La governance della cybersicurezza e la strategia nazionale Mappe del potere

Dopo l’adozione della legge con cui, a metà 2021, è stata istituita l’agenzia per la cybersicurezza nazionale (Acn) occorre del tempo affinché l’organo entri pienamente in funzione. Dopo circa un anno molte delle sue strutture sono almeno in parte operative o comunque sono state più chiaramente delineate grazie all’adozione di vari provvedimenti, non da ultimo la strategia nazionale di cybersicurezza.

I rischi individuati

L’adozione della strategia nazionale è uno dei passaggi chiave affinché l’azione dell’agenzia e degli altri organi che si occupano del tema si sviluppi in modo coerente e sinergico. Non a caso il documento non è stato adottato in autonomia dall’Acn. Al contrario, è una responsabilità che la legge attribuisce al presidente del consiglio (art. 2 d.l. 82/2021), sentito il comitato interministeriale di cybersicurezza (Cic). Quest’organo include tutti i ministri con le responsabilità più importanti nel settore, oltre che il presidente del consiglio, l’autorità delegata e il direttore dell’agenzia, con funzioni di segretario. Si tratta dunque di un documento discusso collegialmente, in modo da tenere in considerazione tutti i possibili profili d’interesse.

Il documento si esprime su molteplici aspetti tra i quali di fondamentale importanza sono l’individuazione dei rischi e la definizione degli obiettivi.

Innanzitutto la strategia identifica 3 rischi sistemici. Questi riguardano la cybercriminalità, possibili ingerenze da parte di governi esteri tramite società tecnologiche controllate o influenzate e la diffusione di fake news e disinformazione.

Sfide e obiettivi

Tali rischi sono poi declinati in 5 sfide che l’agenzia, ma più in generale tutto il comparto della cybersicurezza, si propone di affrontare:

1. assicurare una transizione digitale cyber resiliente della pubblica amministrazione e del tessuto produttivo;
2. autonomia strategica nazionale ed europea nel settore del digitale;
3. anticipare l’evoluzione della minaccia cyber;
4. gestione di crisi cibernetiche;
5. contrastare la disinformazione.

Come si può vedere si tratta di temi che riguardano più o meno direttamente una pluralità di soggetti. Così mentre la prima sfida si riferisce soprattutto alla pubblica amministrazione, a tutti i livelli, la seconda si pone in un terreno di dialogo tra istituzioni nazionali ed europee e settore privato.

La terza e la quarta sfida invece riguardano soprattutto le capacità sia predittiva che operativa di gestione delle crisi e coinvolgono i vari attori che si occupano di sicurezza cibernetica, difesa e intelligence. Sempre l’intelligence poi è in parte coinvolta nella quinta sfida, che tuttavia assume un profilo delicato riguardando un tema costituzionalmente garantito come la libertà di espressione. Infatti da un lato è vero che assicurare che il dibattito non sia inquinato è molto importante per il libero gioco democratico. Dall’altro però proprio in questi giorni si discute su quali siano i limiti che l’intelligence dovrebbe rispettare su un tema così delicato.

In ogni caso, allo scopo di fronteggiare queste sfide, sono stati delineati 3 obiettivi volti a perseguire la protezione, la risposta e lo sviluppo.

La protezione riguarda soprattutto la capacità di creare un ambiente sicuro potenziando le capacità del centro di valutazione e certificazione nazionale (Cvcn), mantenendo il quadro giuridico aggiornato e sviluppando le capacità dei vari attori di settore.

La risposta concerne la capacità di reazione nei momenti di crisi. Questi potrebbero richiedere un intervento dei vertici politici, a cominciare dal presidente del consiglio, mentre il livello operativo è assicurato dal nucleo per la cybersicurezza e quello tecnico dal Csirt Italia.

Infine l’obiettivo sviluppo è dedicato proprio al rilancio dell’innovazione tecnologica nel nostro paese, in un’ottica sia industriale che di ricerca.

La governance

Ciascuno degli obiettivi previsti è poi dettagliato in un piano di implementazione che identifica gli attori responsabili e gli altri soggetti interessati.

Per ognuna delle 82 misure in cui è suddiviso il piano di implementazione sono indicate in maniera puntuale le organizzazioni responsabili e gli altri soggetti interessati. Analizzando questa distribuzione di competenze da un punto di vista quantitativo emerge chiaramente come l’agenzia abbia in questo settore una posizione preminente, per quanto non esclusiva.

Dunque la nascita dell'agenzia non ha esaurito tutte le competenze già attribuite ad altri organi. Ma l'analisi quantitativa non rende giustizia ad alcuni attori che invece, come si legge nel documento, rimangono ancora molto importanti in contesti specifici. Prime tra tutte le agenzie di informazione per la sicurezza in materia di cyber-intelligence, il ministero della difesa in materia di cyber-difesa e il ministero dell'interno per la cybercriminalità, in particolare attraverso il dipartimento di pubblica sicurezza e la polizia postale.

Le risorse del Pnrr

La transizione digitale è un processo fondamentale per lo sviluppo del paese, ma come abbiamo visto comporta dei rischi. Per sviluppare infrastrutture solide e organizzazioni in grado di proteggerle sono dunque necessarie molte risorse.

Per questo il Piano nazionale di ripresa e resilienza (Pnrr) ha destinato al macro tema Digitalizzazione (classificazione originale openpolis) oltre un miliardo e mezzo di euro. Di questi oltre un terzo sono destinati alla sicurezza digitale.

La misura è attribuita alla responsabilità del dipartimento della trasformazione digitale e dunque al ministro Colao. Il soggetto attuatore però è proprio l'agenzia per la cybersicurezza.

L'utilizzo di queste risorse è sottoposto al rispetto di una serie di scadenze concordate con l'Unione europea. Cinque di queste devono essere completate entro la fine del 2022 mentre altre 4 entro la fine del 2024.

Delle prime una è stata completata in anticipo, ovvero l'istituzione dell'agenzia. Altre due sono in corso ("dispiego iniziale dei servizi nazionali di cybersecurity" e "avvio della rete dei laboratori di screening e certificazione della cybersecurity") e le rimanenti devono ancora essere avviate.

Foto: Unsplash - Emile Perron