Close

Strategia Nazionale Cybersicurezza 2022-2026

Quali sono le sfide e gli obiettivi per mettere in sicurezza i dati nazionali e ridurre i rischi di attacchi informatici al Paese
Un hacker illuminato da righe di numero 0 e 1, per indicare i pericoli che bisogna evitare con la strategia nazionale cybersecurity 2022-2026
Tempo di lettura: 5 minuti

Indice dei contenuti

È stata pubblicata nelle scorse settimane la Strategia Nazionale di Cybersicurezza 2022-2026. Si tratta del piano di difesa pluriennale dell’Italia per ridurre i rischi di attacchi informatici e dotarsi degli strumenti necessari a fronteggiare eventuali situazioni di crisi.

Il piano si compone di due documenti:

  • la strategia vera e propria, scritta dall’Agenzia per la Cybersicurezza Nazionale (ACN) e approvata dal Comitato Interministeriale per la Cybersicurezza (CIC). Partendo da un’analisi dei rischi cibernetici dell’Italia, stabilisce quali sono le sfide dei prossimi anni. Fissa quindi tre obiettivi fondamentali e indica i fattori abilitanti per realizzare la strategia;
  • il Piano di implementazione: un elenco di 82 interventi per realizzare la strategia.

Cybersicurezza, da dove parte la strategia nazionale 2022-2026

L’ACN parte dalla considerazione che la continua evoluzione tecnologica, oltre ai benefici, fa crescere anche i rischi cibernetici. Tali rischi vanno dalla dipendenza tecnologica e dalla perdita di autonomia strategica dello Stato alle minacce derivanti da interventi volontari (cyberattacchi con intenti criminali) o da errori umani.

L’aumento dei rischi obbliga quindi a intensificare gli sforzi per mettere al sicuro sistemi e infrastrutture. Tuttavia, la stessa ACN ricorda che “nessuna organizzazione, pur tecnologicamente equipaggiata e proceduralmente preparata, può eliminare del tutto le minacce che promanano dallo spazio cibernetico”.

È possibile, però, prevenire e mitigare il rischio, intervenendo sul livello di resilienza delle infrastrutture. Bisogna intervenire anche sulle persone, che devono avere maggiore consapevolezza dei rischi che corrono nella dimensione digitale.

Qual è lo scenario della cybersecurity

La strategia nazionale di cybersecurity 2022-2026 ci dice che le azioni ostili sono in costante aumento, come abbiamo visto anche in questo nostro articolo. Ciò accade perché il costo degli strumenti offensivi si riduce, mentre aumenta la complessità degli attacchi e la difficoltà di individuare i colpevoli. I dati parlano di crescenti danni economici e reputazionali per le imprese. Ci sono poi blocchi nelle attività di infrastrutture energetiche e strutture sanitarie. Infine, aumenta la diffusione di dati personali di figure pubbliche che vengono screditate e la cui incolumità viene messa in pericolo.

Da un simile scenario vengono fuori quattro considerazioni.

  • Lo Stato ha il dovere di dotarsi di adeguate strategie di cybersicurezza per rendere il Paese sicuro, mantenendo intatta la fiducia dei cittadini nei vantaggi della tecnologia.
  • La cybersicurezza deve essere alla base della digitalizzazione del Paese, anche nell’ottica del conseguimento dell’autonomia nazionale strategica.
  • La cybersicurezza non è un costo, ma un investimento e un fattore di sviluppo.
  • La messa in sicurezza delle infrastrutture deve essere accompagnata anche da un progresso culturale della società, di tipo “security-oriented”.

Per fronteggiare questo scenario, dal 2013 ci sono stati interventi per aumentare le competenze e creare in particolare un organo di riferimento unico (l’ANC) per la difesa cibernetica dell’Italia. Seguendo tale percorso, entro il 2027 l’ANC recluterà 800 esperti, da far crescere al suo interno o innestare in altre PA.

