L’istituzione dell’Agenzia nazionale della cybersicurezza

Antonella Marandola - 08/07/2021

Con la pubblicazione nella G.U. del d. l. 14 giugno 2021, n. 82 ha preso avvio l’Agenzia nazionale per la cybersicurezza nazionale (ACN). Non sarà, dunque, più il Dipartimento che coordina i servizi d’intelligence (DIS) il depositario della cyber security nazionale, ma la nuova Agenzia che avrà personalità giuridica di diritto pubblico ed avrà autonomiaregolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria, nei limiti di quanto previsto dal d. l. n. 82 indicato.

La struttura della nuova Agenzia riprende quelle già operative in molti Stati europei ed avrà il compito di proteggere le funzioni essenziali dello Stato italiano da minacce informatiche e di sviluppare le capacità per prevenirle e combatterle.

L’ente opererà sotto la responsabilità del Presidente del Consiglio dei ministri e dell’Autorità delegata per la sicurezza della Repubblica. In particolare, il nuovo organismo dovrà contribuire all’innalzamento della sicurezza delle tecnologie dell’informazione e della comunicazione delle pubbliche amministrazioni, degli operatori di servizi essenziali e dei fornitori di servizi digitali dello stato, e sarà l’interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive in ambito di sicurezza nazionale informatica.

Ma l’impegno dell’Agenzia sarà anche quello di sviluppare le capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale.

Il decreto che la istituisce evidenzia la “straordinaria necessità ed urgenza” d’ “attuare misure tese a rendere il Paese più sicuro e resiliente anche nel dominio digitale”.

Quasi contemporaneamente al decreto n. 82 è stato pubblicato, infatti, il dpcm n. 81 del 2021, attuativo del perimetro di sicurezza nazionale cibernetica, contenente, fra l’altro, i requisiti minimi di sicurezza per i servizi fondamentali interni al perimetro stesso.

I compiti della struttura

L’Agenzia è istituita, dunque, per assicurare l’innalzamento della sicurezza dei sistemi di Information and communications technology dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali. Così, ad essa è affidato il compito di supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore e assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica. A tal fine, disporrà di 300 esperti e di una dotazione finanziaria di 530 milioni di euro fino al 2027 di cui 41 milioni nel 2022 che saliranno progressivamente fino a 122 milioni del 2027.

Il Comitato interministeriale per la cybersicurezza

Con il d. l. n. 82 del 2021 è stato istituito il Comitato interministeriale per la cybersicurezza (CIC) che: a) propone al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale; b) esercita l’alta sorveglianza sull’attuazione della strategia nazionale di cybersicurezza; c) promuove l’adozione delle iniziative necessarie per favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonché per la condivisione delle informazioni e per l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza; d) esprime il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cybersicurezza nazionale.

 Il Comitato è presieduto dal Presidente del Consiglio dei ministri ed è composto dall’Autorità delegata (ove istituita), dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell’interno, dal Ministro della giustizia, dal Ministro della difesa, dal Ministro dell’economia e delle finanze, dal Ministro dello sviluppo economico, dal Ministro della transizione ecologica, dal Ministro dell’ università e della ricerca, dal Ministro delegato per l’innovazione tecnologica e la transizione digitale e dal Ministro delle infrastrutture e della mobilità sostenibili. Il direttore generale dell’Agenzia svolge le funzioni di segretario del Comitato, mentre il Presidente del Consiglio dei ministri può chiamare a partecipare alle sedute del Comitato, anche a seguito di loro richiesta, senza diritto di voto, altri componenti del Consiglio dei ministri, il direttore generale del DIS, il direttore dell’AISE, il direttore dell’AISI, nonché altre autorità civili e militari di cui, di volta in volta, ritenga necessaria la presenza in relazione alle questioni da trattare.

Il Comitato svolge, inoltre, le funzioni già attribuite al CISR dal decreto-legge perimetro e dai relativi provvedimenti attuativi, fatta eccezione per quelle previste dall’art. 5 del medesimo decreto-legge perimetro.

Il testo assegno, inoltre, specifici poteri di controllo da parte del Comitato parlamentare per la sicurezza della Repubblica (COPASIR).

