Cosa prevede lo schema di decreto del Presidente del Consiglio dei ministri sul regolamento di organizzazione e funzionamento dell’Agenzia per la cybersicurezza nazionale.
Il 2 novembre scorso è stato l’ultimo giorno di servizio nella Polizia Postale per il Direttore Nunzia Ciardi, che ha assunto il nuovo incarico di Vice Direttore Generale dell’Agenzia per la cybersicurezza nazionale (ACN): affianca il direttore generale, Roberto Baldoni, che ha un mandato di 4 anni, rinnovabile una sola volta. I poteri e le funzioni di Baldoni e Ciardi sono disciplinati dallo schema del decreto del Presidente del Consiglio dei ministri inviato al Parlamento per il parere delle Commissioni parlamentari competenti.
Lo schema del d.P.c.m. disciplina, in generale, l’organizzazione e il funzionamento dell’Agenzia, che dovrà esprimere il suo DNA soprattutto attraverso i seguenti tre “servizi”:
- Autorità e sanzioni.
- Certificazione e vigilanza
- Operazioni.
Vediamoli nel dettaglio.
ACN, servizio di Autorità e sanzioni
L’Agenzia per la cybersicurezza nazionale, secondo lo schema del decreto del Presidente del Consiglio dei ministri, deve assicurare lo svolgimento della funzione di regolamentazione e la connessa attività sanzionatoria, tra cui le funzioni di:
adempimento agli obblighi previsti dal decreto legislativo NIS; dal decreto-legge sul perimetro di sicurezza nazionale cibernetica e del codice delle comunicazioni elettroniche; definizione dei livelli minimi di sicurezza, capacità elaborativa, risparmio energetico ed affidabilità delle infrastrutture digitali delle Pubbliche amministrazioni; irrogazione delle sanzioni in caso di inadempimento degli obblighi stabiliti dalle normative vigenti in materia di cybersicurezza di competenza dell’Agenzia.
Quindi, per quanto riguarda il cloud nazionale e il Polo Strategico Nazionale (PSN) è affidato all’agenzia cyber la definizione dei requisiti minimi di sicurezza a cui PA, anche locali, dovranno conformarsi, se non già in regola. Questo è l’unico obbligo previsto nella strategia “Cloud Italia”, mentre il PSN sarà un’opzione per le pubbliche amministrazioni, come ha anche detto Paolo De Rosa, CTO Dipartimento per la Trasformazione Digitale (insieme al ministro Vittorio Colao ha scritto la strategia Cloud Italia).
ACN, servizio di Certificazione e vigilanza
L’Agenzia guidata da Baldoni e Ciardi deve sovrintendere ai processi di certificazione, qualificazione e valutazione, nonché curare le attività ispettive e di verifica ad essa attribuite, tra cui sono incluse le funzioni di:
certificazione di sicurezza cibernetica; Centro di Valutazione e Certificazione Nazionale (CVCN); ispezione e verifica sugli adempimenti di cybersicurezza nei confronti di soggetti pubblici e privati; promozione e dello svolgimento della attività volte alla qualificazione dei servizi cloud per la Pubblica amministrazione.
L’esito della classificazione dei dati e dei servizi da migrare sul cloud nazionale e PSN (ovvero dati strategici, critici ed ordinari) permetterà di individuare i piani di migrazione al cloud più idonei. Questi piani saranno validati e confermati dal Dipartimento per la trasformazionale digitale e dall’Agenzia per la cybersicurezza nazionale. Come si evince, l’ACN avrà un ruolo determinante nella realizzazione del cloud nazionale e del Polo Strategico Nazionale.
ACN, servizio di operazioni
La terza e ultima funzione essenziale dell’Agenzia cyber sono le operazioni. L’ACN deve contribuire alla preparazione, prevenzione, gestione e risposta ad eventi cibernetici. Fondamentalmente, è stata istituita per questa missione. L’Agenzia è la “Protezione civile” della cybersicurezza nazionale. Per questo motivo nell’ACN è stato incluso il CSIRT (Computer Security Incident Response Team – Italia). In sostanza, per le operazioni devono essere svolte le seguenti funzioni:
monitoraggio ed analisi dei rischi e delle minacce cyber a livello nazionale; invio di preallarmi, allerte ed annunci e la divulgazione di rilevanti informazioni agli operatori interessati; ricezione di notifiche obbligatorie e volontarie di incidenti cyber; analisi degli incidenti e definizione di modalità di intervento e risposta; sviluppo e il mantenimento di capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta; supporto al Nucleo per la cybersicurezza nella programmazione e pianificazione operativa della risposta a situazioni di crisi cibernetica.
Sogei realizzerà e gestirà i sistemi informativi dell’Agenzia cyber
Il ministro dell’Innovazione Vittorio Colao ha annunciato, di recente in audizione alla Camera che: “Sogei potrà comunque continuare ad erogare servizi cloud secondo le convenzioni in essere e garantirà, per l’immediata operatività dell’ACN, la realizzazione e gestione dei propri sistemi informativi”.
Quando sarà operativa l’Agenzia per la cybersicurezza nazionale? Dal primo gennaio 2022, parola del suo direttore generale.