I rischi individuati

L’adozione della strategia nazionale è uno dei passaggi chiave affinché l’azione dell’agenzia e degli altri organi che si occupano del tema si sviluppi in modo coerente e sinergico. Non a caso il documento non è stato adottato in autonomia dall’Acn. Al contrario, è una responsabilità che la legge attribuisce al presidente del consiglio (art. 2 d.l. 82/2021), sentito il comitato interministeriale di cybersicurezza (Cic). Quest’organo include tutti i ministri con le responsabilità più importanti nel settore, oltre che il presidente del consiglio, l’autorità delegata e il direttore dell’agenzia, con funzioni di segretario. Si tratta dunque di un documento discusso collegialmente, in modo da tenere in considerazione tutti i possibili profili d’interesse.

Il documento si esprime su molteplici aspetti tra i quali di fondamentale importanza sono l’individuazione dei rischi e la definizione degli obiettivi.

Innanzitutto la strategia identifica 3 rischi sistemici. Questi riguardano la cybercriminalità, possibili ingerenze da parte di governi esteri tramite società tecnologiche controllate o influenzate e la diffusione di fake news e disinformazione.

Sfide e obiettivi

Tali rischi sono poi declinati in 5 sfide che l’agenzia, ma più in generale tutto il comparto della cybersicurezza, si propone di affrontare:

1. assicurare una transizione digitale cyber resiliente della pubblica amministrazione e del tessuto produttivo;
2. autonomia strategica nazionale ed europea nel settore del digitale;
3. anticipare l’evoluzione della minaccia cyber;
4. gestione di crisi cibernetiche;
5. contrastare la disinformazione.

Come si può vedere si tratta di temi che riguardano più o meno direttamente una pluralità di soggetti. Così mentre la prima sfida si riferisce soprattutto alla pubblica amministrazione, a tutti i livelli, la seconda si pone in un terreno di dialogo tra istituzioni nazionali ed europee e settore privato.

La terza e la quarta sfida invece riguardano soprattutto le capacità sia predittiva che operativa di gestione delle crisi e coinvolgono i vari attori che si occupano di sicurezza cibernetica, difesa e intelligence. Sempre l’intelligence poi è in parte coinvolta nella quinta sfida, che tuttavia assume un profilo delicato riguardando un tema costituzionalmente garantito come la libertà di espressione. Infatti da un lato è vero che assicurare che il dibattito non sia inquinato è molto importante per il libero gioco democratico. Dall’altro però proprio in questi giorni si discute su quali siano i limiti che l’intelligence dovrebbe rispettare su un tema così delicato.

In ogni caso, allo scopo di fronteggiare queste sfide, sono stati delineati 3 obiettivi volti a perseguire la protezione, la risposta e lo sviluppo.

La protezione riguarda soprattutto la capacità di creare un ambiente sicuro potenziando le capacità del centro di valutazione e certificazione nazionale (Cvcn), mantenendo il quadro giuridico aggiornato e sviluppando le capacità dei vari attori di settore.

La risposta concerne la capacità di reazione nei momenti di crisi. Questi potrebbero richiedere un intervento dei vertici politici, a cominciare dal presidente del consiglio, mentre il livello operativo è assicurato dal nucleo per la cybersicurezza e quello tecnico dal Csirt Italia.

Infine l’obiettivo sviluppo è dedicato proprio al rilancio dell’innovazione tecnologica nel nostro paese, in un’ottica sia industriale che di ricerca.

La governance

Ciascuno degli obiettivi previsti è poi dettagliato in un piano di implementazione che identifica gli attori responsabili e gli altri soggetti interessati.

Per ognuna delle 82 misure in cui è suddiviso il piano di implementazione sono indicate in maniera puntuale le organizzazioni responsabili e gli altri soggetti interessati. Analizzando questa distribuzione di competenze da un punto di vista quantitativo emerge chiaramente come l’agenzia abbia in questo settore una posizione preminente, per quanto non esclusiva.

Dunque la nascita dell'agenzia non ha esaurito tutte le competenze già attribuite ad altri organi. Ma l'analisi quantitativa non rende giustizia ad alcuni attori che invece, come si legge nel documento, rimangono ancora molto importanti in contesti specifici. Prime tra tutte le agenzie di informazione per la sicurezza in materia di cyber-intelligence, il ministero della difesa in materia di cyber-difesa e il ministero dell'interno per la cybercriminalità, in particolare attraverso il dipartimento di pubblica sicurezza e la polizia postale.

Le risorse del Pnrr

La transizione digitale è un processo fondamentale per lo sviluppo del paese, ma come abbiamo visto comporta dei rischi. Per sviluppare infrastrutture solide e organizzazioni in grado di proteggerle sono dunque necessarie molte risorse.

Per questo il Piano nazionale di ripresa e resilienza (Pnrr) ha destinato al macro tema Digitalizzazione (classificazione originale openpolis) oltre un miliardo e mezzo di euro. Di questi oltre un terzo sono destinati alla sicurezza digitale.

La misura è attribuita alla responsabilità del dipartimento della trasformazione digitale e dunque al ministro Colao. Il soggetto attuatore però è proprio l'agenzia per la cybersicurezza.

L'utilizzo di queste risorse è sottoposto al rispetto di una serie di scadenze concordate con l'Unione europea. Cinque di queste devono essere completate entro la fine del 2022 mentre altre 4 entro la fine del 2024.

Delle prime una è stata completata in anticipo, ovvero l'istituzione dell'agenzia. Altre due sono in corso ("dispiego iniziale dei servizi nazionali di cybersecurity" e "avvio della rete dei laboratori di screening e certificazione della cybersecurity") e le rimanenti devono ancora essere avviate.

Foto: Unsplash - Emile Perron

L'articolo La governance della cybersicurezza e la strategia nazionale proviene da Openpolis.

Anche se l’Ue si sta impegnando per garantire miglioramenti strutturali, l’invasione dell’Ucraina minaccia di intensificare la guerra cibernetica.

Cresce il numero di attacchi informatici in Ue

A maggio 2020 in Irlanda un gruppo di criminali informatici con sede a San Pietroburgo, Wizard Spider, ha realizzato un attacco informatico ai danni del servizio sanitario nazionale. Il gruppo chiedeva il pagamento di una somma pari a 14 milioni di sterline (circa 17 milioni di euro) per fermare l’aggressione. In risposta, le autorità irlandesi hanno opposto resistenza, cosa che ha portato i criminali a spostare gli appuntamenti dei pazienti (il sistema ha dovuto abbandonare il digitale per mesi) e a rilasciare informazioni riservate dalle cartelle cliniche di 520 pazienti. Il tutto ha inoltre causato una perdita economica pari a circa 100 milioni di euro.

Ma quello irlandese non è un caso isolato. Nel 2020 in particolare, gli attacchi malevoli ai danni dei settori chiavi dell’Ue sono raddoppiati – 304 incidenti contro i 146 del 2019 – secondo l’Enisa (l’agenzia di cybersicurezza europea). 

La digitalizzazione e gli attacchi informatici

I periodi di chiusura dettati dalla pandemia hanno causato un massiccio spostamento online della vita dei cittadini Ue. All’improvviso il lavoro da remoto, lo shopping online e la socializzazione attraverso lo schermo sono diventati la norma. Con la conseguenza, tra le altre, di aver aumentato le possibilità di accesso ai sistemi informatici per gli hacker.

Inoltre, a crescere non è stato solo il numero di episodi, ma anche la loro complessità e grado di sofisticazione. Nonché l’entità del loro impatto. Come esposto nel report annuale dell’Enisa, il generale trend di accelerazione della trasformazione digitale ha significativamente incrementato il rischio di attacchi di questo genere.

Enti pubblici, catene di approvvigionamento e reti sanitarie in particolare sono diventati target prioritari per i criminali informatici all'inizio della pandemia.

Anche l'ospedale universitario di Brno in Repubblica Ceca, per esempio, ha sofferto un attacco paralizzante nel maggio 2020, che lo ha costretto a chiudere tutti i suoi network, con conseguenti ritardi per operazioni urgenti e il trasferimento di pazienti gravemente malati. Persino le istituzioni dell'Unione europea sono state interessate da un tentativo di attacco hacker, che però apparentemente non è andato in porto.

Le difficoltà a identificare i responsabili

Quando parliamo di cyber attacchi, parliamo chiaramente di aggressioni anonime. Il che rende difficile identificare il responsabile e rispondere in maniera proporzionale. Compito che risulta ancora più arduo nel caso di attori che - almeno apparentemente - non agiscono per conto di un altro stato.

Anche se questo rende difficile la valutazione delle capacità cibernetiche dei vari stati, la Russia sembrerebbe uno degli attori più prolifici all’interno della sfera internazionale.

Germania, Italia, Paesi Bassi e Danimarca hanno sostenuto in diverse occasioni di essere vittime di un presunto spionaggio cibernetico russo da qualche anno a questa parte. Mentre la Francia ha dichiarato, all'inizio del 2021, che molte delle sue aziende chiave, tra cui Airbus e Orange, sono state compromesse da attacchi hacker legati alla Russia.

Lo scorso settembre, l'alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza Josep Borrell ha accusato Mosca di aver cercato di entrare nei computer di molti politici e giornalisti europei nonché di alcune figure di rilievo del settore energetico e di altri cittadini di importanza sociale. Sottolineando che questi attacchi costituiscono una minaccia per il funzionamento delle istituzioni democratiche dell'Ue.

Il problema, per gli investigatori, è che è molto difficile ricondurre questi attacchi al Cremlino perché, nella maggior parte dei casi, le accuse sono basate su indicatori, piuttosto che su prove sufficientemente fondate da permettere di pretendere spiegazioni dalla Russia.

L'Ue aggiorna la sua strategia di cybersicurezza

Per proteggere i suoi network, la commissione ha aggiornato la propria strategia di cybersicurezza nel dicembre 2020 e ha introdotto una nuova direttiva, la direttiva Nis2, con lo scopo di innalzare il livello comune di sicurezza digitale.

Entrambe le misure mirano a rafforzare la sua capacità di respingere cyber attacchi e estendere la protezione dei network a nuovi settori, oltre che a sostenere maggiori investimenti nelle organizzazioni europee di cybersicurezza, che al momento sono il 41% in meno rispetto a quelle presenti negli Stati Uniti.

Oltre a tutto questo, l'invasione russa dell'Ucraina ha costituito un'ulteriore allerta per l'Ue. La banca centrale europea ha conseguentemente chiesto alle banche nazionali di prepararsi a contrastare cyber attacchi russi, e la presidenza del consiglio europeo ha promosso esercitazioni per prepararsi ad attacchi su larga scala contro le catene di approvvigionamento negli stati membri.

Tutto questo prova una cosa: esistono già le guerre cibernetiche. Anche se non spargono sangue, hanno effetti importanti sulla vita quotidiana delle persone.

European data journalism network, i dati nel resto dell'Europa

Openpolis fa parte dell'European data journalism network, una rete di realtà che si occupano di data journalism in tutta Europa. La versione originale di questo articolo è di El orden mundial, un giornale europeo, ed è partner di Edjnet. I dati relativi ai cyber attacchi in Ue tra 2020 e 2021 sono disponibili qui.

Foto: Maksim Shmeljov - licenza

L'articolo Durante la pandemia, aumentano gli attacchi informatici in Ue proviene da Openpolis.

L’Unione (e quindi Enisa) deve dunque limitarsi ad affrontare quegli aspetti che non potrebbero essere conseguiti efficacemente dai singoli stati. Per questo accanto all’agenzia europea ciascuno stato ha adottato un proprio assetto istituzionale e dei propri organi in materia di cybersicurezza. Il compito di Enisa dunque è proprio quello di assistere gli stati membri e la commissione e di favorire la cooperazione e gli scambi.

