Istituita l’agenzia per la cybersicurezza nazionale
I lettori mi scuseranno se offro solo adesso alcuni commenti su questo importante decreto-legge, perché ho ritenuto necessario studiarlo per qualche tempo e metterlo a confronto con quanto avviene, nello stesso settore, in altri paesi europei.
Faccio riferimento al DECRETO-LEGGE 14 giugno 2021, n. 82 Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale. (21G00098).
L’articolo 1 finalmente offre una definizione ufficiale di un’attività, che in precedenza è stata definita in molti modi diversi.
D’ora in avanti, si definisce cybersicurezza, l'insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità, e garantendone altresì la resilienza.
Prima che i lettori si entusiasmano del fatto che finalmente l’Italia ha affrontato in modo organico il problema della sicurezza informatica nazionale, è bene dare un’occhiata all’articolo sei, che in realtà ritarda in maniera significativa l’avvio dell’attività operativa di questa agenzia, in quanto bisogna attendere, come frequentemente avviene in Italia, che venga adottato uno specifico regolamento. L’articolo sei, al comma tre stabilisce che il regolamento di cui al comma 1 è adottato, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR, sentito il CIC.
Con tutte le beghe che attualmente il governo deve fronteggiare, ho la sensazione che questo regolamento entrerà in vigore con notevole ritardo, forse perfino poco prima della fine dell’anno. Ricordo infatti che un decreto-legge deve essere convertito in legge, speriamo senza modifiche, entro 60 giorni dalla pubblicazione in Gazzetta Ufficiale. Solo da questa data partono i quattro mesi concessi per l’emissione del regolamento.
Di grande importanza è l’articolo sette, che descrive quali siano le funzioni di questa agenzia. Di particolare interesse il fatto che questa agenzia diviene autorità nazionale per la certificazione della cyber sicurezza ai sensi dell’articolo 58 del regolamento dell’unione europea 2019/881. È questo il regolamento che, in tutta Europa, indica come i vari paesi devono attivare una strategia di sicurezza informatica.
Di particolare interesse anche il fatto che questa agenzia non solo assume tutte le funzioni in materia di certificazione di sicurezza, ma provvede anche all’accertamento delle violazioni ed all’irrogazione delle sanzioni. Al proposito, ricordo come in altri paesi europei le sanzioni irrogate da una agenzia vengono incamerate dal Tesoro e successivamente, se appropriato, gli importi relativi vengono, in parte più o meno elevata, ristornati all’agenzia coinvolta. In Italia invece è previsto l’incasso diretto delle sanzioni da parte dell’agenzia che le irroga, come ad esempio accade per le sanzioni irrogate dall’autorità Garante per la protezione dei dati personali.
L’attivazione di questa agenzia assorbe tutte le funzioni già attribuite all’agenzia per l’Italia digitale, compresa l’emissione di linee guida con regole tecniche di cyber sicurezza.
Un ruolo importante di questa agenzia, che ricorda da vicino il ruolo già attribuito all’autorità Garante per la protezione dei dati personali, riguarda l’obbligo di svolgere attività di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia; inoltre, promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, anche attraverso l'assegnazione di borse di studio, di dottorato e assegni di ricerca.
Credo che pochi lettori possano dubitare del fatto che in Italia vi è urgente bisogno di personale sufficientemente preparato in questo delicato tema. Si tratta comunque di un tema in cui la preparazione non può essere solo di origine scolastica od universitaria, ma deve essere accompagnata da una adeguata esperienza sul campo. Ancora una volta, tra il dire e il fare c’è di mezzo il mare!
L’ente di risposta in caso di emergenza informatiche viene trasferito presso l'Agenzia e assume la denominazione di: «CSIRT Italia».
La crescente importanza del collegamento che esiste tra violazioni informatiche e violazione di dati personali fa sì che il decreto legge esplicitamente preveda uno stretto collegamento e consultazione con il Garante, collaborando con esso, specie in relazione agli incidenti che comportano violazioni di dati personali.
L'Agenzia e il Garante possono stipulare appositi protocolli d'intenti, che definiscono altresì le modalità della loro collaborazione nell'ambito delle risorse disponibili a legislazione vigente e senza nuovi o maggiori oneri per la finanza pubblica.
Anche questa agenzia deve annualmente mettere a disposizione del presidente del consiglio una relazione sull’attività svolta. In realtà le relazioni sono due, perché quella che viene illustrata al parlamento è diversa da quella che viene consegnata al COPASIR, per evidenti ragioni di riservatezza.
Se i lettori credono che a questo punto l’agenzia possa cominciare a funzionare, raccomando di leggere l’articolo 17-disposizioni transitorie e finali, nel quale, al comma cinque si informa che con uno o più decreti del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, da adottare entro centottanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto, sono definiti i termini e le modalità.
Infine, è certamente interessante dare un’occhiata all’articolo 18, che indica il budget messo a disposizione di questa agenzia. Invece di esprimere un mio giudizio personale sull’ammontare di questo budget, invito i lettori a dare un’occhiata ai budget delle agenzie similari, già operative da tempo, sia a livello europeo, sia a livello di paesi, il cui prodotto interno lordo nazionale non sia molto lontano da quello dell’Italia!
Non appena verrà pubblicato il regolamento sarà mia cura leggerlo attentamente e aggiornare i lettori sulle modalità operative di questa tanto preziosa, quanto da lungo tempo attesa agenzia.
Il documento(pdf)
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.