Infine, onde assicurare un tempestivo adeguamento alla normativa europea, il Governo ha individuato l’Agenzia quale Centro nazionale di coordinamento italiano, che si interfaccerà con il “Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca” di recente istituzione, concorrendo ad aumentare l’autonomia strategica europea nel settore.

Le funzioni di coordinamento dell’Agenzia

All’ Agenzia, nel rispetto delle competenze attribuite dalla normativa vigente ad altre amministrazioni, spetta, il conseguimento dell’autonomia, nazionale ed europea, riguardo ai prodotti e ai processi informatici, di rilevanza strategica a tutela degli interessi nazionali nel settore. La struttura è competente per l’accertamento delle violazioni e l’irrogazione delle sanzioni amministrative previste dal decreto n. 82 del 2021.

Essa, inoltre, assume tutte le funzioni in materia di cybersicurezza già attribuite dalle disposizioni vigenti al Ministero dello sviluppo economico.

L’Agenzia provvede alle indicate attività, anche sulla base delle attività di competenza del Nucleo per la cybersicurezza, e assume tutte le funzioni in materia di cybersicurezza già attribuite all’Agenzia per l’Italia digitale.

Come indicato essa deve sviluppare le capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici e partecipare alle esercitazioni, nazionali e internazionali, che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese.

Inoltre cura e promuove la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale. A tal fine, l’Agenzia esprime pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza e coordina, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza.

In particolare, sul versante europeo e sovranazionale la struttura appena costituita cura i rapporti con i competenti organismi, istituzioni, ed enti, nonché segue nelle competenti sedi istituzionali le tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni. In tali casi, è comunque assicurato il raccordo con l’Agenzia al fine di garantire posizioni nazionali unitarie e coerenti con le politiche di cybersicurezza definite dal Presidente del Consiglio dei ministri.

Una peculiare funzione attribuita all’Agenzia è rappresentata dall’impegno all’attuazione di obiettivi di eccellenza: essa dovrà supportare, negli ambiti di competenza, mediante il coinvolgimento dell’accademia, della ricerca e del sistema produttivo nazionali, lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche. L’organizzazione può, infatti, promuovere, sviluppare e finanziare specifici progetti ed iniziative, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca nel settore. L’Agenzia ha il potere di stipula degli “accordi bilaterali e multilaterali, anche mediante il coinvolgimento del settore privato e industriale, con istituzioni, enti e organismi di altri Paesi per la partecipazione dell’Italia a programmi di cybersicurezza, assicurando le opportune sinergie con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza. Infine, promuove, sostiene e coordina la partecipazione italiana a progetti e iniziative dell’Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi. L’ente collabora con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza.

La struttura, data la centralità della materia, svolge attività di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale della disciplina. Promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, anche attraverso l’assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati; per le finalità di cui al presente articolo, può costituire e partecipare a partenariati pubblico privato sul territorio nazionale, nonché, previa autorizzazione del Presidente del Consiglio dei ministri, a consorzi, fondazioni o società con soggetti pubblici e privati, italiani e stranieri”.

Agenzia di Cyber Security: un primo passo

Per ottemperare ai propri fini istituzionali l’Agenzia può richiedere la collaborazione di altri organi dello Stato, di altre amministrazioni, delle forze di polizia o di enti pubblici, mentre, il COPASIR può chiedere l’audizione del direttore generale dell’Agenzia su questioni di propria competenza.

L’istituzione della nuova struttura italiana attua un passo significativo nell’evoluzione interna alla sicurezza e allo sviluppo della sicurezza cibernetica. Un suo completamento passerebbe, ora, per l’attuazione dell’ Organismo di certificazione per la sicurezza cibernetica (OCSI), anche in ragione della fondamentale importanza che hanno, oggi ancor più, le certificazioni di prodotto per la sicurezza cibernetica che dovranno essere molto dettagliate e differenziate a seconda delle tecnologie coinvolte (dal 5G, all’IoT, alla criptazione, e così via), onde assicurare al nostro Paese livelli di giusta avanguardia sul versante sostanziale, piuttosto che su quello formale della compliance non sempre idoneo ai casi in questione.