Come scrive il presidente del consiglio Mario Draghi nell’introduzione al documento di presentazione: “La strategia italiana per la cybersicurezza unisce sicurezza e sviluppo, nel rispetto dei valori della nostra Costituzione. È in linea con quanto previsto dalla Strategia dell’Unione europea per la cybersicurezza del dicembre 2020, dalla Bussola Strategica per la sicurezza e la difesa dell’UE del marzo 2022 e dai recenti indirizzi strategici della Nato. Per farlo, sarà cruciale stanziare fondi adeguati, con continuità”.
E questo nella consapevolezza che le minacce informatiche “Siano esse volte ad ottenere profitti illeciti (cyber-crime), generare vantaggio informativo per fini di competizione geopolitica (cyber-espionage), diffondere narrative divisive e polarizzanti in aderenza a specifiche ideologie o motivazioni politiche, nessuna organizzazione, pur tecnologicamente equipaggiata e proceduralmente preparata, può ambire a eliminare del tutto le minacce che promanano dallo spazio cibernetico”. Perciò al fine di contrastare queste minacce sono cinque i pilastri della strategia:
- Assicurare una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo
- Autonomia strategica nazionale ed europea nel settore del digitale
- Anticipare l’evoluzione della minaccia cyber
- Gestione di crisi cibernetiche
- Contrastare la disinformazione online nel più ampio contesto della cd. minaccia ibrida
Sicurezza informatica
Allarme arancione in Italia. L’Agenzia Cyber elenca 70 vulnerabilità da correggere
di Arturo Di Corinto 13 Maggio 2022
Le misure della strategia
Rafforzare, promuovere predisporre, potenziare, prevedere, implementare, sono i termini più ricorrenti nelle 82 misure da applicare al sistema paese da parte dell’ACN in collaborazione con le istituzioni competenti.
Così se nella Misura #1 si prevede di “Rafforzare il sistema di scrutinio tecnologico nazionale a supporto della sicurezza della supply chain e l’adozione di schemi di certificazione europea di cybersecurity, anche mediante l’accreditamento di laboratori di valutazione pubblico/privati; nella Misura #10 si prevede la pubblicazione di linee guida sulla cybersecurity per le Amministrazioni Pubbliche, in riferimento alla transizione al cloud per una gestione continuativa e automatizzata del rischio cyber, secondo un approccio “zero trust”. La Misura #16 invece esplicita l’importanza di facilitare la migrazione sicura dei servizi e dei dati della Pubblica Amministrazione sul cloud, in linea con la Strategia Cloud Italia; la Misura #22 promuove l’uso della crittografia in ambito non classificato; la Misura #32 si propone la creazione di un’infrastruttura di High Performance Computing dedicata alla cybersecurity nazionale, nonché lo sviluppo di strumenti di simulazione, basati sull’Intelligenza Artificiale e il machine learning, per supportare le fasi di prevenzione, scoperta, risposta e predizione degli impatti di attacchi cyber di natura sistemica.
E poi ancora, nella Misura #33 c’è l’accrescimento delle capacità di risposta e ripristino a seguito di crisi cibernetiche implementando una rete di CERT settoriali integrata con lo CSIRT Italia, nonché un piano nazionale di gestione crisi.
Un “parco nazionale della cybersicurezza” che ospiti le infrastrutture necessarie allo svolgimento di attività di ricerca e sviluppo nell’ambito della cybersecurity e delle tecnologie digitali, dotato di una struttura “diffusa”, con ramificazioni distribuite sull’intero territorio nazionale è quanto prevede la Misura #49 che va in tandem con quella successiva è orientata a promuovere l’internazionalizzazione delle imprese italiane che offrono prodotti e servizi di cybersecurity
Tutto questo sotto il cappello di una rinnovata importanza attribuita ai settori ricerca e sviluppo di nuove tecnologie, anche mediante finanziamenti, investimenti pubblici e privati con particolare
riferimento alle startup e alle PMI innovative nella Misura #54 e la previsione di incentivi per lo sviluppo di startup operanti nel settore della cybersecurity e partnership pubblico-privato con aziende di cybersecurity a conduzione femminile nella Misura #64
Le finalità
L’obbiettivo è quindi chiaro: “pianificare, coordinare e attuare misure tese a rendere il Paese sicuro e resiliente anche nel dominio digitale, assicurando, al contempo, la fiducia dei cittadini nella possibilità di sfruttarne i relativi vantaggi competitivi, nella piena tutela dei diritti e delle libertà fondamentali; implica il riconoscimento che “la cybersicurezza, è divenuta una questione di importanza strategica, e deve porsi a fondamento del processo di trasformazione digitale del Paese, anche nell’ottica di conseguire l’autonomia nazionale strategica nel settore; e con una raccomandazione: “la cybersecurity non deve essere percepita come un costo, ma come un investimento e un fattore abilitante per lo sviluppo dell’economia e dell’industria nazionale, al fine di accrescere la competitività del Sistema-Paese a livello globale”; motivo per cui “la messa in sicurezza di infrastrutture, sistemi e informazioni dal punto di vista tecnico deve essere accompagnata da un progresso culturale ad ogni livello della società, verso un approccio “security-oriented”, tassello indispensabile per tutelare il nostro sistema valoriale e democratico”.
L’Agenzia non farà tutto da sola. Queste finalità perseguite attraverso la recente riforma dell’architettura nazionale cyber, vengono da lontano, dal decreto Monti del 2013, a quello Gentiloni del 2017, fino all’adozione delle direttive europee come la Nis, la Gdpr e la creazione del perimetro nazionale di Sicurezza cibernetica con i governi Conte1 e 2 e poi con l’istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN), che con Draghi al Governo ha fissato l’obiettivo di razionalizzare e semplificare il frammentato sistema di competenze, esistenti a livello nazionale.
L’Agenzia, in qualità di Autorità nazionale per la cybersicurezza, avrà diversi compiti oltre a quello di predisporre la strategia nazionale di cybersicurezza ma si presenta come un ulteriore pilastro a completamento di quelli esistenti di prevenzione e repressione dei reati informatici (di competenza delle Forze di polizia), di difesa e sicurezza militare dello Stato nello spazio cibernetico (di spettanza del Ministero della Difesa) e di ricerca ed elaborazione informativa (di competenza degli Organismi di informazione per la sicurezza).
I fondi della strategia
La dotazione finanziaria per attuare i primi interventi è un tassello fondamentale per l’implementazione della strategia. Il PNRR destina specificamente 623 milioni al rafforzamento della cybersicurezza italiana, con oltre la metà, oltre 300 milioni solo per la Pubblica Amministrazione. Ma, come si legge nel documento, potranno anche essere messi a disposizione appositi fondi previsti di anno in anno dalle leggi finanziarie, per supportare specifici progetti di interesse. A tale fine “sarà riservata una quota percentuale degli investimenti nazionali lordi su base annuale”. Tali leve finanziarie potranno anche consistere in sgravi fiscali per le aziende o nell’introduzione di aree nazionali a tassazione agevolata per la costituzione, ad esempio, di un “parco nazionale della cybersicurezza” e dei relativi “hub” delocalizzati sull’intero territorio nazionale.
Vi saranno, inoltre, anche i finanziamenti che l’Agenzia sarà chiamata a gestire quale Centro Nazionale di Coordinamento (NCC) europeo secondo le norme che istituiscono il Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca, unitamente alla rete dei centri nazionali di coordinamento, il quale convoglierà in particolare i finanziamenti provenienti dai programmi Orizzonte Europa ed Europa Digitale.