La sicurezza cibernetica costituisce uno degli interventi previsti dal Piano nazionale di ripresa e resilienza (PNRR)
Il decreto-legge 14 giugno 2021, n. 82 (testo coordinato in calce) è stato convertito con modificazioni nella legge 4 agosto 2021, n. 10 recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale».
In considerazione dell’accresciuta esposizione alle minacce cibernetiche è emersa negli anni la necessità di sviluppare, in tempi brevi, idonei e sempre più stringenti meccanismi di tutela. Tale esigenza è aumentata negli ultimi anni anche alla luce delle misure volte a garantire infrastrutture cloud sicure e centri dati con elevati standard di qualità nella direzione di una crescente interoperabilità e condivisione delle informazioni.
A livello di Unione europea la direttiva (UE) 2016/1148 del 6 luglio 2016 reca misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. direttiva NIS – Network and Information Security”) al fine di conseguire un “livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea”.
La direttiva è stata recepita nell’ordinamento italiano con il decreto legislativo 18 maggio 2018, n. 65, che detta quindi la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva NIS.
Successivamente, il decreto-legge n. 105 del 2019 è stato adottato al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi. Talune modifiche sono state apportate, a tale provvedimento, dal decreto-legge n. 162 del 2019, in materia di proroga dei termini e altre disposizioni sulla pubblica amministrazione.
La sicurezza cibernetica costituisce uno degli interventi previsti dal Piano nazionale di ripresa e resilienza (PNRR) trasmesso dal Governo alla Commissione europea il 30 aprile 2021 e definitivamente approvato il 13 luglio 2021.
In tale ambito, la cybersecurity è uno dei 7 investimenti della Digitalizzazione della pubblica amministrazione, primo asse di intervento della componente 1 “Digitalizzazione, innovazione e sicurezza nella PA” compresa nella Missione 1 “Digitalizzazione, innovazione, competitività, cultura e turismo”.
All’investimento, volto alla creazione ed al rafforzamento delle infrastrutture legate alla protezione cibernetica del Paese a partire dalla attuazione della disciplina prevista dal perimetro di sicurezza nazionale cibernetica, sono destinati circa 620 milioni di euro di cui 241 milioni di euro per la creazione di una infrastruttura nazionale per la cibersicurezza; 231 milioni di euro per il rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica PSNC; 150 milioni di euro per il rafforzamento delle capacità nazionali di difesa informatica presso il ministero dell’Interno, Difesa, Guardia di Finanza, Giustizia e Consiglio di Stato.
Con la legge in argomento, quindi, si completa il panorama normativo in materia andando a definire ulteriori aspetti di carattere strategico-organizzativo.
Gli articoli da 1 a 4 definiscono il sistema nazionale di sicurezza cibernetica, che ha al suo vertice il Presidente del Consiglio dei ministri al quale è attribuita l’alta direzione e la responsabilità generale delle “politiche di cybersicurezza”, nonché l’adozione della relativa strategia nazionale e – previa deliberazione del Consiglio dei ministri – la nomina e la revoca del direttore generale e del vice direttore generale della nuova “Agenzia per la cybersicurezza nazionale” (istituita dall’articolo 5) del provvedimento in esame. Di tali nomine sono preventivamente informati il COPASIR e le competenti Commissioni parlamentari (articolo 2).
Tra le varie definizioni contenute nell’art. 1 di particolare interesse è quella di cybersicurezza, intesa come l’insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità e garantendone la resilienza, anche ai fini della tutela della sicurezza nazionale e dell’interesse nazionale nello spazio cibernetico.
Il Presidente del Consiglio dei ministri può delegare all’Autorità delegata per il sistema di informazione per la sicurezza della Repubblica, ove istituita, le funzioni che non sono a lui attribuite in via esclusiva (articolo 3).
Presso la Presidenza del Consiglio dei ministri è istituito il “Comitato interministeriale per la cybersicurezza” (CIC), organismo con funzioni di consulenza, proposta e vigilanza in materia di politiche di cibersicurezza (articolo 4).
Il comma 2, alle lettere a)-d), prevede che il Comitato: propone al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale (lettera a); esercita l’alta sorveglianza sull’attuazione della strategia nazionale di cybersicurezza (lettera b); promuove l’adozione delle iniziative necessarie per favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonché per la condivisione delle informazioni e per l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza (lettera c); esprime il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cybersicurezza nazionale(lettera d).
