Era il 2012 quando l’ENISA pubblicava per la prima volta le linee per fornire strumenti necessari per gestire efficacemente la cybersecurity. Sulla base di questo testo l’Italia, che aveva accumulato già un ritardo nella predisposizione di politiche adeguate in tema, ha definito il proprio stato dell’arte della sicurezza cibernetica e, nel 2013, si è dotata del primo framework normativo per affrontare in maniera sistemica il tema, ovvero il DPCM del 24 gennaio 2013 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica”. Dal 2012 in poi l’ENISA ha promosso partenariati pubblico-privato (PPP) per una effettiva collaborazione e scambio di informazioni tra stati a livello europeo tramite workshops su National Cybersecurity Strategies. Nel 2020 è stato organizzato il primo workshop online a causa del Covid.
Dal 2013 in poi, quindi, in Italia il tema della cybersecurity ha gradualmente acquisito un’importanza strategica a causa della crescente e sempre più significativa penetrazione delle tecnologie dell’informazione e delle comunicazioni, aggravato dal loro utilizzo massiccio come unico strumento per superare le restrizioni fisiche imposte dalla pandemia. L’architettura istituzionale deputata alla sicurezza nazionale relativamente alle infrastrutture critiche informatizzate è pero rimasta in disparte fino ai giorni nostri quando il governo italiano, nel Consiglio dei Ministri del 10 giugno, ha istituito l’Agenzia per la cybersicurezza nazionale (ACN).
L’istituzione dell’ACN è stata perfezionata con la Legge 4 agosto 2021 n. 109 di conversione con modificazioni del decreto-legge 14 giugno 2021 n. 82. Siamo pervenuti a questa ultima legge gradualmente, attraverso il decreto legislativo n. 65 del 18 maggio 2018 (di recepimento della direttiva (UE) 2016/1148 per le misure da adottare per la sicurezza delle reti e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva NIS), il decreto-legge 21 settembre 2019 n. 105 (di istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi), il DPCM 30 luglio 2020 n. 131 (che ha dettato criteri e modalità per l’individuazione dei soggetti inclusi nel perimetro) ed il DPCM 14 aprile 2021 n. 81 (che definisce le modalità per la notifica nel caso di incidenti riguardanti beni ITC).
L’ultima Legge di agosto ha ufficializzato quindi il trasferimento all’Agenzia di tutte le funzioni in materia già attribuite ad altri ministeri, al MiSE, al PdCM e all’AgID, assieme alle strutture del CSIRT e del Centro di Valutazione e Certificazione Nazionale (CVCN). Un lavoro di regolamentazione complesso che è stato completato infine dallo strumento applicativo rappresentato dal DPCM del 15 giugno 2021 di “Individuazione delle categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica”, in Gazzetta Ufficiale il 19 agosto 2021 cioè in piena estate. Si tratta di un elenco di categorie che i soggetti inclusi nel perimetro devono comunicare al CVCN e ai Centi di valutazione (CV) del Ministero dell’interno e del Ministero della difesa.
Le categorie sono quattro e comprendono sia software che hardware per servizi di reti di telecomunicazione nei tre segmenti accesso, trasporto, commutazione (ad es. Router, Switch, Proxy, Network Function Virtualization, ecc.), per la sicurezza delle reti (ad es. Firewall, Intrusion Detection System, Authentication Server per il 5G, ecc.), per acquisizione dati, monitoraggio, automazione delle reti (Artificial Intelligence, Machine Learning, Unified Data Management del 5G un elemento che abbiamo trattato nei precedenti numeri e rilevante sotto il profilo privacy, ecc.), per l’implementazione di meccanismi di sicurezza (Single Sign-On, Public Key Infrastructures, ecc.). Nella lista mancano componenti importanti come gli elementi della core network non virtualizzati, il Domain Name System, Radius, ecc. ma evidentemente l’obiettivo è creare una prima lista considerando l’impegno che avranno nelle prime fasi i centri di valutazione; d’altra parte è previsto (art. 4) che la lista possa essere aggiornata almeno con cadenza annuale.
A parere di chi scrive tale lista non deve essere letta come omnicomprensiva, che racchiuda cioè tutti i componenti da comunicare ai centri di valutazione da parte dei soggetti interessati, perché tale interpretazione, tra gli altri aspetti, costringerebbe ad un lavoro immane che impegnerebbe oltre modo e per molto tempo tutti i soggetti coinvolti. La lista dovrebbe essere letta, invece, relativamente ai componenti che fanno parte delle infrastrutture critiche già segnalate. Ne possiamo avere testimonianza leggendo l’Oggetto (art. 2) del decreto del 16 giugno 2021 ovvero l’art. 1, comma 2, lettera b), del decreto-legge 21 settembre 2019 n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.
Il comma 2 richiama a sua volta il comma 1 dello stesso decreto-legge che ripropone “l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.
Ad un successivo regolamento spetterà infine il compito di disciplinare il personale addetto e tutti gli aspetti del rapporto di lavoro, prevedendo un trattamento economico pari a quello dei dipendenti della Banca d’Italia.
Non sempre si ha la fortuna di assistere alla nascita di un organo nazionale che possa tutelare gli interessi nazionali su uno specifico tema, soprattutto quando è realmente necessario. Il nostro augurio è quindi tutto rivolto alla neonata Agenzia, nel senso che possa attingere alle comprovate professionalità presenti nel nostro paese, soprattutto reali e non virtuali come quelle che ognuno può liberamente dichiarare di possedere nei vari profili dei social networks.