Il coordinamento europeo

In tema di cybersicurezza il principale riferimento normativo in ambito europeo è la direttiva Nis, anche se proprio in questo periodo è in discussione un aggiornamento del testo che dovrebbe portare all’approvazione di una direttiva Nis 2.

Data la natura delle direttive europee (articolo 288 del Trattato sul funzionamento dell’Unione europea, Tfue) questo testo si limita a indicare agli stati membri il risultato da raggiungere, lasciando poi a questi ultimi ampia autonomia su come strutturare i propri organismi di cybersicurezza.

Tra gli obblighi previsti per gli stati membri in ogni caso si trova l’individuazione di alcuni organi necessari al coordinamento delle politiche adottate per mantenere un alto livello di sicurezza delle infrastrutture cibernetiche. Si tratta delle autorità nazionali competenti, dei punti di contatto unici e dei Csirt (Computer security incident response team).

I Csirt sono organizzazioni incaricate di raccogliere e gestire le segnalazioni di incidenti informatici e potenziali vulnerabilità nei software. Si tratta di soggetti che in alcuni casi sono presenti già dal 1990. Ogni paese dispone di un numero diverso di Csirt che possono essere accreditati presso diversi consorzi internazionali come il Trusted Introducer, il First (Forum of incident response and security teams) o il Csirt Network europeo.

In questo ambito la direttiva Nis stabilisce la necessità che ciascuno stato membro designi uno o più Csirt per far parte del Csirt Network europeo. Nella maggior parte dei casi i paesi membri hanno designato un singolo Csirt ma non tutti. Alcuni paesi infatti ne hanno designati 2 e altri 3.

Se i Csirt si occupano di incidenti informatici e potenziali vulnerabilità, a livello di regolamentazione e gestione operano invece le autorità competenti Nis, ovvero gli organi nazionali responsabili della sicurezza delle reti e dei sistemi informativi nei settori indicati nella direttiva. Anche in questo caso ciascuno stato può individuane una o più.

Se ne viene individuata solo una questa diventa automaticamente anche il punto di contatto unico, altrimenti lo stato deve indicare quale organo svolgerà il ruolo di punto di collegamento per garantire la cooperazione con le autorità degli altri stati membri oltre che con Enisa e la rete Csirt.

Le autorità competenti Nis. I casi di Germania, Francia e Italia

Come abbiamo visto dunque ciascun paese ha il diritto di strutturare come crede i propri organi di settore, pur nel rispetto degli obblighi previsti dalla direttiva europea.  Se prendiamo, per esempio, i tre paesi Ue più popolosi, il primo dato dato che emerge è che tutti e tre, ad oggi, hanno individuato un'unica autorità di competenza Nis.

Per l'Italia si tratta della nuova Agenzia per la cybersicurezza. Prima della sua istituzione, a maggio 2021, tuttavia erano 5 le autorità individuate, ovvero i ministeri dello sviluppo economico, delle infrastrutture, dell'economia, della salute e dell'ambiente, ora definiti autorità di settore (articolo 7 del D.lgs 65/2018). L'agenzia dunque rappresenta il punto di contatto unico ed al suo interno è anche collocato il Csirt italiano, che in precedenza era inserito nel dipartimento di informazioni per la sicurezza della repubblica, e quindi nel contesto dell'intelligence.

Come abbiamo avuto modo di raccontare in altri approfondimenti, l'Agenzia per la cybersicurezza è un organo dotato di autonomia da diversi punti di vista. Al contempo però è posta sotto la vigilanza della presidenza del consiglio, cui spetta l'alta direzione e la responsabilità generale nel settore oltre che la nomina del direttore, Roberto Baldoni, e del vicedirettore, Nunzia Ciardi. Al suo interno l'agenzia è strutturata in 8 servizi generali, suddivisi a loro volta in divisioni. Attualmente il personale massimo previsto è di circa 300 persone mentre il budget per il 2022 ammonta a 41 milioni di euro. Tuttavia per i prossimi anni è previsto un forte aumento delle risorse destinate a questa struttura.

Per quanto riguarda la Francia l'autorità competente è la Agence nationale de la sécurité des systèmes d'information (Anssi). Come nel caso italiano questa struttura è posta nell'ambito della presidenza del consiglio. Nello specifico l'agenzia francese è collocata nel Segretariato generale della difesa, un organo particolare dell'ordinamento francese che assiste il primo ministro nell'esercizio delle sue responsabilità in materia di difesa e sicurezza nazionale. Istituita per legge nel 2009 l'Anssi si è posta da subito obiettivi ambiziosi tra i quali diventare una potenza mondiale nella difesa informatica, anche se questa dicitura non è più presente nella versione più recente della strategia francese di cybersicurezza.

Al vertice dell'Anssi si trova una direzione generale di cui fanno parte il direttore generale, Guillaume Poupard, il direttore generale aggiunto e il capo dello staff. La struttura è poi suddivisa in 4 sotto direzioni a loro volta suddivise in divisioni. Al netto degli stipendi, nel 2020 il budget dell'Anssi ammontava a circa 21 milioni di euro e il personale contava oltre 500 ufficiali e 100 reclute.

Anche la Germania ha un'unica autorità competente, ovvero la Federal cyber security authority (Bsi). Contrariamente a Francia e Italia questa non fa capo primo ministro (cancelliere nel caso tedesco) articolandosi invece all'interno della direzione generale Cyber and information security del ministero dell'interno. L'ufficio è stato istituito già nel 1991 ma oggi le sue funzione sono regolate principalmente de una legge del 2009. Successivi provvedimenti sono poi intervenuti sulla materia, uno già nel 2015, anticipando molti degli elementi presenti nella direttiva europea emanata l'anno successivo, e un altro solo pochi mesi fa. Con quest'ultima legge il governo tedesco ha inteso rafforzare ulteriormente la Bsi in particolare in materie come la protezione dei consumatori e la sicurezza delle aziende e nelle reti di cellulari.