Il comma 3 stabilisce che il Comitato è presieduto dal Presidente del Consiglio dei ministri ed è composto: dall’Autorità delegata, ove istituita, dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell’interno, dal Ministro della giustizia, dal Ministro della difesa, dal Ministro dell’economia e delle finanze, dal Ministro dello sviluppo economico, dal Ministro della transizione ecologica, dal Ministro dell’università e della ricerca, dal Ministro delegato per l’innovazione tecnologica e la transizione digitale e dal Ministro delle infrastrutture e della mobilità sostenibili.
Il comma 4 dispone che le funzioni di segretario del Comitato sono svolte dal direttore generale dell’Agenzia per la cybersicurezza nazionale.
Il comma 5 stabilisce che possano partecipare alle sedute del Comitato, su chiamata del Presidente del Consiglio, anche a seguito di loro richiesta, senza diritto di voto (comma 5) i seguenti soggetti: altri componenti del Consiglio dei ministri; il direttore generale del DIS; il direttore dell’AISE; il direttore dell’AISI; altre autorità civili e militari di cui, di volta in volta, ritenga necessaria la presenza in relazione alle questioni da trattare.
Il comma 6 prevede che il Comitato svolge altresì le funzioni già attribuite al Comitato interministeriale per la sicurezza della Repubblica (CISR), di cui all’articolo 5 della Legge 3 agosto 2007, n. 124, dal decreto-legge perimetro e dai relativi provvedimenti attuativi, fatta eccezione per quelle previste dall’articolo 5 del medesimo decreto-legge perimetro.
Su Shop.Altalex.com è disponibile:Master pratico online reati informatici e cybersecurity9 ore – 9 incontri in aula virtuale, Altalex Formazione
Un novero di disposizioni del provvedimento in esame concerne la “Agenzia per la cybersicurezza nazionale”. Così l’articolo 5, che ne viene a prevedere la istituzione; l’articolo 6, che ne disciplina l’organizzazione; l’art. 7 che ne disciplina le funzioni; l’articolo 11, relativo a risorse finanziarie ed autonomia contabile; l’articolo 12, sul personale. Può ritenersi attinente anche l’articolo 14, circa le relazioni annuali che il Presidente del Consiglio è tenuto a trasmettere (al Parlamento e al COPASIR) sulle attività dell’Agenzia.
In particolare con riferimento all’art. 5, il comma 2 stabilisce che la neo istituita Agenzia abbia personalità giuridica di diritto pubblico e sia dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria, nei limiti di quanto previsto dal provvedimento.
Il comma 3 afferma che il direttore generale dell’Agenzia è nominato tra soggetti appartenenti a una delle categorie di cui all’articolo 18, comma 2, della legge n. 400 del 1988, in possesso di una documentata esperienza di elevato livello nella gestione di processi di innovazione. Gli incarichi del direttore generale e del vice direttore generale hanno la durata massima di quattro anni e sono rinnovabili, con successivi provvedimenti, per una durata complessiva massima di ulteriori quattro anni. È previsto che il Direttore generale ed il vicedirettore generale, ove provenienti da pubbliche amministrazioni, siano collocati fuori ruolo o in posizione di comando o altra analoga posizione, secondo gli ordinamenti di appartenenza. Per quanto previsto dal presente decreto, il direttore generale dell’Agenzia è il diretto referente del Presidente del Consiglio dei ministri e dell’Autorità delegata, ove istituita, ed è gerarchicamente e funzionalmente sovraordinato al personale dell’Agenzia. Il direttore generale ha la rappresentanza legale dell’Agenzia.
Il comma 5, come integrato in sede di conversione, afferma che l’Agenzia può richiedere, anche sulla base di apposite convenzioni e nel rispetto degli ambiti di precipua competenza, la collaborazione di altri organi dello Stato, di altre amministrazioni, delle forze armate, delle forze di polizia o di enti pubblici per lo svolgimento dei suoi compiti istituzionali.
Il comma 6 prevede che il COPASIR può chiedere l’audizione del direttore generale dell’Agenzia su questioni di propria competenza.
L’articolo 7, comma 1, alle lettere a)-aa), nel testo integrato, determina nel dettaglio le funzioni della “Agenzia per la cybersicurezza nazionale”, per cui è previsto:
- alla lettera a), che essa assicuri, nel rispetto delle competenze attribuite dalla normativa vigente ad altre amministrazioni, ferme restando le attribuzioni del Ministro dell’interno in qualità di autorità nazionale di pubblica sicurezza, il coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e promuove la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonché per il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore;
- alla lettera b), che la stessa sia tenuta alla predisposizione della strategia nazionale di cybersicurezza;
- alla lettera c), che si adoperi nello svolgimento di ogni necessaria attività di supporto al funzionamento del Nucleo per la cybersicurezza, di cui all’articolo 8;
- alla lettera d), che alla stessa compete il ruolo di punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, per le finalità di cui al decreto legislativo NIS, a tutela dell’unità giuridica dell’ordinamento, ed è competente all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative previste dal medesimo decreto;
- alla lettera e), che questa assolva alle funzioni di Autorità nazionale di certificazione della cybersicurezza e assume tutte le funzioni in materia di certificazione di sicurezza cibernetica già attribuite al Ministero dello sviluppo economico, comprese quelle relative all’accertamento delle violazioni ed all’irrogazione delle sanzioni;
- alla lettera f), che assuma tutte le funzioni in materia di cybersicurezza già attribuite dalle disposizioni vigenti al Ministero dello sviluppo economico;
- alla lettera g), che la stessa partecipi alle esercitazioni nazionali e internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;
- alla lettera h) che l’Autorità si adoperi nella cura e promozione, nonché la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale. A tal fine, l’Agenzia esprime pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza;
- alla lettera i), che la medesima assuma le funzioni già attribuite al Dipartimento delle informazioni per la sicurezza (DIS), di cui all’articolo 4 della legge 3 agosto 2007, n. 124; l) provvede, sulla base delle attività di competenza del Nucleo per la cybersicurezza di cui all’articolo 8, alle attività necessarie per l’attuazione e il controllo dell’esecuzione dei provvedimenti assunti dal Presidente del Consiglio dei ministri ai sensi dell’articolo 5 del decreto-legge perimetro;
- alla lettera m), che provveda alla stipula di accordi bilaterali e multilaterali, anche mediante il coinvolgimento del settore privato e industriale, con istituzioni, enti e organismi di altri Paesi per la partecipazione dell’Italia a programmi di cybersicurezza, assicurando il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cyber- sicurezza, ferme restando le competenze del Ministero degli esteri e della cooperazione internazionale;
- alla lettera m-bis), che assuma le iniziative idonee a valorizzare la crittografia come strumento di cybersicurezza, anche attraverso un’apposita sezione dedicata nell’ambito della strategia di cui alla lettera b). In particolare, l’Agenzia attiva ogni iniziativa utile volta al rafforzamento dell’autonomia industriale e tecnologica dell’Italia, valorizzando lo sviluppo di algoritmi proprietari nonché la ricerca e il conseguimento di nuove capacità crittografiche nazionali;
- alla lettera m-ter), che provveda alla qualificazione dei servizi cloud per la pubblica amministrazione;
- alla lettera n) che si adoperi nello sviluppo delle capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, anche attraverso il CSIRT Italia di cui all’articolo 8 del decreto legislativo NIS. A tale fine, promuove iniziative di partenariato pubblico-privato, per rendere effettive tali capacità;
- alla lettera o), che partecipi alle esercitazioni nazionali e internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;
- alla lettera p), che sia adoperi nella cura e promozione della definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale. A tal fine, l’Agenzia esprime pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza;
- alla lettera q), che coordini, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza. Nell’ambito dell’Unione europea e a livello internazionale, l’Agenzia cura i rapporti con i competenti organismi, istituzioni, ed enti, nonché segue nelle competenti sedi istituzionali le tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni;
