La Cybersecurity in Italia. Il punto sul quadro normativo.

Negli ultimi 10 anni il quadro normativo di riferimento in materia cibernetica è profondamente mutato, segno della crescente rilevanza strategica del tema, in particolar modo sui potenziali effetti che la minaccia cibernetica può generare in riferimento alla Sicurezza Nazionale. Su richiesta dell’Ue, gli Stati membri si sono dovuti infatti attrezzare per far fronte ad una società in velocissima trasformazione. In Italia la prima architettura nazionale cibernetica viene creata con il Decreto Monti, nei primissimi giorni del 2013. Il legislatore in quel momento decise di dare la responsabilità sulla materia al Consigliere Militare del Presidente del Consiglio, un ufficiale di massimo grado, ma pur sempre con mezzi e risorse ridottissime, direi quasi nulle. Nel 2015, con il Governo Renzi, fu emanata un’ulteriore normativa riguardante la cyber security con l’intento di rafforzare ulteriormente quanto precedentemente fatto con il Decreto Monti. Furono due i punti cardine della nuova Direttiva: da un lato si cercava di perseguire un maggior coordinamento di tutta la P.A., dall’altro di sviluppare una forte partnership con il settore privato, a partire dai grandi gruppi che gestiscono anche funzioni essenziali per il sistema-Paese.

… nel 2017 viene creata una nuova strategia nazionale per la cyber security

Particolarmente significativa è, poi, la Network and Information Systems (NIS) 2016, emanata dal Parlamento Europeo e con data di recepimento al 2018. Questa Direttiva va ad imporre ai paesi appartenenti all’Ue l’obbligo di dotarsi di requisiti minimi di sicurezza delle reti e dei sistemi informativi relativamente i fornitori di servizi essenziali. Parliamo di settori strategici come la sanità, l’energia, i trasporti, le banche, i mercati finanziari, la fornitura e la distribuzione di acqua potabile, le infrastrutture digitali, ecc.. La Direttiva NIS 2016 è di rilevanza strategica perché può essere considerata, a tutti gli effetti, la prima vera norma di “Difesa comune europea”. Nel 2017, con il Decreto Gentiloni, il legislatore modifica e potenzia ulteriormente l’architettura nazionale cibernetica. Viene creata una nuova strategia nazionale per la cyber security e la responsabilità passa dall’Ufficio del Consigliere militare del Premier al Dipartimento Informazioni per la Sicurezza (DIS). Il Comparto Intelligence si prende, dunque, il gravoso compito di armonizzare la normativa all’interno di tutta la P.A. e di farsi carico della risoluzione delle problematiche cibernetiche del sistema- Paese attraverso il neo costituito Nucleo per la Sicurezza Cibernetica (NSC).

L’ulteriore e decisivo passo in avanti in materia lo si fa, però, con la creazione del “Perimetro di Sicurezza Nazionale Cibernetica”, siamo nel Governo Conte. Il Perimetro rappresenta, per l’Italia e in Europa, una novità senza precedenti nella normativa di settore ed una vera opportunità per aiutare a far crescere in competitività le imprese strategiche del nostro Paese. Possono rientrare nel Perimetro di Sicurezza Nazionale Cibernetica i soggetti, pubblici o privati, che forniscono un “servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato”. Parliamo di spazio e aerospazio, energia, telecomunicazioni, trasporti, interno, difesa, economia e finanza, servizi digitali, tecnologie critiche, enti sanitari e previdenziali. La nuova norma prevede che gli operatori, entro sei mesi dalla ricezione della comunicazione che li inserisce nel perimetro, debbano comunicare le reti, i sistemi informativi ed i servizi informatici che vengono utilizzati per erogare le funzioni e i servizi essenziali dello Stato inclusi nel perimetro. A metà del 2021, con il Governo Draghi, abbiamo visto, infine, la nascita dell’Agenzia per la Cybersicurezza Nazionale (ACN).

L’Agenzia ha compiti di cyber resilience e cyber security, a tutela della Sicurezza Nazionale, e avrà soprattutto il compito di coordinare tutta la pubblica amministrazione. È dovere, infatti, di ogni Ministero spingere al proprio interno per accrescere la sicurezza cibernetica del sistema Paese. Negli ultimi anni, ad esempio, al Ministero della Difesa ci siamo concentrati molto sulla creazione di due nuovi comandi, il Comando per le Operazioni in Rete (COR) e il Comando per le Operazioni Spaziali (COS). Un passaggio epocale che proietta l’Italia tra i paesi dell’Ue, e non solo, in grado di affrontare le sfide del futuro. Gli obiettivi previsti dalla legge sono quelli di far raggiungere all’ACN un organico di 300 persone entro il 2023, risorse umane che dovranno poi arrivare al numero di 800 a fine 2027. Così come ha annunciato il Direttore Roberto Baldoni, la campagna di reclutamento partirà quest’anno.

Al netto del quadro normativo in continua evoluzione, sarà fondamentale per il nostro Paese riuscire a diffondere costantemente la cultura della sicurezza cibernetica, a spingere sull’alfabetizzazione della popolazione italiana, a creare una reale e fattiva sinergia tra pubblica amministrazione, mondo accademico e gruppi privati, soprattutto con quel tessuto di piccole e medie imprese e di startup del settore. In un mondo sempre più proiettato verso l’intelligenza artificiale e l’Internet of Everythings la vera sfida che ci attende, come Italia, ma soprattutto come Europa, sarà quella sul futuro modello di democrazia che si affermerà all’interno della sempre più significativa “società digitale”. Fare la nostra parte, per essere pronti ai futuri complessi scenari, non è più solo un semplice dovere di persone responsabili ma a breve sarà una vera e proprio esigenza di “sopravvivenza”.