Quali sono i rischi e le sfide da affrontare

L’evoluzione tecnologica, come detto, porta a un aumento dei rischi, alcuni di natura sistemica come:

  • attacchi cyber con impatti sull’erogazione di servizi, anche essenziali, sul Pil e sulla reputazione del Paese;
  • uso di tecnologie sviluppate da grandi aziende, talvolta controllate o influenzate dai loro Governi, con possibili ingerenze nella supply chain, in termini di disponibilità e affidabilità;
  • diffusione di fake news e campagne di disinformazione per manipolare l’opinione pubblica.

In particolare, le sfide da affrontare per ridurre tali rischi sono:

  • una transizione digitale cyber resiliente per PA e tessuto produttivo, unita a una maggiore cultura della sicurezza e un’adeguata forza lavoro qualificata;
  • il raggiungimento di un’autonomia strategica nazionale ed europea, finora ostacolate dalla frammentazione del mercato e dall’assenza di aziende di livello europeo;
  • la capacità di anticipare l’evoluzione della minaccia cyber;
  • saper gestire le crisi prevedendo interventi graduati e coordinati in base a scenari predefiniti e stabilendo le misure da prendere in ogni fase;
  • il contrasto della disinformazione online.

Quali sono i fondi per attuare la strategia nazionale di cybersicurezza 2022-2026

Le misure previste nella strategia nazionale di cybersicurezza saranno finanziate con fondi diversi:

  • fondi nazionali: l’1,2% degli investimenti nazionali lordi annui sarà destinato a ottenere l’autonomia tecnologica digitale e aumentare la cybersicurezza dei sistemi informativi nazionali;
  • fondi UE: provenienti dai programmi Horizon ed Europa Digitale;
  • fondi PNRR: legati alla Missione 1, tra cui 623 milioni per l’investimento 1.5 Cybersecurity.

Quali sono gli obiettivi fondamentali di cybersecurity dell’Italia

La strategia nazionale di cybersecurity 2022-2026 individua 3 obiettivi fondamentali, rappresentati da protezione, risposta e sviluppo. Per ciascuno di tali obiettivi sono previste una serie di misure che devono essere adottate per il loro raggiungimento.

Strategia Nazionale Cybersecurity 2022-2026: obiettivo Protezione

Per quanto riguarda, in particolare, la protezione, questo obiettivo mira a ottenere la gestione e mitigazione del rischio con azioni precise e un quadro normativo adeguato.

Alcune delle azioni da realizzare a tal fine sono:

  • potenziare il Centro di valutazione e certificazione nazionale e i centri di valutazione di Interno e Difesa, integrandoli con una rete di laboratori pubblici e privati. Ciò per accrescere la capacità di valutare la vulnerabilità delle tecnologie avanzate a servizio degli asset più critici per il Paese;
  • un quadro giuridico nazionale in materia di cybersicurezza, con norme, linee guida, schemi di certificazione e policy settoriali aggiornate e in linea con le indicazioni europee e internazionali;
  • potenziare le capacità cyber nella PA, grazie al cloud e alla creazione di un Polo Strategico Nazionale;
  • promuovere l’uso della crittografia;
  • un coordinamento nazionale contro la disinformazione.

Strategia Nazionale Cybersecurity 2022-2026: obiettivo Risposta

La risposta è quella che si punta a dare alle minacce, agli incidenti e alle crisi cyber.

Alcune delle azioni da realizzare per tale obiettivo sono:

  • un sistema di gestione delle crisi nazionali e transnazionali, con un coordinamento continuativo, il periodico aggiornamento delle procedure operative e una pronta comunicazione istituzionale;
  • l’integrazione degli attuali servizi cyber nazionali nei seguenti ambiti:

– identificazione della minaccia, realizzando un “Hyper SOC”, ovvero un sistema di raccolta e analisi di eventi da Security Operation Center (SOC) e Internet Service Provider (ISP) per individuare precocemente eventuali “pattern” di attacco complessi;

– notifica unitaria degli incidenti al Computer Security Incident Response Team (CSIRT), per avere una capacità di risposta più tempestiva ed efficace;