- alla lettera r) che supporti negli ambiti di competenza, mediante il coinvolgimento del sistema dell’università e della ricerca nonché del sistema produttivo nazionali, lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche. A tali fini, l’Agenzia può promuovere, sviluppare e finanziare specifici progetti ed iniziative, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca nel settore. L’Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza. L’Agenzia può altresì promuovere la costituzione di aree dedicate allo sviluppo dell’innovazione finalizzate a favorire la formazione e il reclutamento di personale nei settori avanzati dello sviluppo della cybersicurezza, nonché promuovere la realizzazione di studi di fattibilità e di analisi valutative finalizzate a tale scopo e, in particolare, con il Ministero della difesa per gli aspetti inerenti alla ricerca militare;
- alla lettera s), che si adoperi nella stipula di accordi bilaterali e multilaterali, anche mediante il coinvolgimento del settore privato e industriale, con istituzioni, enti e organismi di altri Paesi per la partecipazione dell’Italia a programmi di cybersicurezza, assicurando il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza, ferme restando le competenze del Ministero degli esteri e della cooperazione internazionale;
- alla lettera t), che si adoperi nella promozione, il sostegno e il coordinamento della partecipazione italiana a progetti e iniziative dell’Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi, ferme restando le competenze del Ministero degli esteri e della cooperazione internazionale. L’Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza e, in particolare, con il Ministero della difesa per gli aspetti inerenti a progetti e iniziative in collaborazione con la NATO e con l’Agenzia Europea per la Difesa;
- alla lettera u), che svolga attività di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia;
- alla lettera v), che promuova la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, in particolare favorendo l’attivazione di percorsi formativi universitari in materia, anche attraverso l’assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati ; nello svolgimento di tali compiti, l’Agenzia può avvalersi anche delle strutture formative e delle capacità della Presidenza del Consiglio dei ministri, del Ministero della difesa e del Ministero dell’interno, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri, di concerto con i Ministri interessati;alla lettera v-bis), che possa predisporre attività di formazione specifica riservate ai giovani che aderiscono al servizio civile regolate sulla base di apposite convenzioni. In ogni caso, il servizio prestato è, a tutti gli effetti, riconosciuto come servizio civile;
- alla lettera z), che possa costituire e partecipare a partenariati pubblico-privato sul territorio nazionale, nonché (previa autorizzazione del Presidente del Consiglio) a consorzi, fondazioni o società con soggetti pubblici e privati, italiani e stranieri;
- alla lettera aa), che sia riconosciuta quale Centro nazionale di coordinamento, ai sensi del regolamento (UE) 2021/887 che istituisce il Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento (e che prevede, all’articolo 6, che ogni Stato membro designi entro il 31 dicembre 2021 un ente che agisca appunto quale centro nazionale di coordinamento, ai fini dell’attività del Centro europeo).
Presso l’Agenzia, è prevista la costituzione di un “Nucleo per la cybersicurezza”, per profili attinenti a eventuali situazioni di crisi. Ne trattano gli articoli 8 e 9. Quanto alla gestione delle crisi che coinvolgano aspetti della cibersicurezza, ne tratta l’articolo 10.
L’articolo 13 ha per oggetto la trattazione dei dati personali per finalità di sicurezza nazionale cibernetica.
L’articolo 15 detta una serie di novelle al decreto legislativo 18 maggio 2018, n. 65 (di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione) onde armonizzarlo con l’impianto normativo proprio del decreto-legge n. 82 in esame. L’articolo 16 novella, al medesimo scopo, alcuni altri atti normativi.
Chiudono disposizioni transitorie e finali (articolo 17) e finanziarie (articolo 18).
Il provvedimento normativo, anche alla luce della successiva conversione in legge, conferma la volontà del legislatore di definire con particolare precisione l’intera architettura nazionale della cybersicurezza individuando con notevole meticolosità i compiti e l’organizzazione della costituenda agenzia nazionale che avrà molto da fare in considerazione dei frequenti attacchi informatici che ormai coinvolgono sempre di più le amministrazioni pubbliche (basta vedere il recente attacco hacker alla Regione Lazio che ha rivelato le profonde falle in materia di sicurezza informatica che riguardano non solo gli aspetti tecnici, ma anche e principalmente quelli organizzativi e comunicativi). Proprio queste ultime vicende fanno comprendere come, nel delicato settore della cybersecurity, non sia sufficiente l’esistenza di un adeguato panorama normativo ma è fondamentale una indiscussa competenza sul fronte tecnico, strategico, giuridico, organizzativo del personale preposto.
Di M. Iaselli
D.L. N. 82/2021, TESTO COORDINATO >> SCARICA IL PDF