L’Italia ridisegna il suo sistema nazionale di sicurezza cibernetica e nasce l’Agenzia per la cybersicurezza nazionale.
Lo prevede la legge sulla Cybersicurezza n. 109 del 4 agosto 2021. L’obiettivo è aumentare la protezione di dati e infrastrutture digitali del Paese, mettendole al riparo da attacchi di hacker e organizzazioni criminali.
Il primo direttore generale dell’Agenzia è Roberto Baldoni, tra i massimi esperti italiani in tema di sicurezza informatica. La sua nomina è stata approvata dal Consiglio dei ministri lo scorso 5 agosto. La sfida è creare uno scudo nazionale contro gli attacchi hacker alla rete informatica del Paese, uniformando un sistema di protezione ancora frammentato e regionalizzato.
L’Agenzia potrà contare su 300 dipendenti, una squadra che in futuro potrà crescere fino a raggiungere le 800 unità. In prima linea ci sarà il Nucleo per la sicurezza cibernetica. Il Nucleo fungerà da pronto intervento e unità di crisi contro gli attacchi che saranno sferrati alla nostra infrastruttura cibernetica.
Quali sono le funzioni dell’Agenzia per la cybersicurezza nazionale
In qualità di Autorità nazionale per la cybersicurezza, l’Agenzia coordina i soggetti pubblici coinvolti nella cybersicurezza nazionale. Promuove azioni comuni dirette ad assicurare la sicurezza cibernetica, a sviluppare la digitalizzazione del sistema produttivo e delle pubbliche amministrazioni e del Paese, nonché a conseguire autonomia (nazionale ed europea) per i prodotti e processi informatici di rilevanza strategica, a tutela degli interessi nazionali nel settore.
L’Agenzia predispone la Strategia nazionale di cybersicurezza, tracciata dal Presidente del Consiglio. Svolge, inoltre, ogni necessaria attività di supporto al funzionamento del Nucleo per la cybersicurezza. L’Agenzia è anche Autorità nazionale di certificazione della cybersicurezza. Questa è una funzione introdotta dall’Ue, che prevede in ogni Stato membro un’autorità nazionale per la certificazione di prodotti, servizi e processi delle tecnologie dell’informazione.
L’agenzia eredita funzioni di cybersicurezza finora svolte da altri organi, quali il Mise, il Dis-Dipartimento delle informazioni per la sicurezza o l’AgID. Tra queste funzioni c’è anche lo sviluppo di capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici. A tal fine l’Agenzia si avvale del CSIRT Italia (Computer Security Incident Response Team), gruppo di gestione degli incidenti di sicurezza informatica.
Cosa prevede la legge sulla Cybersecurity
Oltre a istituire l’Agenzia per la cybersicurezza nazionale, la norma ridefinisce l’architettura nazionale di cybersicurezza e crea il Comitato interministeriale per la cybersicurezza (CIC).
Al vertice c’è il Presidente del Consiglio, cui spetta in via esclusiva l’alta direzione e la responsabilità generale delle politiche di cybersicurezza, l’adozione della Strategia nazionale (sentito il CIC), la nomina e la revoca del direttore e vicedirettore generali dell’Agenzia, previa deliberazione del Consiglio dei Ministri.
Il Presidente può trasferire all’Autorità delegata per il sistema di informazione per la sicurezza della Repubblica funzioni che non siano state attribuite in via esclusiva al capo del Governo. L’autorità deve informare costantemente il Presidente, fermo restando il potere di direttiva di quest’ultimo e la facoltà di avocare a sé le attività delegate. Attualmente l’Autorità delegata è il Sottosegretario alla Presidenza del Consiglio Franco Gabrielli, che ha anche la delega per la sicurezza della Repubblica.
Comitato interministeriale per la cybersicurezza (CIC): è un organismo istituito presso la Presidenza del Consiglio, con funzioni di consulenza, proposta e vigilanza. Il CIC è composto dal Presidente del Consiglio, dall’Autorità delegata e da dieci ministri (esteri, interni, giustizia, difesa, economia, sviluppo economico, transizione ecologica, università e ricerca, innovazione tecnologica e transizione digitale, infrastrutture).
Chi gestisce le crisi in tema di cybersicurezza
Nelle situazioni di crisi, un ruolo di primo piano è svolto dal Nucleo, che supporta il Presidente del Consiglio. Quando il Presidente convoca il CISR (Comitato interministeriale per la sicurezza della Repubblica, cui ora si affianca il CIC) alle sedute partecipano anche il Ministro delegato per l’innovazione tecnologica e la transizione digitale e il direttore generale dell’Agenzia.
Si può spegnere il web in caso di rischi gravi
In presenza di un rischio grave e imminente per la sicurezza nazionale il Presidente del Consiglio può disporre la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati.
La disattivazione può avvenire solo nei casi indispensabili e per il tempo necessario all’eliminazione o mitigazione del rischio, secondo un criterio di proporzionalità. Entro 30 giorni il Presidente del Consiglio deve informare il Copasir delle misure disposte.
Le relazioni periodiche al Parlamento e al Copasir
Entro il 30 aprile l’Agenzia invia al Parlamento una relazione sull’attività svolta nell’anno precedente. Entro il 30 giugno il Presidente del Consiglio trasmette una relazione al Copasir.