Protezione cibernetica e sicurezza informatica nazionale
Analisi della Dott.ssa Claudia Cardona
La protezione cibernetica e la sicurezza informatica nazionale sono state una delle questioni affrontate con grande incisività nel decennio trascorso a livello politico e sociale.
La questione è stata oggetto della massima attenzione anche da parte del sistema intelligence che, in virtù delle indicazioni fornite dal Presidente del Consiglio e dal Comitato Interministeriale per la Sicurezza della Repubblica, ne ha potenziato l’attività.
Ciò è dovuto agli aumenti degli attacchi cibernetici che arrecano notevoli danni ai Paesi colpiti, e che occorre contrastare prontamente mediante il potenziamento del cyber intelligence, in modo da fornire al decisore politico sistemi di early warning di carattere tattico e strategico, nonché la formulazione di scenari di crisi volti a pianificare strategie per minimizzare i danni.
Da un punto di vista normativo, la materia è stata fortemente innovata con interventi legislativi fino a giungere alla significativa adozione del decreto-legge 14 giugno 2021 n. 82 con cui è stata istituita l’Agenzia Cybersicurezza Nazionale (ACN). Per lungo tempo la tematica della cybersicurezza è stata priva di un’unicità normativa e di una struttura istituzionale quale punto di coordinamento in materia.
Uno degli interventi legislativi più significativi in tema cyber è stata la l. 133/2012 e il Decreto-legge 30 ottobre 2015 n. 174, che riformando l. 122/2007, ha esteso e attribuito nuovi poteri al Presidente del Consiglio anche in ambito Cyber.
Con il DPCM Monti del 2013 e il sostituto DPCM Gentiloni del 2017, i Governi hanno cercato di sopperire l’ampia lacuna normativa in ambito cyber anche sotto la forte pressione da parte dell’Unione Europea che ha richiesto prontamente agli Stati Membri norme in attuazione alla direttiva NIS. Il quadro legislativo, cosi delineato e caratterizzato dalla confluenza degli interventi normativi nazionali ed europei di diversa fonte gerarchica, ha portato l’istituzione di diversi organi con una duplicazione di ruoli e competenze che hanno generato, con il tempo, confusione e una disciplina incompleta.
La costituzione dell’Agenzia Cyber Nazionale con il d.l. 82/2021, seppur in forte ritardo rispetto agli altri Paesi Europei, ha costituito un grande passo in avanti per la società e innovazione in materia di cybersicurezza.
La nascita dell’Agenzia non solo ha tolto le competenze che precedentemente erano attribuite al Dipartimento di Informazione per la Sicurezza in tema cyber in modo inappropriato, ma si è resa punto di coordinamento per enti privati e pubblici sia a livello nazionale che internazionale al fine di rendere sempre più efficiente la resilienza del Paese.
Lo scenario emerso con l’ultima normativa del 2021 ha rappresentato la necessità di una profonda innovazione in materia di cybersicurezza.
Ci troviamo infatti dinanzi alla quarta rivoluzione in cui la digitalizzazione diventa alla base della nostra società.
Infatti, tra i compiti dell’Agenzia vi è quello di sensibilizzare la società alle minacce cyber che, anche se ibride, hanno da tempo preso il sopravvento sulla guerra fisica.
In tal modo sono emersi importanti aspetti che hanno un diretto impatto nella società e vita quotidiana come l’inserimento di nuove tecnologie digitali e innovazione nel tessuto produttivo anche in ambito dei servizi pubblici, delle comunità e dei territori.
Circa il riparto di competenze delle diverse strutture istituzionali in caso di incidenti cyber, occorre segnalare che presso l’Agenzia Cyber Nazionale è istituito il Nucleo per la Sicurezza Cibernetica (NSC), un organismo con il compito di coordinare nel rispetto delle rispettive competenze le azione dei diversi attori che compongono l’architettura istituzionale nelle attività di prevenzione e preparazione ad eventuali situazioni di crisi cibernetica e di attivazione delle procedure di allertamento, ci si è soffertati sul recentissimo Decreto legge Aiuti bis 115/2022 Aiuti Bis.
Il recente provvedimento che ha comportato un’implementazione ulteriore dei poteri attribuiti al Presidente del Consiglio, ha altresì modificato i termini per l’obbligo di notifica dei soggetti nel Perimetro di sicurezza nazionale cibernetica.
In tal modo, dunque, l’Agenzia, prestandosi a essere il bacino di raccolta di tutte le informazioni tempestive legate ad eventi di sicurezza cibernetica, gode di una visione di insieme ed è in grado a fornire la migliore efficienza per il Paese.
In conclusione, si ritiene che in relazione all’introduzione delle novità legislative con il Decreto Aiuti Bis, al fine di ottemperare l’esigenza di efficienza dell’Agenzia, sia necessario calibrare la densità delle informazioni da comunicazione alla struttura in modo da non ingolfare il sistema.
Inoltre, occorre che vi sia un puntuale rispetto delle competenze delle diverse istituzioni coinvolte nell’ambito della sicurezza cibernetica in modo che sia rispettata la ripartizione delle competenze – cyberintelligence, cyberresilience e cybercrime.