In questo articolo facciamo il punto sull’Agenzia per la Cybersicurezza Nazionale: cos’è, come funziona, i suoi compiti e la normativa che la regolamenta. Un focus anche sulla Strategia nazionale di Cybersicurezza 2022-2026.
Fra le ultime novità normative relative al funzionamento dell’Agenzia, segnaliamo la recente emanazione del DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 8 luglio 2024 con la ripartizione delle risorse economiche per l’attuazione della Strategia nazionale di Cybersicurezza.
Nell'articolo
Agenzia per la Cybersicurezza nazionale: la normativa
In questa sezione riportiamo i principali provvedimenti che aggiornano l’attività dell’Agenzia per la Cybersicurezza nazionale: dal DL Cybersicurezza convertito.
DECRETO LEGGE 82/2021 convertito con modificazioni dalla L. 4 agosto 2021, n. 109 (in G.U. 4/8/2021, n. 185). | Decreto istitutivo dell’Agenzia Nazionale per la Cybersicurezza |
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 1 settembre 2022 | Decreto di trasferimento all’Agenzia delle funzioni in materia di cybersicurezza già assicurate dall’Agenzia per l’Italia digitale (Agid) e dal Dipartimento per la trasformazione digitale |
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI del 17 maggio 2022 | Decreto di approvazione della Strategia nazionale di Cybersicurezza 2022-2026 |
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 8 luglio 2024 | Ripartizione del Fondo per l’attuazione della strategia nazionale di cybersicurezza e del Fondo per la gestione della cybersicurezza |
Di seguito l’analisi dei provvedimenti normativi presentati in Tabella.
Che cos’è la Cybersecurity
Il DL 82/2021 definisce “Cybersicurezza” l’insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità, e garantendone altresì la resilienza.
La sicurezza informatica o per meglio dire la sicurezza delle informazioni, abbraccia aspetti umani ed organizzativi in un approccio a tutto tondo.
IL DECRETO CYBERSICUREZZA
DL 82/2021: istituzione dell’Agenzia per la Cybersicurezza
In Gazzetta ufficiale (GU Serie Generale n.185 del 04-08-2021) la LEGGE 4 agosto 2021, n. 109 di conversione con modificazioni, del decreto-legge 14 giugno 2021, n. 82. Il Decreto Cybersicurezza, anticipato nel Consiglio dei Ministri del 10 giugno, detta «Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale» qui il Testo coordinato con le modifiche intervenute in sede di conversione).
In vigore dal 15 giugno 2021 il decreto è operativo dal 5 agosto 2021 e istituisce l’Agenzia per la cybersicurezza nazionale (ACN) (art.5).
L’Agenzia ha come finalità la promozione della cultura della sicurezza cibernetica, la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.
A seguire, vediamo come il DL 82/2020 convertito:
- definisce la struttura dell’Agenzia e la sua organizzazione sotto la responsabilità del Presidente del Consiglio
- identifica i compiti l’Agenzia e come attuerà la strategia di cyber-resilienza nazionale, avviata con il Decreto sul perimetro cibernetico (DPR 54/2021),
- istituisce il Comitato interministeriale per la cybersicurezza (CIC) (art.4), il Nucleo per la Cybersicurezza (art.8) e prevede specifici poteri di controllo da parte del Comitato parlamentare per la sicurezza della Repubblica (COPASIR).
- Infine, il DL 82/2021 definisce i collegamenti dell’Agenzia con il Centro di Competenza europeo.
Compiti dell’Agenzia per la Cybersicurezza Nazionale (ACN)
L’Agenzia opererà sotto la responsabilità del Presidente del Consiglio dei ministri e dell’Autorità delegata per la sicurezza della Repubblica e in stretto raccordo con il Sistema di informazione per la sicurezza della Repubblica (art.2). Il Presidente
- adotta la strategia nazionale di cybersicurezza (art.2), sentito il Comitato interministeriale per la cybersicurezza (CIC);
- nomina e revoca il direttore generale e il vice direttore generale dell’Agenzia per la cybersicurezza;
- impartisce le direttive per la cybersicurezza ed emana ogni disposizione necessaria per l’organizzazione e il funzionamento dell’Agenzia.
Com’è composta l’Agenzia per la Cybersicurezza?
La sua composizione è regolamentata all’art.6 del DL n.82/2021. Un prossimo Regolamento (da approvarsi entro 120 giorni dall’entrata in vigore del DL) definirà organizzazione e funzionamento dell’Agenzia che conterà fino ad un numero massimo di:
- otto uffici di livello dirigenziale generale;
- trenta articolazioni di livello dirigenziale non generale nell’ambito delle risorse disponibili.
Cos’è e cosa fa il Comitato interministeriale per Cybersicurezza
Il DL 82/2021 istituisce (art.4) il Comitato interministeriale per la cybersicurezza (CIC) presso la Presidenza del Consiglio dei ministri, con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.
Quali sono le funzioni del Comitato?
- a) propone al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale;
- b) esercita l’alta sorveglianza sull’attuazione della strategia nazionale di cybersicurezza;
- c) promuove l’adozione delle iniziative necessarie per favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonché per la condivisione delle informazioni e per l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza;
- d) esprime il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cybersicurezza nazionale.
