Usiamo i cookie per migliorare la tua esperienza di fruizione

Cliccando su qualsiasi link in questa pagina fornisci il tuo consenso all'uso dei cookie

Italian Chinese (Simplified) English French German Japanese Spanish
Domenica, 17 Ottobre 2021
Il rafforzamento dell’architettura nazionale di sicurezza cibernetica: il Perimetro e l’Agenzia - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

Il rafforzamento dell’architettura nazionale di sicurezza cibernetica: il Perimetro e l’Agenzia - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

SETTEMBRE 2021

Perimetro di Sicurezza Nazionale Cibernetica
L’Italia ha recentemente rafforzato l’architettura nazionale di sicurezza cibernetica sia attraverso promulgazione dei decreti attuativi del Perimetro di Sicurezza Nazionale Cibernetica sia mediante la creazione dell’Agenzia per la Cybersicurezza Nazionale continuando il proprio percorso di crescita digitale.
Il Perimetro prevede sia obblighi legali volti al rispetto di stringenti misure di sicurezza e alla notifica degli incidenti, sia specifiche disposizioni in materia di forniture di determinati beni, sistemi e servizi ICT destinati a essere impiegati su reti, sistemi informativi e per l’espletamento dei servizi informatici utilizzati dai soggetti inclusi nel Perimetro stesso per l’esercizio della funzione/servizio essenziale per la sicurezza nazionale. A completamento di tale provvedimento, è previsto che siano promulgati una serie di decreti attuativi, quattro DPCM e un DPR, quattro dei quali già pubblicati.
Il primo, il DPCM n. 131 del 30 luglio 2020, dettaglia le specifiche e gli ambiti di attività dei soggetti inclusi nel Perimetro di sicurezza cibernetica nonché le modalità di elaborazione, aggiornamento e trasmissione degli elenchi dei beni ICT. La definizione di tali elementi si configura come passaggio fondamentale per la concreta realizzazione del Perimetro al fine di instaurare una serie di presidi di sicurezza funzionali a garantire un’efficace protezione cibernetica di tutto il sistema paese. (https://www.gazzettaufficiale.it/eli/id/2020/10/21/20G00150/sg)
Il secondo decreto, il DPR n. 54 del 5 febbraio 2021, definisce le procedure e i termini per le valutazioni svolte da parte del Centro di Valutazione e Certificazione Nazionale (CVCN) e dei Centri di Valutazione del Ministero degli Affari Interni e della Difesa su prodotti in fase di acquisizione da parte dei soggetti inclusi nel Perimetro. (https://www.gazzettaufficiale.it/eli/id/2021/04/23/21G00060/sg)
Il terzo decreto, il DPCM n. 81 del 14 aprile 2021, disciplina nel dettaglio le procedure di notifica che devono seguire i soggetti inclusi nel Perimetro in caso di incidenti impattanti su beni ICT, definendone una tassonomia per livelli di gravità, oltre che un elenco delle misure di sicurezza, basate su quanto previsto dal Framework Nazionale per la Cybersecurity e la Data Protection, che i soggetti stessi dovranno implementare per ciascun bene ICT di propria pertinenza. (https://www.gazzettaufficiale.it/eli/id/2021/06/11/21G00089/sg)
Il quarto decreto, il DPCM 15 giugno 2021, individua le categorie in relazione alle quali i soggetti inclusi nel Perimetro che intendano procedere, anche per il tramite delle centrali di committenza alle quali sono tenuti a fare ricorso, all'affidamento di forniture di beni, sistemi e servizi ICT, destinati ad essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici, effettuano la comunicazione al CVCN o ai Centri di Valutazione.
https://www.gazzettaufficiale.it/eli/id/2021/08/19/21A05087/sg)
L’ultimo DPCM, non ancora promulgato, definirà le regole di accreditamento per quanto riguarda i laboratori accreditati di prova che potranno effettuare screening di tecnologie.
In sintesi, è possibile affermare che il Perimetro di Sicurezza Nazionale Cibernetica è finalizzato a garantire nel tempo un approccio integrato e univoco dello Stato contro le minacce cibernetiche e a migliorare la capacità di resilienza di tutto il sistema paese.
Agenzia per la Cybersicurezza Nazionale
L’Agenzia per la Cybersicurezza Nazionale, istituita con D.L. 14 giugno 2021, n. 82 (https://www.gazzettaufficiale.it/eli/id/2021/06/14/21G00098/sg), sarà diretta da Roberto Baldoni, sarà l’Autorità nazionale per la cybersicurezza per la coordinazione tra i soggetti pubblici coinvolti in materia di cyber security a livello nazionale e promuoverà la realizzazione di azioni comuni orientate alla sicurezza e alla resilienza cyber per la digitalizzazione di tutto il sistema paese. In linea con i modelli francese e tedesco, la nuova agenzia si porrà al di fuori delle agenzie di intelligence, sottraendo così strutture quali il Computer Security Incident Response Team (CSIRT) italiano o il Nucleo di Sicurezza Cibernetica dal controllo esclusivo del DIS. Nonostante ciò, la nomina di Baldoni, già vicedirettore del DIS con delega alla cybersecurity, è emblematica della continuità necessaria per garantire la sicurezza di un settore di rilevanza strategica. Tale continuità permetterà anche di coordinare al meglio gli sforzi delle autorità competenti NIS nazionali nel porre in sicurezza e contrastare gli attacchi alle Infrastrutture Critiche.
Tra i compiti in materia di cyber security nazionale attribuiti alla nuova Agenzia rientrano tutti quelli precedentemente assegnati alla presidenza del Consiglio, al Ministero dello Sviluppo Economico, al DIS e all’Agenzia per l’Italia Digitale così come le competenze in materia di Perimetro di Sicurezza Nazionale Cibernetica. Tra essi rientreranno quindi l’elaborazione della Strategia nazionale di cybersicurezza e il supporto alle attività del Nucleo per la cybersicurezza, rappresentando inoltre l’Autorità nazionale competente e il punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi. Essendo anche Autorità nazionale di certificazione della cyber security, l’Agenzia accentrerà tutte le attività di certificazione finora esercitate dal Ministero dello Sviluppo Economico da parte dei competenti organi, quali il CVCN. In aggiunta, l’Agenzia si occuperà della prevenzione, del monitoraggio, del rilevamento, dell’analisi, delle risposte e della gestione di incidenti di sicurezza informatica e gli attacchi cyber. Infine, ma non meno importante, la nuova struttura sarà promotrice del coinvolgimento del sistema universitario e della ricerca, nonché del sistema produttivo nazionale, nel campo della cyber security e pertanto avrà il compito di promuovere la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della sicurezza informatica, anche attraverso l’assegnazione di borse di studio, di dottorato e di assegni di ricerca, favorendo l’attivazione di percorsi formativi universitari.
In ultima analisi, quindi, la definizione del Perimetro di Sicurezza Nazionale Cibernetica e la creazione dell’Agenzia per la Cybersicurezza Nazionale rappresentano senz’altro ottime iniziative funzionali al rafforzamento dell’architettura nazionale di sicurezza cibernetica. Nei mesi a venire, la promulgazione del restante decreto attuativo del Perimetro e l’entrata a regime dell’Agenzia rappresenteranno un ulteriore miglioramento della sicurezza cyber, in linea con quanto previsto anche dalle iniziative europee.

Luisa Franchina - Presindente AIIC

Matteo Taraborelli

(Newletter AIIC n. 08 (2021))