In Gazzetta Ufficiale il decreto che istituisce l'Agenzia per la Cybersicurezza Nazionale

Pubblicato sulla Gazzetta Ufficiale n. 140 del 14 giugno 2021 il decreto-legge 14 giugno 2021, n. 82 che introduce disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale (ACN). Il Provvedimento rientra nella strategia di cyber-resilienza nazionale, avviata con la disciplina sul perimetro cibernetico, e accresce, attraverso la promozione della cultura della sicurezza cibernetica, la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.

Istituita l'Agenzia per la cybersicurezza nazionale

Il DL si compone di 19 articoli ed istituzionalizza per la prima volta l'operatività dell'Agenzia per la cybersicurezza nazionale. Nello specifico l'art. 5 definisce la struttura dell'Agenzia e la sua organizzazione sotto la responsabilità del Presidente del Consiglio dei ministri e dell'Autorità delegata per la sicurezza della Repubblica (art.2 del decreto) e in stretto raccordo con il Sistema di informazione per la sicurezza della Repubblica.

Tra le sue mansioni vi è quella di esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche; sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l'avvio operativo del Centro di valutazione e certificazione nazionale; contribuire all'innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD); supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l'innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un'ottica di autonomia strategica nazionale nel settore; assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica.

La composizione dell'Agenzia per la cybersicurezza nazionale è regolamentata all'art.6 del DL n.82/2021 e da un prossimo Regolamento che sarà approvato entro 120 giorni dall'entrata in vigore del DL che definisce il funzionamento dell'Agenzia composta da otto uffici di livello dirigenziale generale e da trenta articolazioni di livello dirigenziale non generale nell'ambito delle risorse disponibili. L'art. 4 del decreto definisce invece il Comitato interministeriale per la cybersicurezza (CIC) presso la Presidenza del Consiglio dei ministri, con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.

Le sue funzioni sono quelle di proporre al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale; esercitare l'alta sorveglianza sull'attuazione della strategia nazionale di cybersicurezza; promuovere l'adozione delle iniziative necessarie per favorire l'efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonché per la condivisione delle informazioni e per l'adozione di migliori pratiche e di misure rivolte all'obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza ed esprimere il parere sul bilancio preventivo e sul bilancio consuntivo dell'Agenzia per la cybersicurezza nazionale.

L'Agenzia è affiancata dal Nucleo per la cybersicurezza , come predisposto all'art. 8 del decreto, che supporta il Presidente del Consiglio dei ministri, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l'attivazione delle procedure di allertamento. Il Nucleo è presieduto dal direttore generale dell'Agenzia o dal vice direttore generale da lui designato ed è composto dal Consigliere militare del Presidente del Consiglio dei ministri, da un rappresentante del DIS, dell'AISE, dell'AISI e da ciascuno dei Ministeri rappresentati nel Comitato, del Ministero dell'università e della ricerca, del Ministro delegato per l'innovazione tecnologica e la transizione digitale e del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri.

Compiti principali del Nucleo sono quelli di formulare proposte di iniziative in materia di cybersicurezza del Paese; promuovere a programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati; curare lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese ed essere coinvolto nelle crisi che interessano la cybersicurezza (art.10).

Tra gli ulteriori compiti invece dell'Agenzia vi è quello di esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche; sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l'avvio operativo del Centro di valutazione e certificazione nazionale; contribuire all'innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD); supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l'innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un'ottica di autonomia strategica nazionale nel settore; assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica. Secondo le disposizioni fornite dall'art. 14 entro il 30 aprile di ogni anno, il Presidente del Consiglio dei ministri deve trasmettere al Parlamento una relazione sull'attività svolta dall'Agenzia nell'anno precedente, in materia di cybersicurezza nazionale.

Infine l'Agenzia, in qualità di Centro nazionale di coordinamento italiano, si interfaccerà con il "Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca", concorrendo ad aumentare l'autonomia strategica europea nel settore.

Fonte: Il Sole 24 Ore del 17 giugno 2021

Note Autore

FederPrivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected]