Agenzia per la cybersicurezza nazionale: cos'è e perché nasce

Articoli Data pubblicazione: 09-05-2022

Agenzia per la cybersicurezza nazionale: cos'è e perché nasce

Come abbiamo visto qualche tempo fa nell'articolo Cyber security e sicurezza nazionale, l'evoluzione delle tecnologie e degli equilibri geopolitici che hanno interessato gli ultimi anni ha spinto molte delle istituzioni globali ad intraprendere alcuni interventi strategici volti a potenziare il livello di sicurezza informatica dei settori più rilevanti per lo sviluppo del paese. In linea con molti altri governi, anche l'Italia ha deciso di introdurre alcune misure significative, tra cui l'istituzione dell'Agenzia per la cybersicurezza nazionale, un organismo complesso che si propone di accentrare diverse competenze utili al rafforzamento della sicurezza digitale statale, adeguando gli strumenti e le conoscenze del settore alle sfide imposte dalla contemporaneità.

L'Agenzia nazionale per la cyber sicurezza nasce dal contributo sinergico di più attori, quali l'intelligence nazionale, la Presidenza del Consiglio, la Pubblica amministrazione e il Ministero della Difesa. Incentrata sul concetto di cyber resilience, lo scopo principale di questa entità sarà incrementare la capacità nazionale di far fronte ai possibili attacchi hacker, intensificando le opere di monitoraggio e prevenzione necessarie a garantire al paese una transizione digitale sicura ed efficiente.

L'istituzione di questo ente si inserisce in un disegno più ampio finalizzato ad un incremento del livello di digitalizzazione degli organismi burocratici:  la nascita di un sistema integrato che permetta alla Pubblica Amministrazione di interfacciarsi agevolmente per mezzo del web, tanto con il cittadino quanto con il mondo dell'impresa e dei servizi, non può infatti prescindere dall'esistenza di protocolli condivisi che garantiscano la sicurezza delle informazioni scambiate. All'interno di questo disegno, la funzione dell'ACN (Agenzia per la Cybersicurezza Nazionale) si esprime attraverso il coordinamento delle parti coinvolte nel processo e la produzione regolamentare, completa delle attività sanzionatorie ad essa connesse. Oltre a ciò, l'Agenzia si occupa anche di sensibilizzare la collettività in merito ai temi inerenti la cybercicurezza e di promuovere corsi per la formazione di figure professionali specializzate.

 

Perché la nascita dell'ACN è così importante?

L'azione dell'Agenzia per la Cybersicurezza Nazionale ruota attorno all'idea di cyber resilience, un principio per lo più inedito nel panorama concettuale che orienta le iniziative governative in tema di sicurezza nazionale. Le operazioni condotte finora per garantire l'incolumità dei dati e dei sistemi informatici utili allo sviluppo del paese sono state portate avanti avvalendosi di logiche diverse, incentrate sullo studio delle minacce informatiche e degli attacchi condotti in contesti di guerra ibrida, finalizzate ad organizzare una risposta attiva soltanto nel momento in cui l'evento tendeva a concretizzarsi.

Questi atteggiamenti, propri delle modalità organizzative della cyber intelligence, della cyber investigation e della cyber defence, si discostano invece da quanto previsto dalla resilienza cibernetica, che più che all'indagine delle possibili minacce dedica i propri sforzi al rafforzamento delle risorse interne. Coerentemente con questi principi, l'Agenzia nazionale per la cybersicurezza è destinata a curare l'impianto normativo, organizzativo e tecnologico degli organismi coinvolti nell'opera di digitalizzazione del paese, con lo scopo di rendere sicuro lo spazio informatico entro cui collaboreranno.

 

Quali sono le funzioni dell'ACN?

