Agenzia per la Cybersicurezza Nazionale (ACN)

Agenzia per la Cybersicurezza Nazionale (ACN)

Agenzia per la Cybersicurezza Nazionale (ACN): la nuova dimensione istituzionale della Cyber Security

Il 2021 si configura come anno decisivo per l’innovazione digitale della PA: da un lato l’avvento delle nuove tecnologie, le sfide della digitalizzazione e della data economy hanno reso sempre più centrale e veloce l’esperienza dell’utente e la relativa attenzione dei fornitori di servizi; dall’altro, la pandemia ha reso particolarmente attuale e urgente la tematica della Cybersecurity non solo per le aziende private, ma anche per gli enti pubblici.

La transizione digitale, infatti, porta con sé un ambiente particolarmente permeabile alle minacce informatiche, e la difesa del cyber spazio è senza dubbio una priorità strategica nazionale. 

Basti pensare ai recenti avvenimenti degli ultimi mesi, come l’attacco alla Regione Lazio e all’Ospedale San Giovanni, o all’attacco avvenuto in Emilia, per non parlare di quelli avvenuti oltre il confine, come quello verificatosi a Colonial Pipeline, una delle più importanti compagnie di Oleodotti degli Stati Uniti, con tutto “l’effetto cascata” che ne consegue. 

per far fronte a questa minaccia, il Piano Nazionale di Ripresa e Resilienza, (PNRR) approvato lo scorso 24 Aprile dal Consiglio dei Ministri, ha messo a disposizione ingenti risorse per la cyber sicurezza.

Il Piano elaborato dal Governo prevede lo stanziamento di quasi 8 miliardi di euro per la digitalizzazione della Pubblica Amministrazione, finalizzati allo sviluppo di infrastrutture ad alta affidabilità ed efficienza per l’erogazione di servizi cloud alla Pubblica Amministrazione stessa. Di questi 8 miliardi, 620 milioni di euro sono destinati specificamente alla Cybersecurity, per potenziarne le strutture e il personale.

La digitalizzazione delle pubbliche amministrazioni ha un ruolo centrale nel PNRR, componente fondamentale della “Missione n. 1” del Piano denominata appunto “Digitalizzazione, innovazione, competitività e cultura”. Le sfide della strategia: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali.

Il Ministro per l’Innovazione tecnologica e le Transizione Digitale ha elencato i cardini che guideranno la strategia:

  • ammodernamento delle infrastrutture su tutto il territorio nazionale,
  • sfruttamento del cloud computing,
  • utilizzo dei dati della pubblica amministrazione,
  • avanzamento della cybersicurezza.

Tali misure andranno ad affiancarsi al progetto di sviluppo del “Cloud Nazionale”, punto nevralgico su cui il Governo accelera, e infatti nel mese di settembre il Ministro ha presentato la “Strategia Cloud Italia”, il documento di indirizzo strategico per l’implementazione e il controllo del Cloud della PA.

Il percorso intrapreso per il rafforzamento dell’architettura nazionale di sicurezza cibernetica vede le sue tappe fondanti con l’istituzione del Perimetro di Sicurezza Nazionale Cibernetica, al fine di instaurare una serie di presidi di sicurezza funzionali a garantire un’efficace protezione cibernetica di tutto il sistema paese; il decreto n. 54 del 5 febbraio 2021, invece, affronta le procedure e i termini per le valutazioni svolte da parte del Centro di Valutazione e Certificazione Nazionale (CVCN) e dei Centri di Valutazione del Ministero degli Affari Interni e della Difesa su prodotti in fase di acquisizione da parte dei soggetti inclusi nel Perimetro. Questi due fattori (?) convergono in uno scenario che configura tutti i presupposti necessari per un processo di “istituzionalizzazione” della Cybersicurezza nazionale, seppur in notevole ritardo rispetto ai principali paesi europei. E’proprio per rispondere a tale scenario e alle esigenze che esso comporta che, con la Legge 4 Agosto 2021 n.109 viene istituita l’Agenzia per la Cybersicurezza nazionale (ACN). 

Come è nata l’ACN 

il Decreto-legge 14 Giugno 2021 n. 82 recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale” completa la strategia di cyber-resilienza nazionale avviata con la disciplina del perimetro cibernetico e accresce la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber. 

La principale novità del Decreto è senza dubbio rappresentata dalla creazione dell’Agenzia (art.5) in cui è costituito, in modo permanente, il Nucleo per la cybersicurezza per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento (art.8). 

Inoltre, all’art. 4, il Decreto istituisce il CIC (Comitato interministeriale per la cybersicurezza) con funzioni di consulenza, proposta e vigilanza in materia di politiche per la cyber security ai fini della tutela della sicurezza nazionale nello spazio cibernetico. 

L’esigenza di nuovi provvedimenti e nuove strategie nasce dall’emanazione della Direttiva (UE) 2016/1148 (c.d. Direttiva NIS) che contiene una serie di misure legislative che si prefiggono l’obiettivo di creare un livello comune di sicurezza delle reti e in generale dei sistemi informativi all’interno dell’Unione Europea. 

Altro provvedimento fondamentale che ha “spinto” la creazione dell’Agenzia è senza dubbio il Decreto-legge n.105 del 2019, adottato al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle PA e dei vari operatori (pubblici e privati) attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire gli standard necessari finalizzati alla minimizzazione dei rischi anche attraverso il supporto del CSIRT (Computer Security Incident Response team) ossia la struttura che ha la responsabilità di monitorare, intercettare e rispondere alle minacce cyber, e del CVCN (Centro di Valutazione e Certificazione Nazionale). 

L’Agenzia per la Cybersicurezza Nazionale: caratteristiche, ruoli e responsabilità 

l’Agenzia per la Cybersicurezza Nazionale (da ora ACN), guidata dal Professor Roberto Baldoni (ex direttore del DIS), è un organismo pubblico, dotato di autonomia regolamentare, amministrativa e organizzativa la cui principale missione è quella di “coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e di promuovere la realizzazione di azioni comuni dirette ad assicurare la sicurezza e resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle PA, nonché per il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore”. 

Tale organismo agirà sotto la responsabilità del Presidente del Consiglio dei Ministri a cui è attribuita l’Alta Direzione e la responsabilità generale delle politiche di cybersicurezza, pur restando in stretto contatto con il Sistema di informazione per la sicurezza della Repubblica. 

Principali responsabilità: 

  • Esercitare funzioni di Autorità nazionale in materia di Cybersecurity a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce di natura cyber. 
  • Assumere le funzioni di interlocutore unico nazionale per i soggetti, pubblici e privati, in materia di misure di sicurezza nazionale cibernetica e dei sistemi informativi (Direttiva NIS). 
  • Supportare lo sviluppo di competenze e promuovere progetti per l’innovazione e lo sviluppo in un’ottica di autonomia strategica nazionale nel settore. 
  • Far fronte agli incidenti di sicurezza e attacchi informatici, anche attraverso il CSIRT italiano 
  • Supportare l’attivazione del Centro di Valutazione e certificazione nazionale (CVCN). 
  • Contribuire all’innalzamento della sicurezza dei sistemi ICT dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle PA, degli Operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD). 

L’ istituzionalizzazione della Cyber Security inizia dalla Cyber Intelligence

La sicurezza cibernetica rappresenta un’area in continua evoluzione, in cui gli investimenti richiedono un decisivo rafforzamento, accelerando la presa di coscienza del mercato e contribuendo a sensibilizzare la PA e i vertici aziendali sul Cyber Risk, garantendo un ecosistema di collaborazione e supporto reciproco che permetta di semplificare l’analisi degli incidenti e delle vulnerabilità, fornendo informazioni preziose ed accurate in tempi più brevi. 

Prevenire ed identificare le minacce cyber, ma anche condividere tra gli operatori strategie e risultati tramite la “Cyber Threat Information Sharing”: in tale prospettiva, la Cyber Threat Intelligence è divenuta parte integrante del processo di gestione del rischio Cyber, tanto quanto la condivisione di informazioni tra i diversi operatori del sistema. 

L’adozione di un Framework di Cyber Intelligence adeguatamente strutturato consente un approccio al Rischio Cyber che non sia solo “reattivo” ma anche “predittivo”, che permette di e, studiare l’evoluzione delle minacce cyber, analizzare gli eventi accaduti, raccogliere informazioni, individuare nuove vulnerabilità prima che si traducano in attacco, così da approntare risposte efficaci e soprattutto tempestive.  

Alfa Group propone un approccio che combina competenze e tecnologie per aiutare le organizzazioni nella gestione di tutte le fasi del ciclo di vita della Risk&Threat intelligence. Una metodologia iterativa e adattabile, basata su cinque fasi (Pianificazione, Raccolta, Analisi, Reporting e Dissemination&Feedback) che, governata dall‘Automation di RHD xToner, trasforma i dati “grezzi” in intelligence, e condivide informazioni complete, strutturate e utili per il processo di “decision making”. L’intelligence di RHD XToner ha già ottenuto ottimi risultati nell’ambito della sicurezza nazionale nell’ambito del progetto SINC3 del CNAIPIC per la protezione delle Infrastrutture Critiche.

L’ACN avrà un ruolo fondamentale nello sviluppo di  un approccio dinamico alla Cybersecurity a livello nazionale,  che faciliti la comunicazione in tempo reale e l’information sharing tra tutti  per rafforzare le difese del Paese e tenere sotto controllo il fattore tempo, cruciale per l’efficacia degli interventi di mitigazione.