Il futuro della cybersecurity in Italia potrebbe decidersi su due aspetti chiave: il ruolo della PA come esempio e sprone per i privati, e la formazione di competenze di eccellenza che rimangano nel Paese. Oltre ovviamente ad investimenti adeguati per la protezione delle infrastrutture critiche. Per arrivare a centrare l’obiettivo sarà importante il recepimento della direttiva europea sulla sicurezza delle reti e delle informazioni (Nis – Network and information security). La direttiva non coglie l’Italia impreparata, e può rappresentare per il Paese un’occasione da non perdere per fare un salto in avanti deciso, e proporsi come mercato all’avanguardia in quanto a standard e politiche per la sicurezza IT.
Se infatti dal punto di vista formale la direttiva Nis, approvata a luglio, è ancora da recepire, e per farlo ci sarà tempo fino a maggio 2018, sul piano sostanziale l’Italia è già allineata a molte delle prescrizioni della nuova normativa comunitaria, e potrà ora concentrarsi sui dettagli per rendere più efficace la strategia. I cardini sono quelli del decreto del presidente del Consiglio dei ministri del 24 gennaio 2013, che contiene un primo modello di governance sulla cybersecurity e indica nel Dis (Dipartimento per le informazioni della sicurezza) e nel Cisr (comitato interministeriale per la sicurezza della Repubblica) i principali riferimenti di coordinamento. Senza sovrapposizioni di ruoli, perché al Dis spetta la costruzione delle strategie, mentre al Cisr, che fa capo direttamente a Palazzo Chigi, spetta la risposta agli attacchi e la gestione delle emergenze. Ad aggiornare il dpcm del 2013 è poi intervenuto il quadro strategico nazionale per la protezione dello spazio cibernetico, che in virtù della direttiva Ue di luglio avrà bisogno soltanto di qualche ritocco.
Nel dettaglio, la direttiva Ue, che dà ai singoli Stati membri 21 mesi di tempo per il recepimento, insieme al regolamento generale per la protezione dei dati, destinato anch’esso ad entrare in vigore a maggio 2018, sarà l’asse portante della politica comunitaria sulla sicurezza informatica. Prevede che ogni Stato membro adotti una strategia nazionale per il settore, individui una o più autorità competenti per il controllo dell’applicazione delle nuove norme, e chiede che vengano individuati uno o più Csirt (Computer security incident response team) per il monitoraggio di incidenti e minacce su scala nazionale. Una delle prescrizioni più significative delle nuove norme sono gli obblighi di sicurezza e di notifica degli incidenti per gli operatori di servizi essenziali e delle infrastrutture critiche.
Su quest’ultimo aspetto si gioca una partita importante per l’Italia: da come infatti si deciderà di definire i fornitori di servizi essenziali e quelli che gestiscono le infrastrutture critiche potrebbe misurarsi l’efficacia della strategia. Il legislatore potrebbe orientarsi sull’obbligo di notifica degli attacchi soltanto per i grandi player di carattere nazionale, oppure potrebbe estendere l’obbligo anche ad attori più piccoli, come ad esempio molte società municipalizzate o locali, che però contano su bacini d’utenza ampi e il cui contributo su scala nazionale potrebbe essere significativo. Se i punti di riferimento esistono già, dunque, ora la partita si gioca sul come dettagliarli per rendere operativa la strategia. Intanto il governo prevede di destinare alla cybersecurity, con la legge di stabilità 2016, 150 milioni di euro. Una cifra di tutto rispetto, considerate tra l’altro le ristrettezze in cui si muovono i conti del Paese. 15 milioni dell’importo totale saranno destinati direttamente al ministero dell’Interno, mentre gli altri 135 saranno a disposizione delle esigenze del Dis. Il dipartimento li utilizzerà, spiega il Viminale rispondendo a un’interrogazione parlamentare dei deputati Palmieri e Sisto, “in parte ad attività di tipo convenzionale per il potenziamento degli interventi rivolti alla prevenzione e al contrasto delle minacce alla sicurezza informatica nazionale. La parte prioritaria, invece, verrà destinata ad attività di carattere informatico per la protezione dello spazio cibernetico del Paese, di diretta competenza appunto degli Organismi di informazione e sicurezza”
Anche da come si deciderà di allocare nello specifico queste risorse dipenderà l’efficacia dell’azione italiana per la sicurezza informatica. “L’opportunità – sottolinea Andrea Rigoni, esperto di cybersecurity e partner di Intellium, società di consulenza strategica per la Nato, i Governi e le grandi infrastrutture – è che con l’occasione del recepimento della direttiva Nis si rimetta mano al piano e si decida di destinare in maniera più chiara e puntuale i finanziamenti”.
Quanto alla Pubblica amministrazione, come è successo in passato su altri versanti, a iniziare ad esempio dalla fatturazione elettronica, potrà fare da volano di cambiamento anche per il privato, grazie a meccanismi di compliance. Se da una parte il pubblico deve rendere le proprie infrastrutture e i propri sistemi di gestione conformi a standard internazionali che il Governo è chiamato a individuare e dettagliare, dall’altra potrà chiedere gli stessi standard di sicurezza anche alle aziende interessate a lavorare con la Pubblica amministrazione, innescando così un circolo virtuoso che coinvolgerà il settore privato attraverso la certificazione della filiera della PA.
Al di là delle strategie e dei grandi scenari, però, c’è un altro fattore che è e rimarrà fondamentale perché l’Italia possa giocare un ruolo importante nel campo della sicurezza informatica: “Al Paese serve un piano per lo sviluppo di competenze di eccellenza – prosegue Rigoni – Da oggi in poi sarà sempre più importante ‘creare’ talenti e mantenerli a lavorare nel nostro Pese”. Tutto si giocherà tra le righe della legge nazionale che recepirà la direttiva Nis: potrebbe essere una semplice “traduzione in italiano” della normativa di riferimento Ue, oppure potrebbe sfruttare il trampolino offerto da Bruxelles per fare un salto in avanti e proporsi come modello d’avanguardia nella cybersecurity.
