Premessa. Con il DL 14 Giugno 2021 n. 82 è stata istituita l’Agenza per la Cybersicurezza Nazionale (ACN) che, tra le varie competenze, ha anche quella di predisporre la Strategia nazionale di cybersicurezza (art. 7) che viene poi adottata dal Presidente del Consiglio dei Ministri (art. 2).

Punto di partenza della Strategia Nazionale di Cybersicurezza 2022-2026 è la considerazione che, da un lato, la migrazione verso il digitale sia un elemento fondamentale nelle società contemporanee e, dall’altro, che tale processo non è privo di rischi e che, anzi, nel corso degli anni, i pericoli in materia di cybersicurezza si sono ampliati e sono divenuti più complessi. Tra questi, ad esempio:

  • Gli attacchi cyber dovuti a cybercriminali, attivisti o a campagne statuali coordinate, che sfruttano errori per sottrarre dati o arrecare danni ai sistemi;
  • I rischi che provengono da tecnologie impiegate sviluppate e prodotte da grandi realtà aziendali che siano controllate o, comunque, influenzate nel loro operato dai Governi in cui hanno sede, con conseguenti possibili ingerenze nella catena degli approvvigionamenti;
  • La diffusione, attraverso lo spazio cibernetico, di fake news, deepfake e campagne di disinformazione che tendono a confondere e destabilizzare i cittadini di un Paese.

In un simile scenario, dunque, secondo la Strategia, rientra tra i doveri dello Stato quello di definire adeguate strategie di cybersicurezza, da porsi a fondamento del processo di digitalizzazione del Paese e in un’ottica di investimento (e non di costo); accanto a ciò, sottolinea la Strategia, un ruolo fondamentale è giocato dal progresso culturale sul tema, in un approccio “whole-of-society” che coinvolga operatori privati, mondo accademico, società civile e cittadinanza tutta.

È in questo quadro, dunque, che si colloca l’ACN e la Strategia Nazionale di Cybersicurezza 2022-2026.

 

L’Agenzia per la Cybersicurezza Nazionale. Obiettivo fondamentale dell’ACN è quello di razionalizzare e semplificare il frammentato sistema di competenze esistenti a livello nazionale in campo di cybersicurezza, nell’ottica di valorizzare gli aspetti di sicurezza e resilienza cibernetiche.

In questo senso, oltre ad una serie di competenze specifiche che le vengono attribuite dall’art. 7 del DL 82/2021, l’ACN si configura quale unico soggetto governativo in materia di cybersicurezza, ossia, per usare la terminologia della Strategia Nazionale di cybersicurezza 2022-2026, come ulteriore pilastro a completamento di quelli già esistenti.

I quattro pilastri tecnico-operativi. Il DL 82/2021, infatti, attua una riorganizzazione dell’architettura nazionale di cybersicurezza, articolata così nei quattro pilastri della Strategia 2022-2026:

  • L’Agenzia per la cybersicurezza nazionale, con competenze in ambito di cybersicurezza e resilienza;
  • L’attività di prevenzione e di contrasto alla criminalità informatica, realizzata da una serie di corpi e servizi nella Polizia di Stato, nel Dipartimento di Pubblica Sicurezza, nel Ministero dell’Interno, nell’Arma dei Carabinieri e nella Guardia di Finanza;
  • L’attività di difesa e della sicurezza dello Stato, con il ruolo del Ministero della Difesa nell’ambito della definizione e del coordinamento della politica militare, della governance e delle capacità militari in ambito cibernetico;
  • L’attività di ricerca e di elaborazione informativa, per la tutela degli interessi politici, militari, economici, scientifici e industriali dell’Italia, affidata al Comparto intelligence.

 

Le sfide da affrontare. La Strategia elenca le sfide, inerenti al rafforzamento della resilienza nella transizione digitale del sistema Paese, che devono essere affrontate:

  • Transizione digitale cyber resiliente della PA e del tessuto produttivo;
  • Autonomia strategica nazionale ed europea nel settore del digitale;
  • Anticipazione dell’evoluzione della minaccia cyber;
  • Gestione di crisi cibernetiche;
  • Contrasto alla disinformazione online nel più ampio contesto della cd. minaccia ibrida.

I fondi. Per far fronte a simili impegni, sono previste varie e diversificate fonti di finanziamento; tra queste:

  • Fondi nazionali: quota percentuale (1,2%) degli investimenti nazionali lordi su base annuale;
  • Finanziamenti provenienti dai programmi Orizzonte Europa (bilancio totale europeo 2021-2027: 95,51 miliardi di euro) ed Europa Digitale (bilancio totale europeo 2021-2027: 7,59 miliardi di euro);
  • PNRR: nell’ambito della Missione 1 “Digitalizzazione, Innovazione, Competitività, Cultura e Turismo” sono incluse le attività di transizione digitale della Pubblica Amministrazione, quali il progetto del Cloud Nazionale e la digitalizzazione dei processi e servizi per i cittadini, la cui realizzazione porterà al potenziamento delle capacità di resilienza delle infrastrutture e dei servizi digitali del Paese; per i Comuni, le risorse disponibili in quest’ambito ammontano a 1,29 mld.

Più nello specifico, nell’ambito della Missione 1 è previsto lo specifico Investimento 1.5 “Cybersecurity” – pari a 623 milioni di euro – rimesso all’Agenzia per la Cybersicurezza Nazionale quale Soggetto Attuatore, in cui si prevede la realizzazione di specifiche progettualità per la creazione e lo sviluppo di servizi all’avanguardia per la gestione del rischio cyber, con strette connessioni, a livello nazionale e internazionale, con tutti i principali partner della Pubblica Amministrazione, dell’impresa e dei fornitori di tecnologia.

