Cyber security: il decreto è legge. Tutto quello che c’è da sapere

Che cosa prevede la nuova normativa italiana in tema di Cyber Security?

È stata pubblicata in Gazzetta Ufficiale la legge 4 agosto 2021, n.109 recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale” che converte il decreto legge 14 giugno 2021, n. 82.

La legge 109/2021 definisce l’architettura nazionale di cybersicurezza, introduce diverse novità in materia e istituisce:

• L’Agenzia Nazionale per la Cybersecurity;
• Il Comitato interministeriale per la cybersicurezza;
• Il Nucleo per la cybersicurezza. 

Il Governo, attraverso l’approvazione della legge, intende promuovere la cultura della sicurezza cibernetica e aumentare la consapevolezza sul tema all’interno del settore pubblico e privato, accendendo i riflettori sui rischi e sulle minacce cyber. 

Negli ultimi anni, infatti, l’accresciuta esposizione alle minacce cibernetiche ha evidenziato la necessità di sviluppare, in tempi brevi, idonei e sempre più stringenti meccanismi di tutela e Cyber Security: basti pensare che, secondo gli ultimi dati sulla cybercriminalità raccolti dalla Commissione europea e riportati da Ansa, gli attacchi informatici su larga in Europa sono passati da 432 nel 2019 a 756 nel 2020, registrando un aumento del 75% rispetto al 2019.

Inoltre, dall’edizione 2021 del Rapporto Clusit sulla sicurezza ICT in Italia e nel mondo, redatto dall’Associazione Italiana per la Sicurezza Informatica, emerge che nessun settore è immune da possibili cyber attacchi: solo nel 2020, infatti, sono stati registrati 1.871 gli attacchi gravi di dominio pubblico, ovvero con un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica.

Il pool di esperti che ha lavorato alla stesura del rapporto pone l’accento sull’incremento degli attacchi cyber a livello globale, che nel 2020 è pari a un +12% rispetto al 2019, e sull’aumento degli attacchi gravi con un +66% rispetto al 2017. 

Inoltre, il report evidenzia un incremento di attacchi veicolati tramite l’abuso della supply chain, ovvero tramite la compromissione di terze parti, che consente ai criminali informatici di colpire i clienti, fornitori e partner di un’azienda.

Tra i settori maggiormente colpiti ci sono il “Multiple Targets” (20% del totale degli attacchi), che comprende attacchi realizzati verso molteplici obiettivi spesso indifferenziati, il settore Governativo, militare, forze dell’ordine e intelligence (14% del totale degli attacchi), la sanità, (12% del totale degli attacchi), la ricerca e istruzione (11% del totale degli attacchi) e i servizi online (10% del totale degli attacchi).  Inoltre, sono cresciuti gli attacchi verso Banking & Finance (8%), produttori di tecnologie hardware e software (5%) e infrastrutture critiche (4%).

Che cos’è la Cyber Security?

In una società sempre più digitale, dove cresce il fenomeno della Gig Economy ed è impossibile fare a meno della tecnologia, quello della Cyber Security è uno dei temi più rilevanti dell’agenda nazionale ed internazionale.

Che cos’è la Cyber Security? La Cyber Security, in italiano “cyber sicurezza”, si concentra sugli aspetti legati alla sicurezza delle informazioni, rese accessibili da sistemi informatici, ed è spesso utilizzato come sinonimo di Information Security. In realtà, si tratta di una sottoclasse della Sicurezza Informatica, ovvero l’insieme dei mezzi, delle tecnologie e delle procedure utili a proteggere i sistemi informatici in termini di disponibilità, riservatezza e integrità dei dati e degli asset informatici. 

Il termine Cyber Security viene utilizzato anche per indicare le qualità di resilienza, robustezza e reattività che una tecnologia deve possedere per fronteggiare gli attacchi informatici che possono colpire singoli individui, imprese private, enti pubblici e organizzazioni governative.

La cyber sicurezza costituisce uno degli interventi previsti dal Piano nazionale di ripresa e resilienza (PNRR) trasmesso dal Governo alla Commissione europea il 30 aprile 2021. Inoltre, è uno dei 7 investimenti della Digitalizzazione della pubblica amministrazione. 

