L’Agenzia per la Cybersicurezza Nazionale: cosa fa e come opera

di Giovanni Finetto e Paola Finetto

Con il D.L. 14 giugno 2021 n. 82, convertito, con modificazioni, dalla Legge 4 agosto 2021 n. 109, è stata istituita l’Agenzia per la Cybersicurezza Nazionale (di seguito ACN o Agenzia). Il 5 agosto 2021 il Presidente del Consiglio dei Ministri, all’esito del Consiglio dei Ministri di pari data e previa comunicazione al Presidente del COPASIR (Comitato parlamentare per la sicurezza della Repubblica) e alle Commissioni parlamentari competenti, ha nominato il Prof. Roberto Baldoni Direttore Generale dell’ACN. Il 7 settembre 2021 è stato pubblicato il primo documento elaborato dall’Agenzia: “Strategia Cloud Italia – Documento Sintetico di Indirizzo Strategico per l’implementazione e il controllo del Cloud della P.A.1”. Tra il 24 e il 27 dicembre 2021 sono stati pubblicati i regolamenti attuativi dell’ACN: il regolamento di organizzazione e funzionamento2, il regolamento del personale3 e il regolamento di contabilità4. Il 26 gennaio 2022 è stato siglato il Protocollo d’intesa tra l’ACN e il Garante per la Protezione dei Dati Personali allo scopo di rafforzare la cooperazione nell’ambito della sicurezza cibernetica e della protezione dei dati personali5. Il 25 maggio 2022 è stata pubblicata la Strategia Nazionale di Cybersicurezza 2022-20266 con il relativo Piano di implementazione7. Il 30 giugno 2022 è stato pubblicato in Gazzetta Ufficiale il DPCM del 15 giugno 2022 “Definizione dei termini e delle modalità del trasferimento di funzioni, beni strumentali e documentazione dal Ministero dello sviluppo economico all’Agenzia per la cybersicurezza nazionale”, volto a rafforzare l’operatività dell’Agenzia.
L’istituzione e la progressiva operatività dell’ACN dimostrano quanto il rischio cyber sia percepito non solo come reale – il che è incontestabile – ma soprattutto come non lontano da noi. La sicurezza informatica è del pari considerata una esigenza, tanto quanto la sicurezza fisica: proteggere le strutture telematiche in termini di disponibilità, confidenzialità e integrità dei dati e degli strumenti costituisce un obiettivo primario, al fine di mitigare i rischi causati dai sempre più numerosi attacchi hacker. La sicurezza informatica altro non è che la cybersecurity, intesa come garanzia di robustezza, capacità di reazione e resilienza, che un sistema tecnologico-informativo deve possedere by design per affrontare attacchi criminali. La minaccia cibernetica si manifesta con aggressioni dalle caratteristiche tecniche differenziate ma con obiettivi comuni (individui, aziende, istituzioni, infrastrutture) e ha dimostrato, soprattutto negli ultimi due anni, di poter compromettere anche la sicurezza di realtà ben più complesse, come quelle nazionali: ecco perché l’ambito di interesse e di azione di una strategia di cybersecurity ricomprende non solo l’aspetto informatico, ma anche – e prima di tutto – quello organizzativo e sociale. La cybersicurezza è, dunque, il tentativo di ridurre le vulnerabilità di sistema, trasformando il cyberspazio in un ambiente più sicuro senza dover rinunciare alle opportunità che questo mette a disposizione degli utenti.  
In questo contesto di sempre maggiore “fame di sicurezza” nel mondo digitale, l’ENISA (Agenzia dell’Unione europea per la cybersicurezza) ha organizzato una esercitazione sulla cybersicurezza con l’obiettivo specifico di testare la risposta agli attacchi contro le infrastrutture e i servizi sanitari dell’UE, sempre più nel mirino dei criminali informatici8. Lo scopo dell’esercitazione era comprendere come, a livello nazionale ed europeo, si sarebbe in grado di coordinarsi e reagire nel caso in cui le infrastrutture e i servizi sanitari in Europa fossero oggetto di un grave attacco informatico. Con questo intento, l’ENISA ha organizzato Cyber Europe 20229, uno scenario simulato, nel quale si è anzitutto messa in atto una campagna di disinformazione incentrata su risultati di laboratorio