Nasce l’Agenzia per la cybersicurezza nazionale: pubblicato in Gazzetta Ufficiale il decreto-legge
Con la pubblicazione in Gazzetta Ufficiale del decreto-legge n. 82 del 14 giugno 2021 – recante “disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale” [1] – è stato dato il definitivo impulso alla fase finale della ridefinizione di una struttura organizzativa nazionale dedicata alla governance del cruciale settore della sicurezza cibernetica. Le pressioni esterne sull’Italia per l’implementazione di una tale riforma, infatti, provenivano ormai da diverse direzioni: da ultimo il recente Regolamento UE 2021/887, il quale ha istituito il “Centro europeo di competenza” per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca, con sede a Bucarest, e la “rete dei centri nazionali di coordinamento”[2].
Il predetto provvedimento nazionale, peraltro, non è soltanto frutto di una sempre più impellente necessità di adattamento ai passi compiuti dalle istituzioni europee. La riorganizzazione dell’architettura nazionale di sicurezza cibernetica, infatti, nasce soprattutto dalla necessità di individuare un’autorità nazionale che (i) stabilisca la linea direttrice per la difesa delle infrastrutture critiche nazionali, (ii) supporti e promuova lo sviluppo delle competenze adeguate per raggiungere un’autonomia strategica nel settore, (iii) sviluppi un solido sistema di prevenzione e monitoraggio al fine di far fronte ad incidenti sulla sicurezza informatica ed eludere gli attacchi informatici e (iv) funga da centro di coordinamento per l’attuazione del PNRR e la gestione dei fondi, che, nella più ampia ottica del processo di trasformazione digitale e della ripresa economica e industriale nazionale, sono riservati proprio al settore della cybersicurezza.
L’autorità in grado di rispondere a queste esigenze è stata quindi individuata nell’emergente Agenzia per la Cybersicurezza Nazionale (“ACN” o “Agenzia”), istituita a tutela degli interessi nazionali nel campo della cybersicurezza anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.
Da un punto di vista funzionale, l’ACN – con sede in Roma – sarà deputata ad assorbire la maggior parte delle competenze in tema di cybersecurity, assicurando il coordinamento tra i soggetti pubblici coinvolti in materia a livello nazionale e la promozione di azioni comuni dirette – tra l’altro – allo sviluppo della digitalizzazione del Paese.
In sintesi, l’Agenzia:
- predisporrà la strategia nazionale di cybersicurezza;
- svolgerà ogni necessaria attività di supporto al funzionamento del Nucleo per la cybersicurezza;
- sarà Autorità nazionale di certificazione della cybersicurezza ai sensi dell’articolo 58 del Regolamento UE 2019/881 e assumerà tutte le funzioni in materia di certificazione cibernetica già attribuite al Ministero dello sviluppo economico;
- assumerà tutte le funzioni in materia di cybersicurezza già attribuite dalle disposizioni vigenti al Ministero dello sviluppo economico, alla Presidenza del Consiglio dei ministri e al Dipartimento delle Informazioni per la Sicurezza;
- svilupperà capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici;
- curerà e promuoverà la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza;
- coordinerà, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza.
Ai fini dell’espletamento delle funzioni demandate, l’ACN sarà dotata di personalità giuridica di diritto pubblico e di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria. La medesima Agenzia opererà inoltre sotto la responsabilità del Presidente del Consiglio dei Ministri, al quale saranno attribuiti rilevanti poteri direttivi e di controllo, nonché il potere di nominare e/o revocare – in accordo con il Comitato parlamentare per la sicurezza della Repubblica – il direttore dell’ACN, cui sarà affidata, con mandato di quattro anni rinnovabile soltanto una volta, la direzione generale dell’Agenzia.
Tra le ulteriori novità previste nel decreto-legge si annovera inoltre l’istituzione (i) del Comitato interministeriale per la cybersicurezza e (ii) del Nucleo per la cybersicurezza.
In particolare:
- il Comitato interministeriale per la cybersicurezza avrà funzioni di supporto e controllo, e in particolare i compiti di definire, di concerto con il Presidente del Consiglio dei Ministri, gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale nonché di esercitare l’alta sorveglianza sull’attuazione della strategia nazionale del settore di riferimento;
- il Nucleo per cybersicurezza, invece, sarà a supporto del Presidente del Consiglio dei Ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi, oltre che per l’attivazione delle procedure di allertamento.
Con un mondo sempre più digitale ed interconnesso, gravi minacce possono arrivare anche dagli strumenti che utilizziamo nella vita quotidiana, non solo da sofisticati attacchi hacker che puntino a destabilizzare la sicurezza nazionale. Anche per questi motivi, l’auspicio è che la nascita di questa nuova entità, oltre che rilanciare a livello nazionale la cybersicurezza, diventi uno stimolo per soggetti pubblici e privati ad investire in questo settore cruciale, portando alla creazione di una vera e propria cultura da cui attingere e far crescere.
[1]https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2021-06-14&atto.codiceRedazionale=21G00098&elenco30giorni=false
[2]https://eur-lex.europa.eu/legal-content/EN-IT/TXT/?from=EN&uri=CELEX%3A32021R0887