– risposta agli incidenti, realizzando una rete di CSIRT/Computer Emergency Response Team (CERT) settoriali federati con lo CSIRT Italia per condividere procedure, informazioni e supporto;

– condivisione delle informazioni, realizzando un Information Sharing and Analysis Center (ISAC) centrale presso l’Agenzia, integrabile con una rete di ISAC settoriali per potenziare la diffusione di informazioni, best-practice, linee guida, avvisi di sicurezza e raccomandazioni;

– qualificazione delle aziende in grado di fornire supporto in caso di più incidenti cyber di natura sistemica;

  • esercitazioni periodiche di sicurezza cibernetica e resilienza;
  • definizione della procedura nazionale e del contributo dell’Italia a livello UE e NATO in caso di attacchi informatici.

Strategia Nazionale Cybersecurity 2022-2026: obiettivo Sviluppo

Tale obiettivo punta a ottenere uno sviluppo sicuro e consapevole delle tecnologie digitali, della ricerca e della competitività industriale.

Alcune delle azioni da realizzare per raggiungerlo sono:

  • potenziare l’autonomia strategico-tecnologica dell’Italia e dell’UE (anche sviluppando tecnologie nazionali ed europee) grazie al ruolo del Centro Nazionale di Coordinamento (CNC). Ciò in accordo con il Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca (ECCC) e in sinergia con i Centri di competenza ad alta specializzazione e i Digital Innovation Hub (DIH) attivi sul territorio nazionale;
  • realizzare un Parco nazionale della cybersicurezza;
  • introdurre nuovi meccanismi e soluzioni che incentivano lo sviluppo industriale, tecnologico e della ricerca, con particolare riferimento allo sviluppo di competenze e al trasferimento tecnologico.

Quali sono i fattori abilitanti per attuare la strategia nazionale di cybersicurezza

I tre fattori indispensabili per attuare il piano nazionale di cybersecurity sono formazione, cultura della cybersecurity e cooperazione.

Formazione

La creazione di una solida forza lavoro nazionale di esperti in cybersicurezza, al servizio della PA e delle aziende private, avviene con una serie di azioni:

  • un’azione di tipo culturale, prima che tecnico, insegnando l’informatica a tutti i livelli scolastici e in tutti gli indirizzi;
  • meccanismi incentivanti che favoriscano l’inserimento in carriere tecnico-scientifiche, con particolare riferimento alla cybersicurezza;
  • aggiornamento continuo di didattica e docenti;
  • fondi specifici per formazione e aggiornamento professionale continuo nei settori pubblico e privato, con un sistema di certificazione delle professionalità.

Cultura della cybersecurity

La promozione della cultura della sicurezza cibernetica deve riguardare il settore pubblico e privato e la società civile, per una maggiore consapevolezza sui rischi e le minacce cyber. Quando parliamo di rischi e minacce bisogna pensare non soltanto agli attacchi informatici veri e propri, ma anche alla diffusione di contenuti fake e alle azioni di cyberbullismo.

La promozione della cultura della cybersecurity deve avvenire:

  • con un programma capillare di educazione digitale per distinguere le fake news e adottare le buone prassi di cybersecurity;
  • con una forte sensibilizzazione nelle organizzazioni pubbliche e private, per promuovere una “cyber hygiene” e accrescere la percezione delle esigenze di sicurezza e delle minacce;
  • promuovendo la gestione consapevole del “rischio residuo” (quello che rimane dopo l’adozione delle misure di prevenzione).

Cooperazione

La cooperazione deve essere incrementata:

  • a livello nazionale: in ambito governativo, nei rapporti pubblico-pubblico e pubblico-privato, in ambito accademico e nella ricerca;
  • a livello internazionale: partecipando a iniziative europee e internazionali e promuovendo collaborazioni bilaterali.

Trasversale sia agli obiettivi che ai fattori abilitanti è la Partnership Pubblico-Privato (PPP), perché senza un gioco di squadra nessuna strategia ha successo.

TAG