La resilienza cibernetica dell’Italia non può prescindere da uno sforzo collettivo tra l’Agenzia per la cybersicurezza nazionale (Acn) e le pubbliche amministrazioni . Da questo presupposto scaturisce la direttiva 6 luglio 2023 della presidente del Consiglio dei ministri ora pubblicata in Gazzetta ufficiale. Il documento fornisce le indicazioni per rafforzare la gestione delle minacce e degli incidenti di cybersicurezza nella pubblica amministrazione, con un ruolo rafforzato per l’Acn e il suo braccio operativo, il Csirt Italia (Computer security incident response team).
La direttiva (“indirizzi di coordinamento e organizzazione volti a promuovere la gestione adeguata e coordinata delle minacce informatiche, degli incidenti e delle situazioni di crisi di natura cibernetica”) richiama le amministrazioni ad operare garantendo che l’Acn, nello svolgimento delle sue attività istituzionali e, in particolare, gli operatori del Csirt Italia, anche nel caso di intervento in situ a seguito di incidente, dispongano del pieno supporto dei soggetti impattati, anche nel caso in cui si avvalgano di società in house o comunque a controllo pubblico.
Agenzia Cybersecurity, ruolo rafforzato
L’intensificazione e la crescente sofisticazione delle minacce informatiche nell’attuale contesto geo-politico impone con urgenza il raggiungimento di un alto livello di cybersicurezza, l’attuazione di efficaci misure di gestione dei relativi rischi, nonché la necessità di un’immediata e quanto più completa conoscenza situazionale, afferma il decreto. Ciò è finalizzato non solo a conseguire una più elevata capacità di protezione e risposta di fronte a emergenze cibernetiche, ma anche a disporre di un quadro analitico della minaccia funzionale all’esercizio dell’indirizzo politico.
In tale contesto, “è affidato dall’ordinamento all’Agenzia per la cybersicurezza nazionale il compito di sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, peculiarmente attribuito alla componente operativa dell’Agenzia (Csirt Italia), al cui personale, peraltro, viene espressamente riconosciuta, nello svolgimento delle relative funzioni, la qualifica di pubblico ufficiale. Nell’esercizio di tale compito, e per un immediato ed efficace risultato ai fini del contenimento del rischio e della mitigazione del danno, l’Agenzia può fare ricorso, in attuazione dell’art. 5, comma 5, del decreto istitutivo (decreto-legge n. 82 del 2021), alla collaborazione di altri organi dello Stato e altre amministrazioni“.
Cybersicurezza, coordinamento con le Pa
Il ruolo dell’Acn e la cooperazione delle Pa è definita essenziale anche allo scopo di acquisire una completa ed esaustiva conoscenza situazionale volta a consentire “ogni utile operazione di analisi e valutazione della minaccia, funzionali alle attività di prevenzione e gestione degli incidenti di cybersicurezza”.
“Conseguentemente, per tutto il tempo necessario al pieno esercizio delle proprie competenze”, si legge nel decreto, gli operatori del Csirt dovranno avere “l’accesso ai locali, ai sistemi informativi e alle reti informatiche di pertinenza delle amministrazioni impattate, compatibilmente con i limiti e i vincoli derivanti dalle prerogative dell’autorità giudiziaria”.
Dall’ambito applicativo restano esclusi “gli organi dello Stato preposti alla prevenzione, accertamento e repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato, nonché gli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124”.
Il decreto si inserisce nella più ampia Strategia nazionale di cybersicurezza adottata con decreto del Presidente del Consiglio dei ministri 17 maggio 2022.
