Cybersecurity, approvata la strategia nazionale 2022-2026

Il Comitato interministeriale per la Cybersicurezza ha approvato la Strategia nazionale di cybersicurezza (2022-2026) e l’annesso Piano di implementazione.

Foto di Donatella Maisto

Donatella Maisto

Digital Transformation and Sustainability Manager

Esperta Blockchain e digital transformation, tech-human need e sostenibilità nella sua accezione contemporanea. R&D Director di Blockchain Revolution

Il Comitato interministeriale per la Cybersicurezza, presieduto da Mario Draghi, ha approvato la Strategia nazionale di Cybersicurezza (2022-2026) e l’annesso Piano di implementazione.

La Strategia consta di 85 punti, che rappresentano la roadmap per la sicurezza digitale del Paese fino al 2026, per aumentare la resilienza cibernetica delle infrastrutture chiave del Paese e dei soggetti pubblici e privati che svolgono funzioni essenziali per lo Stato.

“Perimetro Cyber”

È stato approvato, quindi, l’ultimo Dpcm del “Perimetro Cyber”, volto a regolare la rete di controlli di sicurezza dei soggetti pubblici e privati, che svolgono attività essenziali per lo Stato, come gestita dall’Agenzia per la Cybersicurezza nazionale (Acn).

Il Governo, con questo documento, ha voluto affrontare una pluralità di sfide: dal rafforzamento della resilienza nella transizione digitale del sistema Paese al conseguimento dell’autonomia strategica nella dimensione cibernetica, anticipando l’evoluzione della minaccia cyber e approntando in maniera schematica la gestione di crisi cibernetiche, senza dimenticare il contrasto della disinformazione online.

Sarà l’Agenzia per la Cybersicurezza a garantire l’implementazione della strategia, anche per recuperare un divario significativo rispetto all’operato di altri Paesi come Francia e Germania.

Nella stessa riunione, in merito al Perimetro di sicurezza nazionale cibernetica, è stato approvato anche lo schema di DPCM ex art. 1 c.7, lett. B) D.L. 105/2019, che indica i criteri che i laboratori devono rispettare per accreditarsi come laboratori di prova per il Centro di valutazione e certificazione nazionale (CVCN) per verificare sicurezza, assenza di vulnerabilità note, contenuti, comunicazione tra il CVCN e i laboratori stessi e tra il CVCN e i Centri di Valutazione del Ministero dell’interno e del Ministero della difesa.

Con questi due ultimi atti si è completata l’attuazione della normativa del Perimetro di sicurezza nazionale cibernetica.

Nell’ottica di rafforzare la posizione del nostro Paese sono stati, poi, avviati due importanti progetti, con focus sull’azione di analisi, prevenzione e risposta agli attacchi cyber, che vedranno l’impiego di 300 nuove risorse nel 2023 e 800 nel 2028.

Il primo, sviluppato in collaborazione con l’Unione europea, agisce con il supporto dell’Intelligenza Artificiale per permettere di prevedere eventuali attacchi informatici; il secondo agisce sulla elaborazione di una qualifica dell’Incident Response (Ir), volto ad analizzare gli incidenti che potrebbero essere un campanello d’allarme di criticità.

Strumento chiave anche in questo quadro generale è il PNRR, per supportare le regioni a sviluppare delle progettualità atte a rafforzare la resilienza delle infrastrutture, soprattutto della PA.

Queste nuove misure vanno a collegarsi con le attività messe in campo qualche giorno prima dal Consiglio e dal Parlamento europeo.

Il pacchetto di misure europeo

Il 13 maggio, infatti, il Consiglio e il Parlamento europeo hanno concordato un pacchetto di misure per raggiungere un livello comune elevato di Cybersecurity in tutta l’Unione.

La “Nis2“ (Network and Information Systems 2), una volta adottata, sostituirà l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi (Network and Information Systems, Nis), con l’obiettivo di migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti, del settore pubblico e privato e dell’Ue nel suo insieme, definendo la base comune per le misure di gestione del rischio di cybersecurity e gli obblighi di segnalazione in tutti i settori coperti dalla direttiva, come l’energia, i trasporti, la salute e le infrastrutture digitali.

La prima normativa dell’UE sulla cybersicurezza, la direttiva NIS, entrata in vigore nel 2016, ha contribuito a conseguire un livello comune elevato di sicurezza delle reti e dei sistemi informatici in tutta l’UE.

Nel dicembre 2020 la Commissione ne ha proposto la revisione nell’ambito dell’obiettivo strategico principale di rendere l’Europa pronta per l’era digitale. Il regolamento dell’UE sulla cybersicurezza, in vigore dal 2019, ha apportato all’Europa un quadro di certificazione della cybersicurezza per prodotti, servizi e processi, rafforzando anche il mandato dell’Agenzia dell’UE per la cybersicurezza (ENISA).

La direttiva istituisce la Rete europea dell’Organizzazione di Collegamento per le Crisi informatiche (European Cyber Crises Liaison Organisation Network, Eu-Cyclone), che sosterrà la gestione coordinata degli incidenti di sicurezza informatica su larga scala.

Il Parlamento europeo e il Consiglio hanno, poi, allineato il testo alla normativa di settore, in particolare il Regolamento sulla Resilienza operativa digitale per il settore finanziario (Digital Operational Resilience for the financial sector, Dora) e la Direttiva sulla Resilienza delle entità critiche (Critical entities Resilience, Cer), per fornire chiarezza giuridica e garantire coerenza tra Nis2 e questi atti.

L’accordo politico raggiunto dal Parlamento europeo e dal Consiglio è ora soggetto all’approvazione formale dei due colegislatori.

Una volta pubblicata nella Gazzetta ufficiale dell’UE, la direttiva entrerà in vigore 20 giorni dopo e gli Stati membri la dovranno poi recepire nel diritto nazionale.

Gli Stati membri avranno 21 mesi dall’entrata in vigore della direttiva per recepire le disposizioni nella loro legislazione nazionale.