La direttiva europea NIS (Network and Information Security) approvata a luglio per la sicurezza delle reti e dell’informazione definisce un primo insieme univoco di norme in materia di cyber security a livello europeo; dovrà essere recepita dagli Stati Membri entro 21 mesi dalla pubblicazione e impone l’adozione di una serie di misure di sicurezza comuni e adeguate a garantire un livello elevato di protezione dei sistemi, delle reti e delle informazioni. Come si colloca in questo contesto la strategia italiana della cyber security? Lo ha spiegato Antonio Samaritani, Direttore, Agenzia Digitale per l’Italia, nel suo intervento all’interno del Cyber Security 360 Summit, svoltosi oggi a Roma, alla Camera dei deputati, e promosso da Digital360, Corcom e Fpa.
“Abbiamo presentato un piano triennale con cui il governo e Agid cercano di fornire il quadro di riferimento per analizzare e riprogettare le infrastrutture IT della PA lungo tre direttrici: infrastrutture materiali, infrastrutture immateriali e ecosistemi”, ha indicato Samaritani. “In questi tre strati si declinano tutti i temi della cyber-security“.
L’Italia vuole così dare coerenza e modernità alla gestione di elementi come datacenter, cloud e connettività (“infrastrutture materiali”) ma anche fatturazione elettronica e pagamenti elettronici, identità digitale, Spid, Anpr (“immateriali”), che creano un “punto di contatto unico con il cittadino e semplificano l’approccio tra impresa e PA e cittadino e PA”, ha sottolineato il Direttore Agid.
Il governo affronta la strategia nazionale per la cyber sicurezza innanzitutto fornendo delle linee guida, già uscite ad agosto, che contengono i requisiti per la PA su tutti e tre i layer della sicurezza, ma anche potenziando l’attenzione sulle attività di informazione e sensibilizzazione e di monitoraggio e prevenzione, che sono ugualmente importanti rispetto a quelle di risposta, ha sottolineato Samaritani. “La sicurezza va progettata in anticipo, prevedendo una strategia e una soluzione, altrimenti rischiamo sempre di rincorrere le minacce. Giusta la logica della condivisione delle informazioni su cui si basano i Cert, ma ora dobbiamo promuovere anche l’attività proattiva nei Cert, e meccanismi di sicurezza embedded“.
Gli obiettivi delle linee guida del governo italiano sulla cyber sicurezza sono quelli di alzare progressivamente il livello di sicurezza della PA, fornire strumenti normativi, inserire strumenti di verifica e inaugurare un percorso di miglioramento continuo nella pubblica amministrazione. “Per questo abbiamo definito regole sia per le infrastrutture fisiche, come i data center, sia per gli aspetti applicativi”, ha ribadito Samaritani; “a tendere, alla conclusione del piano triennale, dobbiamo arrivare per tutti a un livello alto di cyber protection“.
Ora che siamo chiamati a confrontarsi con la direttiva europea NIS, Samaritani chiarisce che l’Italia “è ben messa sulla sua organizzazione della cyber sicurezza: grazie ai Cert e all’attività di info-sharing, il disegno organizzativo c’è ed è buono; non c’è da intervenire su questo elemento, inutile modificare ciò che è sì perfezionabile, ma già funziona bene. Invece”, ha aggiunto Samaritani, “dobbiamo provvedere adesso a una rapida execution; è qui che facciamo fatica: gli aspetti di deployment vanno migliorati”.
L’elemento di proattività è la a chiave di volta: “La direttiva NIS si focalizza sulla risposta, ma la sicurezza si fa anche con la progettazione e le regole, come previsto nel nostro piano triennale, e la proattività”, ha concluso il Direttore di Agid. “Il NIS ci chiede giustamente di intervenire e accelerare sull’elemento della risposta, ma sono progettazione e proattività che fanno la differenza sulla cyber security“.
[View the story “Cyber security 360 Summit” on Storify]