L’investimento, che mira alla creazione ed al rafforzamento delle infrastrutture legate alla protezione cibernetica del Paese, interessa quattro diverse aree:

1. Rafforzamento dei presidi di front-line per la gestione degli alert e degli eventi a rischio verso la PA e le imprese di interesse nazionale;
2. Consolidamento delle capacità tecniche di valutazione e audit della sicurezza dell’hardware e del software;
3. Potenziamento del personale delle forze di polizia dedicate alla prevenzione e investigazione del crimine informatico;
4. Implementazione degli asset e delle unità incaricate della protezione della sicurezza nazionale e della risposta alle minacce cyber.

Quali sono le principali novità della legge

Gli articoli da 1 a 4 della legge 109/2021 sulla Cyber Security definiscono il sistema nazionale di sicurezza cibernetica cha ha al suo vertice il Presidente del Consiglio dei ministri cui è attribuita l’alta direzione e la responsabilità generale delle “politiche di cybersicurezza”.

Inoltre, al Presidente del Consiglio spetta:

• La nomina e la revoca del direttore generale e del vice direttore generale della nuova Agenzia per la cybersicurezza nazionale (Acn) previa informativa al presidente del COPASIR (Comitato parlamentare per la sicurezza della Repubblica);
• L’adozione della strategia nazionale di cybersicurezza, sentito il Comitato interministeriale per la cybersicurezza (CIC), organismo con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.

Scopriamo nel dettaglio quali sono le caratteristiche e le funzioni dell’Agenzia per la cybersicurezza nazionale (Acn) e del Comitato interministeriale per la cybersicurezza (CIC):

• Agenzia per la cybersicurezza nazionale: è istituita, a tutela degli interessi nazionali nel campo della cybersicurezza, ha personalità giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria, nei limiti di quanto previsto dalla legge. L’Acn conta fino ad un numero massimo di otto uffici di livello dirigenziale generale, nonché fino ad un numero massimo di trenta articolazioni di livello dirigenziale non generale nell’ambito delle risorse disponibili. L’Agenzia può̀ richiedere, anche sulla base di apposite convenzioni e nel rispetto degli ambiti di precipua competenza, la collaborazione di altri organi dello Stato, di altre amministrazioni, delle Forze armate, delle forze di polizia o di enti pubblici per lo svolgimento dei suoi compiti istituzionali. I principali compiti dell’Agenzia sono:
  • Promuovere la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni;
  • Predisporre la strategia nazionale di cybersicurezza;
  • Svolgere ogni necessaria attività̀ di supporto al funzionamento del Nucleo per la cybersicurezza;
  • Sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale;
  • Curare e promuove la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale;
  • Contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
  • Supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
  • Assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica;
  • Svolgere attività di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia.
• Comitato interministeriale per la cybersicurezza: il Comitato interministeriale per la cybersicurezza (CIC), istituito presso la Presidenza del Consiglio dei ministri, ha funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico. Ecco quali sono le funzioni del Comitato:
  • Proporre al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale;
  • Esercitare l’alta sorveglianza sull’attuazione della strategia nazionale di cybersicurezza;
  • Promuove l’adozione delle iniziative necessarie per favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonché per la condivisione delle informazioni e per l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza;
  • Esprime il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cybersicurezza nazionale.

Il direttore generale dell’Agenzia per la cybersicurezza nazionale svolge le funzioni di segretario del Comitato.

Come abbiamo già detto, una delle funzioni dell’Acn è svolgere ogni necessaria attività di supporto al funzionamento del Nucleo per la cybersicurezza presieduto dal direttore generale dell’Agenzia o, per sua delega, dal vice direttore generale.

Il Nucleo per la cybersicurezza nasce a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento, ed è composto da:

• dal Consigliere militare del Presidente del Consiglio dei ministri;
• da un rappresentante:
  • del DIS (Dipartimento delle informazioni per la sicurezza);
  • dell’AISE (Agenzia informazioni e sicurezza esterna);
  • dell’AISI (Agenzia informazioni e sicurezza interna);
  • di ciascuno dei Ministeri rappresentati nel Comitato, del Ministero dell’università e della ricerca e del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri. 

Il Nucleo può:

• Formulare proposte di iniziative in materia di cybersicurezza del Paese, anche nel quadro del contesto internazionale in materia;
• Promuovere la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati;
• Promuovere e coordinare lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;
• Valutare e promuovere, in raccordo con le amministrazioni competenti per specifici profili della cybersicurezza, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi.