Nel mese di agosto 2016, con l’entrata in vigore della Direttiva UE denominata NIS, è stato incardinato uno dei primi tasselli, componenti un più completo mosaico di norme europee destinate a ristrutturare la sicurezza informatica, attraverso il miglioramento delle capacità di cyber security, l’incremento della cooperazione e la gestione dei rischi, la classificazione degli incidenti da parte degli operatori di servizi ed una sempre maggiore disponibilità allo scambio informativo tra strutture operanti nel settore.[1]
Nel recepire tali indicazioni, il 17 febbraio 2017, il Presidente del Consiglio in carica ha presieduto un’importante riunione del Comitato Interministeriale per la Sicurezza della Repubblica[2], nel corso della quale è stato approvato il programma nazionale per la cyber security, attraverso l’adozione di un nuovo Decreto[3] (pubblicato sulla Gazzetta Ufficiale il 13 aprile 2017) che sostituisce il DPCM 24 gennaio 2013 recante le norme che regolamentavano l’architettura nazionale per la sicurezza cibernetica.
Nell’occasione è stato confermato il ruolo centrale del CISR, quale organo collegiale in diretta collaborazione col Presidente del Consiglio per la gestione delle situazioni di crisi sotto un profilo prettamente politico-decisionale e, nel contempo, è stata mutata la connotazione dell’Nsc[4] ossia il Nucleo di Sicurezza Cibernetica (già alle dipendenze dell’Ufficio del consigliere militare della Presidenza del Consiglio), che passa alle dipendenze del DIS[5] (Dipartimento delle Informazioni per la Sicurezza) al quale spetta la definizione delle linee d’azione funzionali ad apportare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, nonché la verifica e l’eliminazione delle vulnerabilità riscontrate (il tutto, previo coinvolgimento dei settori accademici e della ricerca e della collaborazione di imprese private).
Tale scelta, dai connotati certamente strategici, mira a ridurre le principali problematiche evidenziatesi con il precedente DPCM, puntando verso un assetto più funzionale ed in linea con analoghe cyber strategies adottate in Europa.
La costituzione del Nucleo di Sicurezza Cibernetica rappresenta la concreta possibilità di disporre di una struttura fondamentale di cybersicurezza, che è in grado di muoversi con rapidità ed efficienza nella condivisione delle informazioni in ambito nazionale e nello scambio tra analoghe strutture a livello internazionale. Il tutto si completa con la previsione di budgets adeguati, seppur non ancora equiparabili ai più consistenti fondi che altri Paesi dell’UE stanno mettendo a disposizione per programmi analoghi.
Nella sua azione, il Nucleo di Sicurezza Cibernetica dovrà rapportarsi con il Ministeri della Difesa, dell’Interno, dell’Economia e Finanze, dello Sviluppo Economico[6], nonché con l’Agenzia per l’Italia Digitale del Dipartimento della Funzione Pubblica.
Il Decreto Gentiloni, qui brevemente illustrato, può sinteticamente definirsi un ulteriore e fondamentale contributo per la definizione del complesso quadro istituzionale dedicato alla sicurezza cibernetica e per la realizzazione di un progetto strutturale che sulla sicurezza e sulla protezione da minacce che spesso vengono recepite con fatale ritardo.
Il successivo passo, a questo punto, può consistere soltanto in azioni conseguenti e concrete da parte di tutti gli attori (istituzionali e non) coinvolti.
[1] E’ proprio la Direttiva NIS, che ha stabilito la nascita dei CSIRT e lo sviluppo del network. L’articolo 9 prevede che ogni paese UE designi una o più di queste strutture come responsabile per la gestione dei rischi e degli incidenti in ambito cyber, a livello nazionale. L’articolo 12, inoltre, si stabilisce che venga creato un gruppo di CSIRT, il cui obiettivo sarà di incrementare la fiducia tra le nazioni europee. L’obiettivo è promuovere una cooperazione operativa veloce ed efficace nell’ambito del blocco contro le minacce informatiche. Infine, si deliberava che il Network dovesse diventare operativo entro sei mesi dalla data di entrata in vigore della Direttiva, quindi proprio a febbraio del 2017.
[2] CISR (Comitato Interministeriale per la Sicurezza della Repubblica), presieduto dal Presidente del Consiglio, di cui fanno parte il Ministro degli Affari Esteri, il Ministro dell’Interno, il Ministro della Difesa, il Ministro della Giustizia, il Ministro dell’Economia e delle Finanze ed il Ministro dello Sviluppo Economico, ed oggi integrato con la partecipazione del Ministro per la Semplificazione e la Pubblica Amministrazione.
[3] Decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017 Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali – (pubblicato sulla Gazzetta Ufficiale n. 87 del 13 aprile 2017) https://www.sicurezzanazionale.gov.it
[4] L’NSC è un organismo composto da funzionari in rappresentanza dei ministeri degli Affari esteri, dell’Interno, della Difesa, della Giustizia, dell’Economia e delle Finanze, dello Sviluppo economico, del sottosegretario di Stato alla Presidenza del Consiglio – Autorità delegata per la Sicurezza della Repubblica, del direttore generale dell’Agenzia per l’Italia digitale, del Consigliere militare del presidente del Consiglio dei ministri, del direttore generale del Dipartimento delle informazioni per la sicurezza, dei direttori di Aisi e Aise e del ministro per la Semplificazione e la Pubblica amministrazione, oltre ad un nucleo di persone, che si occupa di gestire tecnicamente il flusso di informazioni. Svolge funzioni di raccordo tra le diverse componenti istituzionali che intervengono nel settore della sicurezza cibernetica; promuove la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica e l’elaborazione delle procedure di coordinamento, in raccordo con le pianificazioni di difesa civile e di protezione civile; mantiene attivo, 24 ore su 24, 7 giorni su 7, l’unità per l’allertamento e la risposta a situazioni di crisi cibernetica; valuta e promuove, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici elle crisi; acquisisce, sia dall’estero sia per il tramite del ministero dello Sviluppo economico (Mise), degli organismi di informazione per la sicurezza, delle Forze di polizia e delle strutture del ministero della Difesa, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell’integrità significative ai fini del corretto funzionamento delle reti e dei servizi. È indicato come il punto di riferimento nazionale per i rapporti con l’Onu, la Nato e l’Unione europea in questo frangente. Inoltre promuove e coordina, in raccordo con il Mise e con l’Agenzia per l’Italia digitale per i profili di rispettiva competenza, lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica.
[5] Il Dipartimento delle informazioni per la sicurezza (DIS) è l’organo di cui si avvalgono il Presidente del Consiglio dei ministri e l’Autorità delegata per l’esercizio delle loro funzioni e per assicurare unitarietà nella programmazione della ricerca informativa, nell’analisi e nelle attività operative di AISE e AISI. https://www.sicurezzanazionale.gov.it.
[6] All’interno del quale è ora prevista l’Istituzione di un centro di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità dei prodotti, apparati e sistemi destinati a essere utilizzati per il funzionamento di reti, servizi e infrastrutture critiche, nonché di ogni altro operatore per cui sussista un interesse nazionale.
- Web e disinformazione: il ruolo dell’intelligence - 10 Settembre 2019
- Intelligenza artificiale e guerra algoritmica - 13 Luglio 2018
- Linguaggio comune e standardizzazione delle attività del settore cyber: il National Cybersecurity Workforce Framework - 31 Luglio 2017