Gli emendamenti alla direttiva 6 luglio 2023 alla Strategia Nazionale di Cybersicurezza
La ricerca scientifica e lo sviluppo industriale hanno determinato l’incremento delle emerging and disruptive technologies. La complessità di questo sistema rappresenta terreno fertile per i soggetti malevoli intenti ad indurre in errore gli addetti alla sicurezza dei software.
In un mondo sempre più digitalizzato, la cybersicurezza ha assunto un ruolo di fondamentale importanza, motivo per cui si parla sempre più insistentemente di Strategia Nazionale di Cybersicurezza, ossia di un piano programmatico volto ad ottenere il raggiungimento di 82 misure di protezione entro il 2026, con lo scopo principale di rendere il Paese più sicuro e resiliente. La rapida evoluzione tecnologica comporta costantemente nuovi rischi per la sicurezza informatica e la Strategia Nazionale di Cybersicurezza mira ad affrontare problematiche che riguardano principalmente la gestione di crisi cibernetiche, al fine di raggiungere un coordinamento tra tutti i soggetti pubblici e privati interessati, il contrasto alla disinformazione online nel contesto delle minacce cyber per garantire l’esercizio delle libertà fondamentali, l’assicurazione di una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo, al fine di incentivare la protezione dei dati dei cittadini.
Inoltre, la Strategia Nazionale contiene la definizione di alcuni indicatori misurabili in modalità quantitativa e secondo livelli di affidabilità. Si distingue ogni livello in riferimento alle metriche usate, intendendosi per: alta affidabilità quando si è legati a metriche specifiche e univoche, media affidabilità per metriche talvolta soggettive e bassa affidabilità in riferimento a metriche unicamente soggettive.
Come già detto, la strategia prevede il raggiungimento di ben 82 misure. Un progetto ambizioso che, con la recente Direttiva del Presidente del Consiglio dei ministri dello scorso 6 luglio, pubblicata nella G.U. l’8 agosto 2023 (“Indirizzi di coordinamento e organizzazione volti a promuovere la gestione adeguata e coordinata delle minacce informatiche, degli incidenti e delle situazioni di crisi di natura cibernetica”), si arricchisce di nuove indicazioni.
Nella premessa al provvedimento si sottolinea come la crescente sofisticazione delle minacce informatiche nell’attuale contesto geo-politico richieda l’attuazione di efficaci misure di gestione dei rischi, nonché la necessità di una completa conoscenza situazionale.
La Direttiva è destinata alle amministrazioni pubbliche di cui all’art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, e fornisce indirizzi di coordinamento e organizzazione volti a promuovere la gestione adeguata e coordinata delle minacce.
In particolare, garantisce che l’Agenzia per la cybersicurezza nazionale e gli operatori del CSIRT Italia (la componente operativa dell’Agenzia) dispongano del pieno supporto dei soggetti impattati da un incidente informatico. Ciò al fine di acquisire una piena conoscenza volta a consentire ogni utile operazione di analisi e valutazione della minaccia, funzionali alle attività di prevenzione e gestione degli incidenti di cybersicurezza.
Dall’ambito applicativo restano altresì esclusi “gli organi dello Stato preposti alla prevenzione, accertamento e repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato, nonché gli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124”
Come spiegato nelle premesse dell’atto, il contesto entro cui lo stesso si inserisce illustra le reali motivazioni per le quali si è ritenuto necessario adottarlo. In effetti, negli ultimi anni è aumentato in maniera smisurata il numero delle minacce informatiche e della loro pericolosità. Il contesto attuale richiede misure di sicurezza adatte a fronteggiare le minacce informatiche e a minimizzare i rischi che derivano da eventuali violazioni.
All’ interno di un sistema in così rapida evoluzione, è necessario un processo normativo che tuteli in modo adeguato la sicurezza telematica e lo scambio dei dati. La strategia Nazionale in questo caso rappresenta lo strumento attraverso cui l’Italia, con gli altri paesi dell’Unione Europea, può utilmente contribuire alle garanzie della cybersicurezza nel proprio territorio.
Bibliografia
- Licata, Agenzia Cybersecurity, in Gazzetta la direttiva che rafforza compiti e azioni, in Corrierecomunicazioni, 9 agosto 2023.
- Door Singh, Cybersecurity, nuovi oneri per la Pubblica Amministrazione, in Altalex, 27 settembre 2023.
- R.Razzante, Manuale di Cybersecurity, Pacini editore, 2023.
Articolo a cura di Ranieri Razzante
È Direttore del Centro di Ricerca sulla Sicurezza ed il Terrorismo - CRST. Presidente dell’Associazione Italiana Responsabili Antiriciclaggio (AIRA). Avvocato e Dottore commercialista. Docente di Tecniche di gestione dei rischi di riciclaggio presso l’Università di Bologna, di Tecniche e regole della cybersecurity presso l’Università di Napoli Suor Orsola Benincasa e insegna presso gli Istituti di Istruzione delle Forze dell’Ordine e Militari. È stato Consulente della Commissione Parlamentare Antimafia e del Prefetto Antiracket e Antiusura. È stato Membro della Commissione del Ministero dell’Economia per la redazione del decreto legislativo in materia di antiriciclaggio (D.Lgs. n. 231/2007). Collabora con varie testate giornalisti- che di settore ed è opinionista televisivo. È autore di numerosi volumi e scritti in materia di Diritto dell’economia, Legislazione antiriciclaggio e finanziamento del terrorismo. È stato Consigliere per la Cybersecurity del Sottosegretario di Stato alla Difesa durante il Governo Draghi.