 

Gli obiettivi da perseguire. La Strategia delinea, inoltre, tre obiettivi fondamentali da perseguire: si tratta, nello specifico, degli obiettivi di protezione, risposta e sviluppo.

  • L’obiettivo-protezione:
  1. il potenziamento delle capacità del Centro di Valutazione e Certificazione Nazionale (CVCN) dell’Agenzia per la Cybersicurezza Nazionale;
  2. la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente in materia di cybersicurezza, che tenga conto degli orientamenti e degli sviluppi in ambito europeo ed internazionale;
  3. la conoscenza approfondita del quadro della minaccia cibernetica e il possesso di adeguati strumenti tecnici, competenze specialistiche e capacità operative;
  4. il potenziamento del livello di maturità delle capacità cyber della Pubblica Amministrazione, assicurando una trasformazione digitale sicura e resiliente (in particolare, la transizione verso il Cloud della Pubblica Amministrazione, sia verso tecnologie di Public Cloud che mediante la creazione di un Polo Strategico Nazionale per garantire adeguati livelli di autonomia tecnologica del Paese);
  5. lo sviluppo di capacità di protezione per le infrastrutture nazionali;
  6. la promozione dell’uso della crittografia come strumento di cybersicurezza;
  7. l’implementazione di un’azione di coordinamento nazionale per prevenire e contrastare la disinformazione online.
  • L’obiettivo-risposta:
  1. un sistema di gestione crisi cibernetica nazionale e transnazionale;
  2. l’integrazione degli attuali servizi cyber nazionali in nuovi ambiti;
  3. l’organizzazione di periodiche esercitazioni di sicurezza cibernetica e resilienza;
  4. il contrasto al cybercrime, declinato nella prevenzione e nel contrasto delle attività criminali di matrice comune, organizzata e terroristica;
  5. il rafforzamento delle capacità di deterrenza in ambito cibernetico.
  • L’obiettivo-sviluppo:
  1. il ruolo del Centro Nazionale di Coordinamento (NCC) che, in stretto raccordo con il Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca (ECCC), è chiamato a supportare lo sviluppo e il potenziamento dell’autonomia strategico-tecnologica e digitale dell’Unione europea e del nostro Paese;
  2. lo sviluppo di tecnologia nazionale ed europea, così da ridurre la dipendenza da tecnologie extra-UE;
  3. la realizzazione di un “parco nazionale della cybersicurezza” che, mettendo a sistema competenze e risorse provenienti dalla Pubblica Amministrazione, dall’industria e dal mondo accademico e della ricerca, fornisca tutte le infrastrutture tecnologiche necessarie allo svolgimento di attività di ricerca e sviluppo nell’ambito della cybersecurity e delle tecnologie digitali;
  4. l’introduzione di nuovi meccanismi e soluzioni incentivanti per continuare a supportare lo sviluppo industriale, tecnologico e della ricerca;
  5. il continuo impulso all’innovazione tecnologica e alla digitalizzazione della Pubblica Amministrazione e del tessuto produttivo del Paese, assicurando una costante rispondenza ai principi di cybersicurezza e facendo ricorso alle risorse messe a disposizione dal PNRR; ciò va di pari passo con il rafforzamento dell’autonomia industriale e tecnologica dell’Italia.

I fattori abilitanti. Connessi con i tre obiettivi e trasversali ad essi sono, infine, i fattori abilitanti, quali:

  • la formazione in ambito cyber, con particolare focus sulle nuove tecnologie; ciò può avvenire mediante:
  1. la familiarizzazione degli studenti con le nuove tecnologie informatiche;
  2. i meccanismi incentivanti che promuovano l’inserimento in carriere tecnico-scientifiche (cercando anche di colmare il divario di genere presente in esse);
  3. il continuo aggiornamento della didattica e della preparazione del corpo docente;
  4. il dispiegamento di fondi per la formazione specialistica e l’aggiornamento professionale nei settori pubblico e privato;
  5. la realizzazione di un sistema nazionale di certificazione di tali professionalità;
  6. i percorsi di formazione specifici per i non specialisti della materia, rivolti ai dipendenti di Pubbliche Amministrazioni e soggetti privati;
  7. il potenziamento delle capacità di cyber diplomacy.
  • la promozione della cultura della sicurezza cibernetica; ciò può avvenire mediante:
  1. la previsione di un programma capillare di educazione digitale, anche per l’acquisizione di capacità di verificare i contenuti e le informazioni reperite online;
  2. una forte sensibilizzazione delle risorse all’interno delle organizzazioni pubbliche e private;
  3. l’adozione di strumenti di autovalutazione basati su specifici “cyber index”.
  • la cooperazione, da incrementare a tutti i livelli; in particolare:
  1. sul fronte nazionale, a livello governativo, nel rapporto pubblico-privato, pubblico-pubblico, con accademia e ricerca;
  2. in ambito internazionale, partecipando in modo proattivo alle iniziative europee e internazionali e promuovendo collaborazioni bilaterali.

Il Piano di Implementazione della Strategia Nazionale. Insieme Strategia Nazionale, viene adottato anche il Piano di Implementazione. In particolare, il Piano si articola in 82 misure, coerenti con gli obiettivi della Strategia, alcune delle quali coinvolgono anche Regioni e Province Autonome.

(a cura di Marco De Pasquale)