Il direttore generale dell’Agenzia svolge le funzioni di segretario del Comitato.
Il Comitato svolge anche le funzioni già attribuite al CISR dal DL 105/2019, il decreto-legge perimetro e dai relativi provvedimenti attuativi, fatta eccezione per quelle previste dall’articolo 5 (rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e servizi e casi di crisi cibernetica).
Qual è il ruolo del Nucleo per la cybersicurezza?
Viene affiancata dal Nucleo per la cybersicurezza (art.8), a supporto del Presidente del Consiglio dei ministri, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento. Il Nucleo è presieduto dal direttore generale dell’Agenzia o dal vice direttore generale da lui designato ed è composto
- dal Consigliere militare del Presidente del Consiglio dei ministri,
- da un rappresentante
- del DIS
- dell’AISE
- dell’AISI
- di ciascuno dei Ministeri rappresentati nel Comitato, del Ministero dell’università e della ricerca,
- del Ministro delegato per l’innovazione tecnologica e la transizione digitale e del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri.
Per gli aspetti relativi alla trattazione di informazioni classificate il Nucleo è integrato da un rappresentante dell’Ufficio centrale per la segretezza.
Cosa può fare il Nucleo?
Il Nucleo può, fra l’altro: (art.9)
- formulare proposte di iniziative in materia di cybersicurezza del Paese;
- promuovere a programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati;
- curare lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese
- viene coinvolto nelle crisi che coinvolgono la cybersicurezza (art.10).
Di cosa si occuperà l’Agenzia per la Cybersicurezza?
Sarà tra l’altro incaricata (art.7 del DL n.82/2021) di:
- esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche;
- sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale;
- contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
- supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
- assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica.
Chi controlla l’attività della Agenzia?
Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei ministri deve trasmettere al Parlamento una relazione sull’attività svolta dall’Agenzia nell’anno precedente, in materia di cybersicurezza nazionale (art.14).
Entro il 30 giugno di ogni anno, il Presidente del Consiglio dei ministri trasmette al COPASIR una relazione sulle attività svolte nell’anno precedente dall’Agenzia in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, nonché in relazione agli ambiti di attività dell’Agenzia sottoposti al controllo del Comitato.
Coordinamento con il Centro di competenza europeo per la cybersecurity europeo
L’Agenzia, in qualità di Centro nazionale di coordinamento italiano, si interfaccerà con il “Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca”, concorrendo ad aumentare l’autonomia strategica europea nel settore.
Istituito nel marzo scorso con Regolamento del 6 aprile 2021 il Centro di Competenza europeo per la Cybersicurezza intende rafforzare la sicurezza di internet, e garantire la sicurezza dell’infrastruttura digitale nonché la sicurezza delle reti e dei sistemi informativi in settori cruciali quali la sanità, i trasporti, l’energia, i mercati finanziari e i sistemi bancari..
Ha sede a Bucarest (Romania), e dovrà anche convogliare i finanziamenti legati alla cybersicurezza provenienti da Orizzonte Europa e dal Programma Europa digitale.
Inoltre, collaborerà con una rete di centri nazionali di coordinamento designati dagli Stati membri: per l’Italia la neonata Agenzia per la Cybersicurezza nazionale.
Al suo interno saranno presenti i principali portatori di interessi europei, tra cui organizzazioni industriali, accademiche e di ricerca e altre associazioni pertinenti della società civile.
L’obiettivo è formare una comunità delle competenze in materia di cibersicurezza intesa a consolidare e diffondere le competenze in materia di cibersicurezza in tutta l’UE.
Ulteriori informazioni sul sito del Consiglio europeo.
Decreto Funzioni Agenzia
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 1 settembre 2022
Con DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 1 settembre 2022 il Governo disciplina, ai sensi dell’art. 17, comma 5, del decreto «Cybersicurezza», i termini e le modalità per il trasferimento all’Agenzia delle funzioni in materia di cybersicurezza già assicurate dall’Agenzia per l’Italia digitale (Agid) e dal Dipartimento per la trasformazione digitale, le procedure per il trasferimento dei beni strumentali e delle risorse finanziarie idonee ad assicurare la prima operatività dell’Agenzia. Il decreto fissa anche i termini e le modalità per il trasferimento in capo all’Agenzia, dei rapporti giuridici attivi e passivi relativi alle funzioni trasferite.
Quali funzioni sono trasferite all’Agenzia per la Cybersicurezza?
L’Agenzia assume, ai sensi dell’art. 7, comma 1, lettera m), del decreto «Cybersicurezza» i compiti in materia di cybersicurezza di cui all’art. 51 del Codice dell’Amministrazione digitale (CAD), adotta le linee guida contenenti le regole tecniche di cybersicurezza ai sensi dell’art. 71 del CAD e provvede alla qualificazione dei servizi cloud per la pubblica amministrazione, nei termini di cui all’art. 8 del Decreto 1 settembre 2022. L’Agenzia, inoltre, assume tutte le funzioni attribuite alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica ai sensi dello stesso art. 7, comma 1, lettera h), del decreto «Cybersicurezza».
Per l’approvazione del Piano triennale, l’Agenzia assicura, per gli ambiti di competenza, gli opportuni raccordi con l’AgID, anche in relazione agli obiettivi della Strategia nazionale di cybersicurezza.Servizi cloud per la PA: è una competenza dell’Agenzia per la Cibersicurezza?
Per la Qualificazione dei servizi cloud per la pubblica amministrazione, l’art. 8 del Decreto 1 settembre 2022 prevede che l’Agenzia subentri ad AgID secondo il processo definito all’art. 13 del regolamento «Cloud della PA» il trentesimo giorno successivo alla pubblicazione delle modalità di presentazione delle domande di qualificazione comunque non oltre il 18 gennaio 2023.
Sino al subentro dell’Agenzia l’AgID continua a qualificare i servizi cloud con la piattaforma Cloud Marketplace secondo le modalità attualmente previste.
Le qualificazioni rilasciate conservano la loro validità fino al rilascio di una nuova qualificazione da parte dell’Agenzia e comunque non oltre il termine di cui all’art. 8, comma 4, del regolamento «Cloud della PA».
Sino al subentro dell’Agenzia ai sensi del comma 1, l’AgID provvede al mantenimento della piattaforma Cloud Marketplace, consentendone l’accesso ai soggetti interessati.
La Strategia nazionale di Cybersecurity: cos’è e come funziona?
DPCM 17 maggio 2022
- In Italia è stata dettata una strategia nazionale di cybersicurezza, definita all’articolo 6 del decreto legislativo NIS (il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, che contiene le misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.
- Con decreto del Presidente del Consiglio dei ministri in data 17 maggio 2022 è stata adottata la «Strategia nazionale di cybersicurezza 2022-2026», comprensiva del relativo «Piano di implementazione». La strategia prevede il raggiungimento di 82 obiettivi entro il 2026, monitorati dalla stessa Agenzia.
Leggi l’analisi ed il commento alla Strategia, a cura di M.Iaselli
La Strategia Nazionale di Cybersicurezza è volta a pianificare, coordinare e attuare misure tese a rendere il Paese più sicuro e resiliente.
La Strategia ed il Piano di implementazione sono scaricabili sul sito dell’Agenzia per la Sicurezza Cibernetica.
La Strategia ha 3 obiettivi fondamentali:
1. La protezione degli asset strategici nazionali, attraverso un approccio orientato alla gestione e mitigazione del rischio;
2. La risposta alle minacce, agli incidenti e alle crisi cyber nazionali, attraverso sistemi di monitoraggio, rilevamento, analisi e attivazione di processi che coinvolgano l’intero ecosistema di cybersicurezza nazionale.
3. Lo sviluppo sicuro delle tecnologie digitali, per rispondere alle esigenze del mercato, attraverso strumenti e iniziative volti a supportare i centri di eccellenza, le attività di ricerca e le imprese.
L’Agenzia disegna tre principali sfide:
1. Assicurare una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo;
2. Anticipare l’evoluzione della minaccia cyber;
3. Contrastare la disinformazione online nel più ampio contesto della cd. minaccia ibrida.
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 8 luglio 2024
Fondo Cybersecurity
Con DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 8 luglio 2024 (in Gazzetta di ieri 4 settembre 2024) arriva il Decreto che ripartisce il Fondo per l’attuazione della strategia nazionale di cybersicurezza e del Fondo per la gestione della cybersicurezza.
L’ Agenzia per la cybersicurezza nazionale indirizza, coordina e monitora, su base periodica, l’attuazione del piano di implementazione della Strategia nazionale di cybersicurezza.
Il Fondo per l’attuazione della strategia nazionale di cybersicurezza viene parzialmente ripartito tra le amministrazioni responsabili nell’ambito del piano di implementazione della Strategia nazionale di cybersicurezza, individuate all’art. 1 della legge n. 197 del 2022.
Il Fondo aveva a disposizione una dotazione di:
- 110 milioni di euro per l’anno 2025;
- i 150 milioni di euro annui dal 2026 al 2037.
Il Fondo per la gestione della cybersicurezza e, nello specifico, dei progetti afferenti alla stessa Strategia nazionale di cybersicurezza ha invece una dotazione finanziaria pari a
- 10 milioni di euro per l’anno 2023;
- 50 milioni di euro per l’anno 2024;
- 70 milioni di euro annui a decorrere dall’anno 2025.
Per approfondire sulla Cybersecurity
- L’articolo di InSic su: Cybersecurity: definizione e contesto normativo.
- Il volume edito da EPC Editore:
- IL SISTEMA INTEGRATO PER LA SICUREZZA DELLE INFORMAZIONI ED IL GDPR
Guida operativa all’efficace integrazione dei due mondi anche con l’ausilio della ISO/IEC 27701
di Renato Castroreale e Chiara Ponti
EPC Marzo 2021
Leggi un estratto su EPC.it
- IL SISTEMA INTEGRATO PER LA SICUREZZA DELLE INFORMAZIONI ED IL GDPR
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore