità di creare un sistema sinergico, volto alla tutela della sicurezza nello spazio informatico.

La Strategia Nazionale di Cybersicurezza 2022 – 2026

La Strategia Nazionale di Cybersicurezza 2022 – 2026 è un piano programmatico volto ad ottenere il raggiungimento di 82 misure di protezione entro il 2026.  Lo scopo del documento, inoltre, è quello di declinare, per ogni misura, gli indicatori di misurazione individuati e le relative linee guida. In particolare, la Strategia Nazionale contiene la definizione di alcuni indicatori, i quali, oltre che essere specifici per ognuna delle 82 misure, sono misurabili in modalità quantitativa e secondo livelli di affidabilità. Con riferimento a questi ultimi, si distingue ogni livello in riferimento alle metriche utilizzate: a) alta affidabilità quando si è legati a metriche specifiche e univoche; b) media affidabilità per metriche talvolta soggettive; c) bassa affidabilità in riferimento a metriche unicamente soggettive. L’assets di indicatori, insieme ai target stabiliti da ognuno di essi, consentirà di calcolare il Key Performance Indicator, ossia quell’indice espresso in termini percentuali, funzionale alla predisposizione della relazione che il Presidente del Consiglio dei Ministri dovrà trasmettere al Parlamento entro il trenta aprile di ogni anno, sull’attività svolta dall’Agenzia per la Cybersicurezza Nazionale nell’anno precedente.

La direttiva del PDCM 6 luglio 2023

Si tratta di un progetto ambizioso e peculiare, che richiede, però, delle normative specifiche di attuazione che il nuovo Governo sta mettendo in campo. Invero, l’art. 2 del D.L. 14 giugno 2021, n. 82 –  recante Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale (nel prosieguo anche “ACN”) – attribuisce, in via esclusiva, il potere al Presidente del Consiglio dei Ministri, di emanare direttive per la cybersicurezza e ogni disposizione necessaria per l’organizzazione e il funzionamento dell’Agenzia per la cybersicurezza nazionale.

Dunque, la direttiva del Presidente del Consiglio dei Ministri del 6 luglio 2023 ha disposto una serie di «Indirizzi di coordinamento e organizzazione volti a promuovere la gestione adeguata e coordinata delle minacce informatiche, degli incidenti e delle situazioni di crisi di natura cibernetica».

Tale atto contiene importanti modifiche, volte alla cooperazione interistituzionale tra le pubbliche amministrazioni in riferimento all’attuazione della Strategia Nazionale.

Sotto il punto di vista dell’ambito di applicazione soggettiva, la direttiva si rivolge alle Pubbliche Amministrazioni di cui all’art. 1, comma 2, del D. Lgs. 30 marzo 2001, n. 165, escludendo espressamente gli organi dello Stato preposti alla prevenzione, all’accertamento e alla repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato, nonché alcuni organismi di informazioni per la sicurezza.

In particolar modo rilevano l’Agenzia Nazionale per la Cybersicurezza e gli operatori del CSIRT (la componente operativa dell’agenzia) ai quali viene riconosciuta la qualifica di pubblico ufficiale. Inoltre, tra i poteri a questi attribuiti vi è la possibilità di accesso ai locali, ai sistemi informativi e alle reti informatiche per tutto il tempo necessario al pieno esercizio delle proprie competenze; in aggiunta a ciò, dispongono del pieno supporto dei soggetti impattati da un incidente informatico al fine di acquisire completa conoscenza della situazione in esame.

Riflessioni conclusive

All’ interno di un sistema in così rapida evoluzione, occorre un processo normativo che tuteli efficientemente la sicurezza telematica e lo scambio dei dati. La strategia Nazionale è, quindi, il perno della disciplina in questo settore e rappresenta lo strumento attraverso cui l’Italia, di concerto con gli altri Paesi dell’Unione Europea, garantisce la cybersicurezza nel proprio territorio. La Pubblica Amministrazione, a partire dai suoi vertici, sta via via promuovendo un processo per impiegare mezzi organizzativi adeguati all’attuazione delle misure adottate nel Piano.