Al vertice della Bsi si trovano un presidente, Arne Schönbohm, e un vice presidente. La struttura è articolata al suo interno in 8 divisioni, suddivise a loro volta in 18 rami e diverse sezioni. Il suo bilancio per il 2021 ammonta a quasi 200 milioni di euro e il suo personale a 1.550 persone.

Le informazioni sui bilanci e sul numero di persone che lavorano presso queste strutture, per quanto interessanti, sono difficilmente comparabili. Questo non solo a causa delle diverse fonti da cui sono stati raccolti i dati e delle diverse metodologie utilizzate da queste ma anche perché la cybersicurezza non è in nessun paese di competenza esclusiva di un'unica organizzazione. Strutture diverse, come i ministeri, la difesa e l'intelligence hanno ruoli importanti in questo settore ed è dunque molto difficile valutare in questi termini l'impegno di ciascun paese nella cybersicurezza.

Il rapporto con i settori della difesa e dell'intelligence

Come accennato, prima della nascita dell'Agenzia italiana di cybersicurezza il settore rientrava all'interno delle competenze del dipartimento di inormazioni per la sicurezza della repubblica (Dis). La nuova legge tuttavia ha posto l'agenzia al di fuori del comparto di intelligence, anche se rimangono molti i collegamenti tra i due settori. Intanto al sottosegretario del governo con delega all'intelligence è da ora attribuita per legge un'identica competenza in materia di cybersicurezza. Inoltre il coordinamento con il settore dell'intelligence è garantito dalla presenza di rappresentanti delle agenzie di intelligence all'interno del nucleo per la cybersicurezza, cui prendono parte anche rappresentanti di vari ministeri. Tra questi è prevista anche la presenza di un rappresentante del ministero della difesa e probabilmente è proprio in questo modo che è garantito il collegamento con Comando operazioni in rete (Cor), l'organo di cyber difesa posto sotto la catena di comando dello stato maggiore della difesa. Nelle norme pubblicate fino a questo momento tuttavia non risulta alcun esplicito collegamento tra l'agenzia e il Cor.

Anche la Federal cyber security authority tedesca è nata dal comparto dell'intelligence, prendendo le mosse all'inizio degli anni novanta da un ufficio che si occupava a livello tecnico della protezione dei segreti di stato. Negli anni tuttavia la Bsi è diventato un organo del tutto autonomo. Le relazioni con l’intelligence infatti sono mantenute tramite il Centro nazionale di difesa informatica, un organo interistituzionale di cui fanno parte varie strutture federali interessate al tema della cybersicurezza. Tramite questo organo si sviluppa anche il rapporto con il comparto militare che in Germania ha una notevole importanza in questo settore. La difesa informatica è infatti costituzionalmente demandata alle forze armate. In quest'ambito infatti nel 2017 è stato istituito il Kommando cyber (Cir), una struttura considerata al pari degli altri comandi delle forze armate tedesche, responsabile della sicurezza delle infrastrutture informatiche e dei sistemi d’arma della difesa. Data la stretta relazione tra difesa e sicurezza cibernetica in caso di necessità il Cir fornisce supporto al Bsi. Tuttavia dati gli stringenti limiti costituzionali posti in capo al comparto militare tedesco questa può fornire solo un'assistenza di tipo "amministrativo". Infatti nel caso si riveli necessario il dispiegamento di personale militare in risposta a un attacco cibernetico di portata nazionale è costituzionalmente richiesta una preventiva autorizzazione da parte del parlamento.

Come abbiamo visto, in Francia l'Anssi è strutturata all'interno del segretariato generale della difesa. Tramite questa struttura dunque sono garantiti il coordinamento con il settore militare e quello dell'intelligence. Il segretariato generale della difesa infatti ha diverse competenze sia in materia di difesa che di intelligence svolgendo per il presidente del consiglio funzioni di indirizzo, di proposta, di coordinamento e regolamentazione in materia di difesa generale e di sicurezza nazionale. Inoltre il segretario generale della difesa risponde come abbiamo visto al presidente del consiglio, sotto la cui responsabilità ricadono anche le attività dei servizi di informazione interna ed estera, pur facendo questi capo rispettivamente a ministeri dell'interno e della difesa.

European data journalism network, i dati nel resto dell'Europa

Openpolis fa parte dell'European data journalism network, una rete di realtà che si occupano di data journalism in tutta Europa. Questo articolo è stato prodotto nell'ambito del progetto Panelfit, supportato dal programma Horizon 2020 della Commissione europea (grant agreement n. 788039). La commissione non ha preso parte alla produzione dell'articolo e non è responsabile per il suo contenuto.

Per i contributi all'articolo si ringraziano Harald Zwingelberg di Unabhängige Landeszentrum für Datenschutz e Álvaro Merino di El Orden Mundial.

Foto Credit: Sigmund - Unsplash (Licenza)

L'articolo La cybersicurezza tra coordinamento europeo e organi nazionali proviene da Openpolis.

Per questo nel 2016 a livello europeo è stata emanata la direttiva Nis (Network and Information Security) di cui al momento si sta discutendo un aggiornamento. Allo stesso modo l’Italia ha ridefinito nel corso di questi anni il sistema di sicurezza cibernetica, istituendo da ultimo un’apposita agenzia.

Le nuove minacce

Secondo i risultati del rapporto Clusit 2021, anche solo considerando gli attacchi informatici di cui si ha avuto pubblicamente notizia, i numeri di questo fenomeno sono cresciuti in maniera considerevole nell'ultimo triennio.

Numeri in continuo aumento dunque che riguardano vari tipi di attacchi, con caratteristiche, motivazioni e criticità molto diversi tra loro. Se da un lato infatti a livello quantitativo sono i cybercrime, ovvero crimini comuni compiuti con l'ausilio di strumenti cibernetici, a registrare i numeri più alti, a livello di pericolosità per il sistema gli atti di cyber warfare e quelli di spionaggio o sabotaggio sono decisamente più gravi.

Proprio questi ultimi peraltro sono quelli su cui, nell'ultimo anno, si è registrata la crescita maggiore (+30,4%).

Per questo si è reso ed è tutt'ora necessario che i governi si dotino di strumenti e strutture sempre più capaci di affrontare queste minacce. Attacchi come quello alle infrastrutture sanitarie della regione Lazio nel 2021 infatti rendono del tutto evidente come lo sviluppo di sistemi tecnologici all'interno della pubblica amministrazione espongano il sistema a gravi pericoli, se non viene adeguatamente protetto.

I primi anni della cybersicurezza in Italia

Il settore della cybersicurezza ha assunto una prima definizione nel 2013, anche su impulso dell'Unione europea e della Nato.

In quell'occasione il governo Monti, attraverso un decreto della presidenza del consiglio (Dpcm 24 gennaio 2013), ha attribuito le principali competenze in materia alle agenzie di intelligence e in particolare al dipartimento d'informazioni per la sicurezza della repubblica (Dis). All'interno del Dis infatti è stato anche inserito il Nucleo per la sicurezza cibernetica (Nsc).

Nel 2016 poi l'Unione europea ha emanato la cosiddetta direttiva Nis, con lo scopo di fornire un livello elevato di sicurezza dei sistemi, delle reti e delle informazioni comune a tutti i paesi membri. L'anno successivo il governo Gentiloni ha dunque approvato un nuovo Dpcm con cui venivano recepiti alcuni primi elementi della direttiva, come ad esempio i criteri identificati a livello europeo per definire la lista degli operatori essenziali e dei fornitori di servizi digitali. Il provvedimento inoltre istituiva presso il ministero dello sviluppo economico il centro di valutazione e certificazione nazionale (Cvcn) per la verifica degli standard di sicurezza dei prodotti tecnologici destinati a essere impiegati nelle infrastrutture critiche del paese. Nel 2018 lo stesso esecutivo ha poi approvato un nuovo decreto legislativo con cui è stata recepita interamente la direttiva europea.

La nuova architettura del settore

Con questi provvedimenti si è iniziato a identificare il perimetro entro il quale operava il settore della sicurezza cibernetica. Un percorso che ha trovato pieno compimento nel 2019 quando il secondo governo Conte, appena entrato in carica, ha approvato un decreto legge intitolato per l’appunto "Disposizioni urgenti in materia di perimetro nazionale di sicurezza cibernetica".

Il decreto legge 82/2021, approvato dal governo Draghi, ha infine riformato in maniera considerevole il settore istituendo l'Agenzia per la cybersicurezza nazionale (Acn). Questa ha incorporato la maggior parte delle competenze precedentemente attribuite a vari altri organi. Primi tra tutti il Dis e il ministero dello sviluppo economico per quanto riguarda il centro di valutazione e certificazione nazionale.

L'agenzia è posta sotto il controllo della presidenza del consiglio, ed è al presidente del consiglio cui spetta la nomina del direttore e del vicedirettore. Al contempo però non si tratta di un dipartimento organico al resto dell'amministrazione. Trattandosi di un'agenzia infatti a questa è garantita autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria.

Quanto alla struttura organizzativa è interessante notare che se da un lato l'agenzia non è stata inserita all'interno del sistema di informazioni per la sicurezza della repubblica dall'altro il decreto istitutivo ricalca in modo piuttosto fedele la struttura e la disciplina prevista per l'intelligence (legge 124/2007).

Come per l'intelligence infatti è attribuito al Copasir (comitato parlamentare per la sicurezza della repubblica) il controllo democratico parlamentare. Al presidente del consiglio invece è attribuita in via esclusiva l'alta direzione e la responsabilità generale delle politiche di cybersicurezza oltre che l'adozione della strategia nazionale di cybersicurezza. Le altre competenze del presidente del consiglio invece possono essere svolte all'autorità delegata (il sottosegretario con delega ai servizi di intelligence) nel caso in cui questa figura venga istituita. Anche le norme che regolano la nomina dei vertici sono Identiche quelle previste per il settore dell'intelligence. Infine anche in questo caso è istituito un organo interministeriale, il Cic (comitato interministeriale per la cybersicurezza). Una struttura del tutto simile al comitato interministeriale per la sicurezza della repubblica (Cisr) di cui assume peraltro le competenze in materia di sicurezza cibernetica.

Gli organi di coordinamento nazionali

Non tutto il settore della cybersicurezza è però di competenza della nuova agenzia, che infatti lavorerà in stretto contatto con vari altri comparti tra cui quello di intelligence. Il dialogo tra i diversi soggetti è previsto attraverso due organi. Uno è per l'appunto il Cic, l'altro è il nucleo per la cybersicurezza. Le due strutture operano su livelli istituzionali diversi.

Il primo infatti riunisce il direttore dell'agenzia, che svolge il ruolo di segretario, il presidente del consiglio, che lo presiede, l'autorità delegata e i ministri degli esteri, dell'interno, della giustizia, della difesa, dell'economia, dello sviluppo economico, della transizione ecologica, dell'università, della transizione digitale e delle infrastrutture. Tra i compiti del comitato rientrano quello di proporre al presidente del consiglio gli indirizzi generali da perseguire, l'alta sorveglianza sull'attuazione della strategia e la promozione delle iniziative per favorire la collaborazione, a livello nazionale e internazionale, tra i diversi soggetti istituzionali di settore.

Il nucleo per la cybersicurezza invece opera a un livello più operativo. Al contrario del Cic il nucleo è un organo permanente, che si occupa degli aspetti relativi alla prevenzione e alla preparazione ad eventuali situazioni di crisi. È presieduto dal direttore dell'agenzia o dal vicedirettore e ne fanno parte il consigliere militare del presidente del consiglio, un rappresentante di ciascuna delle agenzie di intelligence, della protezione civile e di ciascuno dei ministeri presenti nel Cic.

