Cybersicurezza nazionale (ACN): l’istituzione dell’Agenzia

COSA?

Il D.L. n. 82/2021, così come convertito con modificazioni in L. 4 agosto 2021 n.109, , ha creato un nuovo soggetto giuridico: l’Agenzia per la cybersicurezza nazionale (ACN), che opererà sotto la responsabilità del Presidente del Consiglio dei Ministri, dell’Autorità delegata per la sicurezza della Repubblica (ADSR) e in accordo con il Sistema di informazione per la sicurezza della Repubblica (SISR).

COME:Il ruolo della nuova Agenzia per la cybersicurezza nazionale 
L’Agenzia rivestirà un ruolo primario nella tutela degli interessi nazionali nell’ambito della cybersicurezza e delle funzioni essenziali dello Stato da minacce cibernetiche.
Il suo ruolo primario sarà quindi costituito dalla attuazione delle misure più efficaci per realizzare le misure necessarie alla protezione contro attacchi informatici che, sempre più spesso, provocano l’interruzione di servizi essenziali e di pubblica utilità causando gravi conseguenze sui cittadini e sull’utenza più in generale.

A livello nazionale ed europeo, la nuova Agenzia sarà:

• “punto di contatto unico" previsto dal D.Lgs. n. 65/2018,
• "Autorità nazionale di certificazione della cybersicurezza" secondo quanto previsto dal Cybersecurity Act (Regolamento UE 2019/881). 

L’Agenzia:

• gestirà le future attività di certificazione di prodotti e servizi informatici; 
• accrediterà le appropriate strutture del Ministero della Difesa e del Ministero dell'interno quali organismi di valutazione della conformità per i sistemi di rispettiva competenza:
• incorporerà il CSIRT Italia (Computer Security Incident Response Team), già istituito da oltre un anno, il CVCN (Centro di Valutazione e Certificazione Nazionale, ora interno al MiSE);
• accentrerà le attività di definizione delle misure di sicurezza e le relative attività di verifica, previste dal D.Lgs. n. 259/2003, che dovranno essere adottate dagli operatori di telecomunicazione;
• sarà responsabile dell'elencazione dei soggetti inclusi nel Perimetro di Sicurezza Nazionale, degli operatori di servizi essenziali (OSE) e della raccolta delle descrizioni dei sistemi e delle valutazioni del rischio di tali soggetti con l’obiettivo di incrementarne la sicurezza dei sistemi di Information and Communication Technology (ICT);
• coordinerà le iniziative nell’ambito delle attività di indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica con particolare riferimento al Sistema Pubblico di Connettività, prima di competenza dell'Agenzia per l'Italia Digitale (AgID). 

Cosa cambia per i Comuni

Le funzioni brevemente sopra indicate passeranno all’Agenzia per la cybersicurezza nazionale e tutta la Pubblica Amministrazione dovrà tenere nella necessaria considerazione le future indicazioni operative che in tale ambito verranno fornite nei prossimi mesi. 
Il tema è ben presente negli Enti Locali. 
Già la circolare n. 2/2017 del 18 aprile 2017 dell’AgID aveva introdotto l’obbligo per tutte le pubbliche amministrazioni, incluse quindi le Autonomie Locali e le Società a controllo pubblico, di implementare le cosiddette “misure minime di sicurezza ICT” entro il 31 dicembre 2017.
Tali misure erano richiamate nel Piano Triennale 2019-2021 per l’Informatica nella PA con una linea d’azione che ne prevedeva l’aggiornamento entro dicembre 2019 (le Linee guida di sicurezza cibernetica per le PA) ed ancora nella più recente versione (2020-2022), entro giugno 2021 (OB.6.1 - Aumentare la consapevolezza del rischio cyber nelle PA).   Non risultano tuttavia aggiornamenti in merito, sebbene l’AgID stessa si sia mossa in varie direzioni per promuovere la consapevolezza della sicurezza delle informazioni, sia mediante formazione dedicata ai Responsabili per la Transizione Digitale (RTD), sia con il rilascio di un tool di valutazione e trattamento del rischio relativo alla cybersecurity (disponibile al seguente link: https://www.sicurezzait.gov.it/cyber/), richiamato anch’esso nel Piano Triennale 2020-2022.  La continua evoluzione del tema ha dovuto tenere conto anche dei principi di protezione dei dati personali previsti dal Regolamento Europeo 2016/679 (il GDPR), che agli ormai noti articoli 25 e 32 dispone una serie di misure di protezione non più “minime” (si veda l’ormai abrogato Allegato B del D.Lgs. n. 196/2003), ma “adeguate”, chiamando in causa il principio di responsabilizzazione dell’Ente, in quanto Titolare del trattamento, circa la valutazione della loro adeguatezza. 

I Comuni dovranno quindi monitorare le indicazioni dell’Agenzia, recepirle ed applicarle.

Presumibilmente vi sarà un aggiornamento delle attuali Misure Minime di Sicurezza ICT data la loro applicazione obbligatoria, soprattutto alla luce dei continui richiami presenti nelle varie versioni dei Piani Triennali ICT di AgID.  Ulteriore elemento rilevante, sebbene soggetto ad un’articolata attuazione, molto utile in sede di bandi e affidamenti, sarà rappresentato dalle certificazioni che l’Agenzia rilascerà a prodotti, servizi e processi informatici e che si articoleranno su 3 livelli: 

• base
• sostanziale
• elevato

in conformità con il Cybersecurity Act (si veda l’articolo 51 per una lista completa degli obiettivi di sicurezza della certificazione). 

COME: L’impatto economico e organizzativo delle nuove disposizioni

La digitalizzazione delle procedure, dei processi e delle modalità di comunicazione con imprese e cittadini, comporta necessariamente la protezione di questi sistemi, unitamente ad una maggiore consapevolezza di chi utilizza gli strumenti informatici. L’attuazione di tali obiettivi, coerenti con il dettato normativo vigente, comporterà inevitabilmente la necessità di una valutazione di previsione di spesa in sede di redazione del bilancio.  
In particolare, la formazione gioca il ruolo più importante per prevenire eventuali attacchi che dovessero superare le difese informatiche e, nello stesso tempo, agevola gli operatori a comprendere il verificarsi dei casi per cui sia necessario fermarsi e riflettere, oppure segnalare l’anomalia riscontrata.
 L’insieme di regole e strumenti che costruiscono i processi interni, infatti, non esauriscono la loro finalità nella mera compilazione di un “piano”, ma costituiscono la base su cui poggiare le attività di ciascuno in modo da poter intervenire con certezza e sicurezza.  In tale contesto si rende necessario procedere ad una rivalutazione sistematica delle misure per garantire la disponibilità, l'integrità, la riservatezza e la resilienza delle informazioni del Sistema informativo comunale, soprattutto sulla base delle nuove minacce (si pensi agli attacchi mediante Ransomware con esfiltrazione preventiva dei dati, come accaduto di recente al CED della Regione Lazio).

L’Agenzia per la cybersicurezza nazionale si porrà come fulcro per le iniziative di incremento della sicurezza, sia a livello perimetrale che interno. 

Il quadro normativo di riferimento

L’attività delle pubbliche amministrazioni si effettua nell’ambito e nei limiti di norme di legge, ivi comprese quelle che negli ultimi decenni hanno portato ad adottare modelli di produzione esclusivamente digitali. Tuttavia solo negli ultimi anni il legislatore ha iniziato ad occuparsi della sicurezza informatica, non fosse altro che per adeguare la normativa italiana agli obblighi previsti in sede europea da Direttive e Regolamenti specifici.   A livello nazionale i primi passi per creare una cornice giuridica sono stati il DPCM del 24 gennaio 2013, aggiornato dal aggiornato dal DPCM del 17 febbraio 2017, che ha revisionato le linee d’azione per dare concreta attuazione al Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico.  Successivamente l’Italia, con il D.Lgs. n. 65/2018, ha recepito la Direttiva NIS (Network and Information Security) promuovendo una cultura di gestione del rischio e di segnalazione degli incidenti tra i principali attori economici e rafforzando la cooperazione a livello nazionale e in ambito UE.  Un altro passo importante per la sicurezza informatica è rappresentato dal D.L. n. 105/2019 (convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133), che prevede l'istituzione di un perimetro di sicurezza nazionale cibernetica e adotta misure per garantire i necessari standard di sicurezza. Il Decreto, seppur con diverse successive modifiche, fissa i parametri per assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche e degli operatori nazionali, pubblici e privati.  In relazione a questo D.L. è stato emanato il DPCM n. 81 del 14 aprile 2021, che istituisce un Regolamento in materia di notifiche degli incidenti informatici.   Novità di rilievo è stata inoltre l'istituzione della “Direzione generale per lo sviluppo della prevenzione e tutela informatiche” presso il Dipartimento della pubblica sicurezza del Ministero dell'interno ad opera dell’art. 240 del D.L. n. 34/2020 (c.d. Decreto Rilancio).  
L’ultimo atto è rappresentato dal D.L. n. 82/2021, così come convertito con modificazioni in L. 4 agosto 2021 n.109, istitutivo, oltre che dell’ACN, del Comitato Interministeriale per la Cybersicurezza (CIC) con funzioni limitate alla consulenza e proposta in materia di sicurezza informatica. Anche in seguito ai numerosi attacchi mediante Ransomware accaduti di recente, lo CSIRT ha prodotto un Documento contenente alcune “Misure di protezione e organizzazione dei dati per un ripristino efficace”, che richiama una serie di standard internazionali, utili per verificare il proprio stato di protezione e per implementare ulteriori controlli di sicurezza. Il Documento è stato convertito in file excel (ods per LibreOffice e xlsx per Microsoft Office) con le misure allineate e senza i salti pagina del pdf dello CSIRT

Nel pieno riassetto delle strutture nazionali dedicate alla cybersecurity è lecito sperare che con l’istituzione della nuova Agenzia si giunga in tempi brevi ad una applicazione concreta delle misure di protezione.
Non dimentichiamo che nei Comuni la sicurezza informatica si realizza con processi e soluzioni integrate, aggiornate e sicure, supportate da esperti e tecnici all’altezza per garantire i requisiti di protezione e sicurezza necessari allo svolgimento della quotidiana azione amministrativa.

Articolo di Rampogna Glauco