Dopo aver accennato a grandi linee quali sono le sue principali aree di competenza, è bene approfondire quali siano nel dettaglio le funzioni attribuite all'ACN. Secondo quanto riportato nel DPCM del 16 settembre 2021, l'Agenzia per la cyber sicurezza nazionale dovrebbe supervisionare il corretto adempimento agli obblighi previsti dalla direttiva NIS riveduta, dal Decreto legge n.105 del 21/09/2019, inerente all'organizzazione del Perimetro di Sicurezza Nazionale, e dal Codice delle Comunicazioni Elettroniche, stabilendo quali siano i parametri minimi che le Pubbliche Amministrazioni saranno costrette a rispettare in termini di sicurezza e capacità elaborativa. Ovviamente, una volta stabiliti i limiti, sarà sempre dell'Agenzia il compito di farli rispettare, imponendo aspre sanzioni a chi non adempirà in tempo utile agli obblighi previsti.

L'ente avrà la responsabilità di sovraintendere alla cura delle attività ispettive finalizzate alla valutazione delle condizioni di sicurezza adottate dai soggetti pubblici e privati, emettendo, attraverso il Centro di Valutazione e Certificazione Nazionale, un'attestazione che garantisca il rispetto degli standard di legge. Per incrementare la transizione verso una gestione digitale dei dati da parte della Pubblica Amministrazione, l'ACN sarà inoltre incaricata di svolgere attività che favoriscano l'utilizzo del cloud e la qualificazione dei servizi ad esso connessi.

L'introduzione dell'utilizzo del cloud nella gestione dei dati inerenti alla amministrazione pubblica comporterà la redazione di alcuni piani di migrazione specifici che sappiano tenere conto del grado di riservatezza delle informazioni implicate. Classificando i servizi e i dati come strategici, critici o ordinari si potranno elaborare strategie specifiche per la migrazione di ogni categoria, preservando la sensibilità dell'oggetto trasposto. Affiancata dal Dipartimento per la trasformazione digitale, l'Agenzia per la cibersecurity nazionale sarà incaricata di validare l'efficienza dei piani d'azione, evidenziandone le eventuali falle.

Pur prediligendo modalità incentrate sul concetto di resilienza cibernetica, l'ACN dovrà offrire anche un consistente contributo alla preparazione e alla gestione delle risposte ad eventuali attacchi hacker. Incaricato di questa funzione è il Computer Security Incident Response Team, o CSIRT, un gruppo di tecnici altamente specializzato incaricati di monitorare le eventuali minacce cyber ed analizzare i rischi ad esse connessi, sensibilizzando ed allertando gli operatori più esposti. Il team sarà responsabile anche della definizione delle modalità di intervento in caso di cyber accident, supportando l'ACN nella risposta ad eventuali situazioni di crisi.

 

L'Agenzia Nazionale per la cybersecurity: date da ricordare

Analizzate le aree di competenza e le funzioni specifiche dell'ACN, è giunto il momento di fare il punto della situazione per capire le modalità e le  tempistiche adottate perché questo organo possa giungere ad espletare la totalità delle proprie funzioni. Il mese di Aprile (2022) che si è da poco concluso ha visto inaugurare la piattaforma PA digitale 2026 prevista dalla Strategia Cloud Italia, dove le pubbliche amministrazioni hanno potuto iniziare la catalogazione dei dati necessaria a garantire l'elaborazione di piano di migrazione digitali sicuri. 

Sempre del mese di Aprile dovrebbe essere l'intervento normativo che impone il trasferimento delle funzioni di MISE e AgID inerenti la sicurezza digitale in capo all'ACN. E' prevista, invece, per Giugno 2022 l'inagurazione del Centro di Valutazione e Certificazione Nazionale, che sarà incaricato di valutare i sistemi, i beni e i servizi ITC impiegati dalle infrastrutture che serviranno i servizi essenziali o le funzioni essenziali per lo Stato.

Proseguirà a lungo, invece, la fase di reclutamento del personale. Conclusa la selezione dei professionisti iniziata a Febbraio, con la definizione dei regolamenti attuativi partirà un intenso programma di potenziamento del personale, che mira ad includere 300 unità a supporto dello sviluppo delle attività previste dall'Agenzia entro la fine del 2023.

 
 

Images by freepik.com

Parole: 1137 | Tempo di lettura: 4 minuti circa