L’Italia ha finalmente la sua strategia per la cybersicurezza. È stato pubblicato sulla “Gazzetta Ufficiale” del 19 marzo 2013 n. 66 il decreto del presidente del Consiglio dei ministri 24 gennaio 2013 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”. Il decreto definisce “l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali, indicando a tal fine i compiti affidati a ciascuna componente ed i meccanismi e le procedure da seguire ai fini della riduzione della vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi”.
Il provvedimento prevede che nell’immediato, vengano essere create le condizioni perché, a legislazione vigente, possa essere sviluppata un’azione integrata che metta a fattor comune le diverse attribuzioni istituzionali, ed inoltre assicuri, in una logica di partenariato anche delle competenze proprie degli operatori privati.
L’architettura deve svilupparsi su tre distinti livelli d’intervento, di cui il primo di indirizzo politico e coordinamento strategico a cui affidare l’elaborazione di un Piano nazionale per la sicurezza dello spazio cibernetico; il secondo di supporto con funzioni di raccordo nei confronti di tutte le amministrazioni ed enti competenti per l’attuazione degli obiettivi e delle linee di azione indicate dalla pianificazione nazionale e che provveda a programmare l’attività operativa a livello interministeriale e ad attivare le procedure di allertamento in caso di crisi; il terzo livello, di gestione delle crisi, con il compito di curare e coordinare le attività di risposta e di ripristino della funzionalità dei sistemi, avvalendosi di tutte le componenti interessate.
Il modello organizzativo-funzionale deve assicurare il pieno raccordo, in particolare, con le funzioni del Ministero dello sviluppo economico e dell’Agenzia per l’Italia digitale, nonché con l’attività e le strutture di difesa dello spazio cibernetico del Ministero della difesa, con quelle del Ministero dell’interno, dedicate alla prevenzione e al contrasto del crimine informatico e alla difesa civile, e con quelle della protezione civile.
La legge attribuisce al Comitato interministeriale per la sicurezza della Repubblica (CISR) compiti di consulenza, proposta e deliberazione sugli indirizzi e sulle finalita’ generali della politica dell’informazione per la sicurezza, nonché di elaborazione degli indirizzi generali e degli obiettivi fondamentali da perseguire nel quadro della politica dell’informazione per la sicurezza.
A sostenre il CISR nel suo compito, dovrà essere istituita presso la Scuola di formazione del DIS un organo dedicato, cui affidare anche compiti funzionali alla promozione e diffusione di una cultura della sicurezza cibernetica.
Per attuare le linee di intervento sarà costituito un Nucleo per la sicurezza cibernetica, da istituire presso l’Ufficio del Consigliere militare del Presidente del Consiglio dei Ministri.
Infine, una ulteriore e specifica esigenza di coordinamento si pone con riguardo alla gestione operativa delle crisi e all’adozione delle misure necessarie al ripristino della funzionalità dei sistemi, richiedendo la chiara definizione di ruoli e procedure in modo da garantire un processo decisionale unitario e, al contempo, l’interazione degli organi nazionali preposti alla gestione dell’emergenza con gli omologhi organismi esistenti a livello internazionale; per queste finalità, deve essere previsto un organo interministeriale da attivare in caso di crisi.
Quest’organo è individuato nel Nucleo interministeriale situazione e, prevedendone una configurazione, come “Tavolo interministeriale di crisi cibernetica”, funzionale all’ottimale gestione delle crisi di natura cibernetica; l’organo, per gli aspetti tecnici di computer emergency response, si avvale del CERT nazionale istituito presso il Ministero dello sviluppo economico ai sensi del decreto legislativo n. 259/2003.