Sia del Cic che del nucleo per la cybersicurezza fanno parte il ministro della difesa o dei sui rappresentanti. In nessuno dei due casi però è esplicitamente citato il Comando operazioni in rete (Cor), che tuttavia è un organo molto importante in questo settore. Istituito nel 2020 e posto sotto la catena di comando dello stato maggiore della difesa, a questo organo spetta infatti il compito di coordinare le attività di sicurezza e difesa cibernetica delle forze armate.

Il coordinamento a livello europeo

In linea generale è utile tenere presente l'importanza e la complessità del coordinamento nelle attività di intelligence. La cybersicurezza certo non rientra propriamente in questa definizione, ma come abbiamo visto da molti punti di vista ci si avvicina molto. Sarà quindi tutta da verificare la capacità di questi organismi di superare i tradizionali problemi di intelligence sharing che possono caratterizzare sia i rapporti con altre agenzie nazionali che, a maggior ragione, con agenzie estere.

Da quest'ultimo punto di vista infatti è importante ricordare il ruolo dell'Agenzia quale nuova autorità competente Nis, ovvero il punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi. Da un punto di vista generale dunque è l'Acn a mantenere il dialogo e la condivisione con l'agenzia europea per la cybersicurezza (Enisa) e con le altre agenzie o organi dei vari paesi membri.

A un livello più operativo invece è attribuito al Csirt italiano (gruppo di intervento per la sicurezza informatica in caso di incidente) il compito di collaborare con gli altri Csirt dei paesi membri dell'Unione europea e con il computer emergency response team dell'agenzia europea.

Le potenziali criticità nella condivisione di informazioni a livello europeo e internazionale d'altra parte sono abbastanza evidenti già leggendo il testo della norma che la disciplina. Qui infatti da un lato si esprime l'obbligo di cooperazione e dall'altro si stabiliscono precisi limiti e cautele nella condivisione di queste stesse informazioni.

L'agenzia per la cybersicurezza

Istituita a metà del 2021, l'agenzia per la cybersicurezza ha ricevuto per il primo anno modeste dotazioni finanziarie. D'altronde una struttura così importante che deve assorbire da altri organi personale e infrastrutture già in uso, richiede tempo per entrare effettivamente in funzione. Già dal 2022 infatti il bilancio assegnato al nuovo organo passerà da 2 a 41 milioni di euro, per poi continuare a crescere in modo considerevole fino al 2027.

Per trasformare l'agenzia da un guscio vuoto a un organo operativo a tutti gli effetti il governo ha scelto due figure di prestigio per il ruolo di direttore e vicedirettore. Al vertice dell'agenzia infatti è stato nominato Roberto Baldoni, già vice direttore del Dis con delega proprio alla cybersicurezza. Come sua vice invece è stata nominata Nunzia Ciardi ovvero l'ex direttrice della polizia postale, il corpo addetto al contrasto del cybercrime.

Quanto al resto della struttura e del personale il regolamento dell'agenzia, recentemente posto al vaglio del parlamento, prevede un massimo di 8 servizi generali, suddivisi al loro interno in divisioni. A capo di queste potranno essere assegnati 24 dirigenti di livello non generale, mentre all'organico non dirigenziale è posto un limite massimo di 268 persone.

European data journalism network, i dati nel resto dell'Europa

Openpolis fa parte dell'European data journalism network, una rete di realtà che si occupano di data journalism in tutta Europa. Questo articolo è stato prodotto nell'ambito del progetto Panelfit, supportato dal programma Horizon 2020 della Commissione europea (grant agreement n. 788039). La commissione non ha preso parte alla produzione dell'articolo e non è responsabile per il suo contenuto.

Foto Credit: ministero dell'interno

L'articolo L’Italia e le istituzioni per la cybersicurezza proviene da Openpolis.

Negli anni l’Enisa è diventata centrale per lo sviluppo di una strategia comune di sicurezza informatica. Nel 2019 infatti gli è stato attribuito anche un nuovo scopo e una nuova denominazione, sebbene l’acronimo continui a richiamare il nome originario (Agenzia europea per la sicurezza delle reti e dell’informazione, in inglese: European network and information security agency).

Si tratta insomma del punto di riferimento per lo sviluppo del piano europeo per la sicurezza delle reti informatiche. Senza una strategia di difesa comune, senza una protezione a livello di europeo, l’Unione sarebbe un facile bersaglio per i crimini informatici. La commissione ha infatti proposto la creazione dell’Enisa proprio per disporre di un’agenzia che ha come primo impegno quello di mettere in sicurezza il continente, sistemare le questioni in sospeso e garantire che non vi siano direttive disapplicate con il rischio che alcuni paesi rimangano vulnerabili agli attacchi. Inoltre, l’agenzia lavora a stretto contatto con Europol e il Centro europeo per la criminalità informatica.

Nel 2004, quando internet stava entrando nella vita quotidiana dei cittadini, si trattava di un progetto un po’ in anticipo sui tempi. Ma con la crescita delle tecnologie dell’informazione e della comunicazione (Itc), anche i rischi associati sono cresciuti in modo esponenziale. Con il passare degli anni la protezione contro la criminalità informatica è passata da essere una precauzione a essere una necessità e il lavoro dell’Enisa si è rivelato cruciale.

Senza questa agenzia, attacchi informatici come quello che ha colpito l’ospedale universitario di Brno (Repubblica Ceca) nel marzo 2020, causando, nel bel mezzo della pandemia, il rinvio delle operazioni urgenti e il trasferimento di pazienti gravemente malati, sarebbero stati molto più frequenti. La pandemia ha complicato le cose: nell’accelerare la trasformazione digitale della società e dell’economia, le minacce si sono moltiplicate e si sono diversificati anche i settori, dall’approvvigionamento idrico al controllo delle nostre case, ormai sempre più connesse.

Una crescita progressiva

L’Enisa è stata concepita come una piccola agenzia con un compito specifico: aiutare le istituzioni e le organizzazioni all’interno dell’Ue e degli stati membri a proteggere la propria connettività. Nel 2008, un anno prima che scadesse il suo mandato iniziale, il parlamento europeo e il consiglio hanno deciso, su proposta della commissione, di rinnovarlo fino al 2012. L’opera di valutazione e il miglioramento della protezione delle reti europee era infatti appena iniziata.

Nel 2011 il mandato è stato di nuovo prorogato al 2013 e poi ancora al 2020. A differenza delle precedenti proroghe però, nell’ultimo caso è stato anche ampliato il ruolo dell’agenzia. In concomitanza con la pubblicazione della prima strategia per la sicurezza informatica dell’Ue, l’agenzia è stata inoltre modernizzata per adattarla ai compiti derivanti da alcuni aspetti del suo nuovo mandato. Tra questi, il più importante era lo sviluppo di una rete di team per la gestione delle emergenze informatiche (Eu Cert), diffusa in tutte le capitali europee.

Dunque è stato solo nel 2019, con l’approvazione del Cybersecurity Act, che l’Enisa ha ricevuto il suo mandato definitivo. Oltre a un aumento delle risorse, la nuova normativa ha reso permanente il mandato del 2004, ha cambiato la sua denominazione in Agenzia dell’Unione Europea per la cibersicurezza e ha ampliato il suo ruolo consultivo, fornendole poi per la prima volta chiare istruzioni operative.

L’agenzia ha anche iniziato ad aiutare gli stati membri a definire le priorità per il finanziamento di ricerca e sviluppo, lavorando inoltre per creare un sistema di certificazioni di sicurezza per prodotti e servizi Ict nell’Ue.

Perché le imprese e i consumatori possano fidarsi della sicurezza delle loro informazioni online, devono utilizzare dispositivi sicuri, ma la mancanza di un sistema di certificazione europeo unificato mina questa fiducia e limita il commercio transfrontaliero. Proprio per questo l’Enisa ha il compito di stabilire criteri comuni e unificare i meccanismi nazionali per il rilascio delle certificazioni di sicurezza informatica. Un elemento fondamentale per una serie di prodotti e servizi dalle smart card – carte di credito, abbonamenti bus, carte Sim – ai servizi cloud.

Per quanto riguarda il finanziamento, l’Enisa ha visto aumentare di anno in anno il proprio budget fino a quasi 22 milioni di euro nel 2020. Cinque volte in più rispetto al budget iniziale.

La gran parte delle risorse proviene dalla commissione europea, mentre i paesi See (Islanda, Liechtenstein, Norvegia e Svizzera) e la Grecia – dove ha sede l’agenzia – contribuiscono con piccole risorse aggiuntive. Nel 2019 l’Enisa contava settantacinque dipendenti.

Il ruolo crescente dell'agenzia nella strategia europea di sicurezza informatica ha inoltre reso necessario, agli occhi della commissione, avvicinare la sede dell'organizzazione al centro del potere europeo. Per questo, anziché cambiare sede, nel giugno scorso è stata autorizzata l'apertura di una terza sede a Bruxelles con lo scopo di mantenere una “cooperazione regolare e sistematica” tra l'agenzia e le istituzioni europee.

Un passo dopo l'altro, l'agenzia ha rappresentato un pilastro della sicurezza informatica europea sin dalla sua fondazione nel 2004. Il culmine di questo processo è stato l'apertura del suo nuovo ufficio a Bruxelles e il consolidamento delle sue funzioni operative. Un cambiamento che esprime il tentativo da parte dell'Unione di affrontare gli attacchi informatici con un ruolo da protagonista.

European data journalism network, i dati nel resto dell'Europa

Openpolis fa parte dell'European data journalism network, una rete di realtà che si occupano di data journalism in tutta Europa. La versione originale di questo articolo è di El orden Mundial (Eom) ed è stato prodotto nell'ambito del progetto Panelfit, supportato dal programma Horizon 2020 della Commissione europea (grant agreement n. 788039). La commissione non ha preso parte alla produzione dell'articolo e non è responsabile per il suo contenuto.

Foto Credit: Markus Spiske - Unsplash (Licenza)

L'articolo L’Enisa e la strategia europea di cibersicurezza proviene da Openpolis.

Le nuove strutture ricalcano in gran parte quelle previste per il sistema di intelligence, cui sottraggono anche alcune competenze. Tuttavia l’agenzia per la cybersicurezza è stata tenuta fuori dal Sistema di informazione per la sicurezza della repubblica (Sisr). I due settori opereranno dunque in stretto raccordo ma a fronte di una chiara separazione di competenze.

Un’agenzia per la cybersicurezza

Il tema della cybersicurezza è ormai sempre più rilevante e lo sarà ancora di più mano a mano che prenderanno piede le tecnologie legate al 5G e con la progressiva digitalizzazione della pubblica amministrazione.

Per questo appare senza dubbio opportuno, se non tardivo, che l’Italia si sia dotata di un’agenzia specializzata nei temi della cybersicurezza centralizzando competenze prima attribuite a una molteplicità di ministeri e agenzie di intelligence.

D’altronde anche il Pnrr presentato dal nostro paese a Bruxelles prevede ben 9,75 mld di euro nel settore della digitalizzazione. Tra queste risorse circa 62 milioni sono attribuiti al tema della cybersecurity. In particolare 241 mln sono destinati allo sviluppo di un’infrastruttura di cybersicurezza, 231 al rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica e 15 al rafforzamento delle capacità nazionali di difesa informatica presso vari ministeri.

La cybersicurezza e il sistema di informazione per la sicurezza della repubblica

Come accennato, fino a questo momento il comparto della sicurezza informatica era gestito da una molteplicità di attori pubblici. Tra questi un ruolo centrale era rivestito dalle agenzie di intelligence appartenenti al Sistema di informazione per la sicurezza della repubblica.

Non a caso, pur non essendoci ancora nulla di ufficiale, da più parti è stato fatto il nome di Roberto Baldoni, come possibile direttore della nuova agenzia. Un nome in effetti piuttosto adatto a questo tipo di incarico. Infatti Baldoni è vicedirettore del dipartimento di informazioni per la sicurezza della repubblica (Dis) con delega alla cybersecurity.

Molti altri aspetti accomunano l’agenzia della cybersicurezza alle agenzie di intelligence. Anche questa infatti è posta sotto l’alta direzione e la responsabilità generale del presidente del consiglio, che inoltre ne nomina i vertici. Anche in questo caso è l’autorità delegata, se istituita, a fare le veci del presidente del consiglio nelle funzioni su cui non detiene una competenza esclusiva. Inoltre, il decreto istitutivo attribuisce diverse funzioni specifiche al Comitato parlamentare per la sicurezza della repubblica (Copasir).

Alcune parti del testo in effetti riprendono in maniera fedele le disposizioni previste dalla legge 124 con cui nel 2007 è stato riformato il comparto dell’intelligence. È ad esempio il caso della norma che disciplina la durata in carica dei vertici dell’agenzia. Una norma identica a quelle previste per i vertici del Dis (art. 4 comma 5), dell’Aisi (art. 6 comma 7) e dell’Aise (art. 7 comma 7). E questo nonostante il fatto che quella stessa disposizione sia il risultato di una modifica introdotta dal secondo governo Conte, che all’epoca suscitò grandi proteste da parte dell’opposizione.

Come per l’intelligence infine è previsto una specifico organo interministeriale, ovvero il comitato interministeriale per la cybersicurezza (Cic). Anche in questo caso la struttura è identica ma per il Cic è prevista la partecipazione in via ordinaria di tre ministri in più rispetto al comitato interministeriale per la sicurezza della repubblica (Cisr). Inoltre mentre nel Cisr è il capo del Dis a svolgere le funzione di segretario, nel caso del Cic questo compito spetta al direttore dell’agenzia per la cybersicurezza.

Sistemi integrati ma distinti

Come abbiamo visto dunque il nuovo comparto ricalca in gran parte la struttura del sistema di intelligence. Inoltre sia l’agenzia che la commissione interministeriale assorbono alcune competenze in materia di cybersicurezza che in precedenza erano appannaggio del Cisr, dell’Aisi e dell’Aise (Art. 16 d.l. 82/2021).

Tuttavia, pur trattandosi anche in questo caso di strutture che si occupano di sicurezza, queste non sono state inserite all’interno del perimetro del sistema di informazioni per la sicurezza della repubblica.

Si è invece scelto di creare una specie di duplicato, che pur dovendo in molti casi agire in maniera integrata, opera separatamente rispetto al sistema di intelligence. Questo infatti mantiene le competenze in materia di cyber-intelligence così come il ministero della difesa mantiene le competenze di cyber-defence.

Eppure una delle importanti innovazioni della riforma del 2007 era stata proprio quella di portare tutto il comparto nel quadro un “sistema coeso ed organico“. D’altronde è noto come in questo settore sia importante creare catene di comando ben definite. Infatti problemi di intelligence sharing (condivisione di informazioni tra agenzie) esistono non solo in campo internazionale, ma anche tra agenzie dello stesso paese.

Anche in questo caso si procede per decreti legge

La ragione per cui è stato deciso di non inserire la cybersicurezza all’interno del Sisr è probabilmente legata al fatto che la nuova agenzia ha compiti più ampi e comunque non propriamente definibili come di intelligence. Questo almeno sembra intendersi dalle poche pagine di cui è composta la relazione della camera dei deputati sul disegno di legge di conversione del d.l. 82/2021.

Certo se invece che con un decreto legge si fosse proceduto con una legge ordinaria, come avvenuto con la riforma del 2007, probablmente oggi disporremmo di una più esaustiva documentazione sulle ragioni che hanno spinto a definire per la cybersicurezza una struttura di questo tipo.

Le ragioni di “necessità e urgenza” formalmente necessarie all’emanazione di un decreto legge sono probabilmente rintracciabili nella necessità di inserire questo provvedimento nel quadro del Pnrr. Ciò nonostante si tratta di un altro caso che contribuisce a rendere sempre più evidente come dal 2007 a oggi il ricorso ai decreti legge da parte del governo, a discapito delle leggi ordinarie, sia aumentato in maniera esponenziale.

Gli aspetti mancanti per una piena attuazione delle norme sulla cybersicurezza

Certo la possibilità di una discussione in commissione e in aula è sempre possibile in sede di conversione del decreto. Conversione rispetto alla quale il parlamento avrà probabilmente meno tempo rispetto ai 60 giorni formalmente previsti. È probabile infatti che le camere decideranno di sospendere le proprie attività per una parte del periodo estivo.

Oltre a questo passaggio poi, per rendere operativo il decreto, sarà necessaria l’approvazione di 8 provvedimenti attuativi da parte della presidenza del consiglio, tra cui il decreto organizzativo della nuova agenzia.

Un passaggio non scontato considerando la lentezza con cui di norma vengono approvati questo tipo di provvedimenti.

Peraltro questo non è l’unico decreto in materia di cybersicurezza varato negli ultimi anni che ancora necessita dell’approvazione di provvedimenti attuativi. A settembre 2019 infatti il secondo governo Conte ha approvato il decreto 105/2019 in materia di perimetro di sicurezza nazionale cibernetica. Un testo che prevedeva l’approvazione di 7 provvedimenti attuativi di cui 2 ancora mancano all’appello.

Foto Credit: Sistema di informazione per la sicurezza della repubblica

L'articolo Nasce l’agenzia per la cybersicurezza proviene da Openpolis.