manipolati e da un attacco informatico alle reti ospedaliere europee, si è poi simulata una crisi cibernetica europea caratterizzata dalla minaccia di divulgazione di dati personali sanitari personali, accompagnata da una ulteriore campagna di disinformazione volta a screditare un dispositivo medico impiantabile a causa di una sua intrinseca vulnerabilità. Questa esercitazione ha coinvolto 29 Paesi dell’Unione Europea e dell’Associazione europea di libero scambio (EFTA), nonché le agenzie e le istituzioni dell’UE, il Computer Emergency Response Team delle istituzioni europee, l’Europol e l’Agenzia europea per i medicinali (EMA), oltre a più di 800 esperti di cybersicurezza. Nel comunicato stampa diffuso dall’ENISA si legge che i partecipanti hanno infine espresso soddisfazione per il modo in cui gli attacchi hacker e gli incidenti di sicurezza oggetto di simulazione sono stati affrontati e gestiti. Cyber Europe 2022 si aggiunge alle cinque precedenti esercitazioni paneuropee organizzate dall’ENISA in materia di cybersicurezza nel 2010, 2012, 2014, 2016 e 2018.
In Italia, la crescente attenzione e preoccupazione di fronte alla escalation di attacchi informatici, rivolti anche a strutture e organizzazioni che erogano servizi essenziali per il sistema Paese (ad esempio, in ambito sanitario, bancario-finanziario, dei trasporti), e la progressiva consapevolezza della importanza di coordinare e rafforzare, a livello centrale, la sicurezza informatica, hanno portato alla istituzione dell’Agenzia per la Cybersicurezza Nazionale. Si tratta di un’autorità che si propone di sviluppare e concretamente attuare una strategia nazionale di cybersicurezza, nonché di promuovere e coordinare iniziative di informazione, formazione e operative nel contesto cibernetico. Il legislatore (art. 1 D.L. 82/2021) ha anche colto l’occasione per specificare il significato del termine cybersicurezza, intendendo con questa espressione
“l’insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità e garantendone la resilienza, anche ai fini, come specificato dalle Commissioni in sede referente, della tutela della sicurezza nazionale e dell’interesse nazionale nello spazio cibernetico”.
L’ACN è stata istituita con lo scopo di rafforzare la sicurezza del Paese e, dunque, favorire un sistema organico di gestione e prevenzione dei rischi cibernetici ma pure promuovere l’indipendenza nazionale da sistemi tecnologici extra UE. In questo contesto l’Agenzia si propone altresì di sviluppare e ottimizzare la capacità di resilienza nazionale nello spazio cibernetico, definita (art. 1 D.L. 82/2021) come 
“le attività volte a prevenire un pregiudizio alla sicurezza nazionale, ossia un danno all’indipendenza, all’integrità o alla sicurezza della Repubblica e delle istituzioni democratiche poste dalla Costituzione a suo fondamento, ovvero agli interessi politici, militari, economici, scientifici e industriali dell’Italia, conseguente all’interruzione o alla compromissione di una funzione essenziale dello Stato o di un servizio essenziale”.
Nel concreto, l’operatività dell’Agenzia è volta a favorire l’autonomia strategica nazionale ed europea, con sostegno ai soggetti pubblici e privati che erogano servizi essenziali, altresì collaborando con le strutture produttive e di ricerca in ambito cibernetico. A tal fine, l’ACN si occupa anche di promuovere attività formative per sensibilizzare organizzazioni e utenti sui rischi e sulle sfide della dimensione digitale. L’Agenzia opera attraverso una struttura organizzativa complessa, che favorisce interventi capillari e lo sviluppo di strategie di prevenzione e gestione degli incidenti di sicurezza informatica, con particolare riferimento alla implementazione di sistemi di monitoraggio, analisi e risposta basati su un approccio multidimensionale di gestione del rischio. L’Agenzia è suddivisa in sette uffici di livello dirigenziale generale e presenta varie articolazioni di livello dirigenziale non generale, inoltre include, tra gli altri:

  • il Computer Security Incident Response Team nazionale (“CSIRT Italia”), tra i cui compiti vi sono quelli di monitorare gli incidenti di sicurezza a livello nazionale; emettere preallarmi, allerte, annunci e divulgazione di informazioni in merito a rischi e incidenti; intervenire in caso di incidente; eseguire l’analisi dinamica dei rischi e degli incidenti; stabilire relazioni di cooperazione con il settore privato;
  • il Centro di Valutazione e Certificazione Nazionale, volto ad effettuare una valutazione degli asset digitali strategici nazionali;
  • il Centro Nazionale di Coordinamento per la cybersicurezza, che si occupa dei programmi di sviluppo tecnologico europeo e delle attività di cybersecurity del PNRR, con lo scopo di perfezionare la resilienza cibernetica nazionale.

L’area di intervento dell’Agenzia può essere scomposta in tre settori: attività nazionali, tavoli finalizzati al coordinamento interministeriale, e, infine, sviluppo ed attuazione di attività internazionali. Nello specifico, per quanto riguarda le attività nazionali, l’Agenzia, attraverso il Comitato Interministeriale per la Cybersicurezza (CIC), svolge un ruolo consultivo, propositivo e di vigilanza in tema di politiche di cybersicurezza. Tra l’altro, formula proposte di indirizzi generali rivolte al Presidente del Consiglio e vigila sulla corretta attuazione della Strategia Nazionale di Cybersicurezza. A livello nazionale, l’ACN partecipa poi anche al Nucleo Interministeriale Situazione e Pianificazione (NISP) oltre che al Comitato Interministeriale per la Sicurezza della Repubblica (CISR) per la gestione di crisi che possono emergere in ambito cibernetico. Inoltre, attraverso la partecipazione ai tavoli finalizzati al coordinamento interministeriale, l’ANC definisce la rilevanza nazionale all’interno dei negoziati, a livello ONU, della Convenzione internazionale sul contrasto all’uso delle tecnologie dell’informazione e della comunicazione a fini criminali, e raccoglie gli atti governativi – anche in tema di intelligenza artificiale – per l’armonizzazione e la condivisione a livello nazionale delle diverse discipline in vigore. Infine, con riferimento alle attività internazionali, l’ACN, oltre a svolgere ruoli di rappresentanza del Paese, coordina la cooperazione internazionale in tema di cybersecurity, cura i rapporti con le relative istituzioni, organismi ed enti (europei ed internazionali) e partecipa attivamente al Horizontal Working Party on Cyber Issues (HWPCI) del Consiglio UE, con l’obiettivo di integrare le attività del Consiglio con le singole attività legislative nell’ottica di un approccio omogeneo ai rischi cibernetici. A ciò si aggiunge la partecipazione dell’Agenzia alle attività di cooperazione multilaterale promosse dalla NATO, dall’OSCE, dalle Nazioni Unite e dal G7.
Il 25 maggio 2022, come sopra ricordato, è stata pubblicata la Strategia Nazionale di Cybersicurezza 2022-2026, con lo scopo precipuo di affrontare, gestire, mitigare ma, anzitutto, prevenire la minaccia di crisi cyber in Italia, con la declinazione di 82 misure da raggiungere entro il 2026. Nello specifico, la strategia in commento ha lo scopo di:

  • garantire la transizione digitale cyber resiliente della Pubblica Amministrazione e del tessuto produttivo;
  • prevenire crisi cibernetiche e la disinformazione online;
  • assicurare lo sviluppo di uno spazio di autonomia strategica nazionale ed europeo nel settore digitale.

Inoltre, poiché l’attività dell’Agenzia implica necessariamente la raccolta e l’utilizzo di dati personali per finalità di sicurezza nazionale, l’art 13 D.L. 82/2021 prevede che ciò avvenga anche nel rispetto della disciplina di cui all’art. 58, commi 2 e 3, D.Lgs. 196/2003 in materia di protezione dei dati personali. Contestualmente, è stata avviata una stretta collaborazione tra l’Agenzia e il Garante per la Protezione dei Dati Personali allo scopo di agevolare lo scambio di informazioni (ad esempio, con riferimento alle violazioni di sicurezza con impatto cibernetico) e promuovere pratiche virtuose e condivise in tema di sicurezza cibernetica. La Strategia Nazionale di Cybersicurezza 2022-2026, dunque, tende a rafforzare e, anzi, rendere centrale la presenza dello Stato nella definizione di adeguate strategie di cybersicurezza volte a pianificare, coordinare e attuare misure tese a rendere il Paese sicuro e resiliente anche nel contesto digitale, assicurando, al contempo, la piena tutela dei diritti e delle libertà fondamentali.
La sicurezza informativa è davvero una questione di importanza strategica per il sistema Paese ed è alla base del processo di progressiva digitalizzazione e trasformazione digitale che l’Italia sta affrontando. Investire nella sicurezza cibernetica è, dunque, un’autentica opportunità: per rendere l’Italia autonoma nello sviluppo e nella fruizione di servizi digitali, per favorire lo sviluppo dell’economia e dell’industria nazionale, per favorire il progresso culturale digitale, per assicurare la più ampia difesa dei diritti e delle libertà fondamentali di noi cittadini.

  1. https://assets.innovazione.gov.it/1634299755-strategiacloudit.pdf ↩︎
  2. https://www.gazzettaufficiale.it/eli/gu/2021/12/27/306/so/47/sg/pdf ↩︎
  3. https://www.gazzettaufficiale.it/eli/gu/2021/12/27/306/so/47/sg/pdf ↩︎
  4. https://www.gazzettaufficiale.it/eli/gu/2021/12/24/305/sg/pdf ↩︎
  5. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9739921 ↩︎
  6. https://www.acn.gov.it/ACN_Strategia.pdf ↩︎
  7. https://www.acn.gov.it/ACN_Implementazione.pdf ↩︎
  8. https://www.acn.gov.it/ACN_Implementazione.pdf ↩︎
  9. https://www.enisa.europa.eu/news/enisa-news/cyber-europe-2022-testing-the-resilience-of-the-european-healthcare-sector ↩︎

NEWS

I PIÙ LETTI

Load more