Ecco gli 8 ruoli, le 19 funzioni e le 7 organizzazioni dell’Agenzia per la cybersicurezza nazionale che mira ad arrivare “a un’autonomia strategica insieme agli Stati europei: avere la capacità di effettuare controlli e decidere quali tecnologie scegliere”.
L’anno zero della cybersicurezza del nostro Paese è rappresentato da questa videointervista di Franco Gabrielli. L’8 aprile 2021, il Sottosegretario alla Presidenza del Consiglio, ai nostri microfoni, annunciò: “credo sia arrivato il tempo di creare un’Agenzia che tratti in maniera olistica il tema della sicurezza cibernetica e della crescita culturale di questo settore”. L’intervista ha dato la scossa all’Italia, che, con un ritardo di 30 anni rispetto alla Germania e di 12 anni con la Francia, è giunta alla maturazione di creare un’Agenzia ad hoc per la resilienza cibernetica del Paese, che non poteva più essere affidata al DIS – Sistema di informazione per la sicurezza della Repubblica.
Questo anno zero della cybersecurity italiana ci è stato confidato dal direttore dell’Agenzia per la cybersicurezza nazionale (ACN), Roberto Baldoni, in occasione della nostra intervista, e sottolineato oggi dal dirigente dell’ACN l’ammiraglio Gianluca Galasso, intervenendo al convegno “Crimini e attacchi informatici: poteri dell’Agenzia Cybersicurezza Nazionale e indagini della magistratura”, organizzato dalla Fondazione ICSA.
“Il giorno dopo l’intervista di Gabrielli ci siamo messi tutti a lavoro, così è poi nata l’Agenzia Cyber Nazionale”
“Il giorno dopo l’intervista di Gabrielli ci siamo messi tutti a lavoro”, ha detto Galasso, capo operazioni del Csirt – Italia (Computer security incident respons team), “e quel lavoro ha portato all’adozione del decreto-legge del 14 giugno 2021, n. 82, che ha ridefinito l’architettura nazionale cyber e istituito l’Agenzia per la Cybersicurezza Nazionale (ACN)”.
Nell’intervento Galasso ha mostrato e spiegato i ruoli, le funzioni e l’organizzazione dell’Agenzia per la cybersicurezza nazionale. “Prima dell’ACN c’erano 40 soggetti pubblici che svolgevano, a vario titolo, le sue funzioni”, ha spiegato. Oggi l’Agenzia, in qualità di Autorità nazionale cyber, assicura il coordinamento istituzionale nel settore della cybersicurezza e promuove la cyber resilienza.
Gli 8 ruoli dell’Agenzia per la Cybersicurezza Nazionale
Ecco i ruoli dell’ACN, che svolge come hub nazionale per la ciybersicurezza:
- Autorità nazionale di certificazione della cybersicurezza.
- Autorità nazionale competente e punto di contatto unico NIS. A proposito di NIS, Galasso ha spiegato che la Direttiva NIS 2 “sarà completamente nuova rispetto a quella del 2016. Non ci saranno più soglie discrezionali ma soglie e fatturato definiti per i soggetti obbligati a seguire la direttiva”. Più un’altra novità: “la Responsibility disclosure: proteggerà il soggetto che denuncia alle autorità preposte una grave vulnerabilità senza essere a sua volta denunciato. E questa richiederà in Italia una nuova norma di recepimento”, ha anticipato Galasso.
- Autorità competente per la sicurezza delle comunicazioni elettroniche. Per questo ruolo a breve l’ACN sostituirà il Ministero dello Sviluppo economico.
- Supervisione dell’attuazione della legge sul perimetro di sicurezza nazionale cibernetica.
- Centro Valutazione e Certificazione Nazionale (CVCN). È in fase di costituzione: è in corso sia il reclutamento sia l’adozione tecnologica. Il CVCN sarà operativo da luglio prossimo ed effettuerà il controllo della qualità tecnica delle soluzioni 5G e Cloud da utilizzare nelle infrastrutture critiche dell’Italia
- CSIRT Italia – Computer Security Incident Response Team.
- Responsabile per la prevenzione, preparazione, e gestione di crisi cibernetiche, attraverso il Nucleo per la Sicurezza Cibernetica (NSC). “NCS lavora tanto, già riunito 10 volte”, ha rivelato Galasso.
- Centro Nazionale di coordinamento ai sensi del Regolamento Ue sul centro europeo di competenza per la cybersecurity.
Le 19 funzioni dell’Agenzia per la Cybersicurezza Nazionale
Nel suo intervento Gianluca Galasso ha mostrato anche le 19 funzioni attribuite all’ACN, che vanno dall’innalzare la resilienza del Paese fino a raggiungere l’autonomia strategica.
“Si parla di resilienza”, ha spiegato, “perché è impossibile difendersi al 100% dalle minacce. Occorre, quindi, capire cosa interessa davvero e cosa lasciare che sia compromesso senza impatti. Non si può proteggere tutto”.
Il funzionario dell’ACN è stato chiaro anche l’autonomia tecnologica, una delle missioni dell’Agenzia cyber nazionale. “Non so avremo una nostra Microsoft, ma dobbiamo arrivare alla capacità di controllo e decisione di quale tecnologia scegliere”, ha dichiarato Galasso. “La tecnologia”, ha aggiunto, “è anche un terreno di scontro geopolitico, come dice Roberto Baldoni, ed è necessario arrivare a un’autonomia strategica con gli Stati europei”.
In ACN non ancora operativa la sezione Autorità e Sanzioni
Infine, nell’illustrare l’organizzazione dell’ACN, Galasso ha evidenziato come non sia ancora operativa la sezione Autorità e Sanzioni: “mancano ancora il personale e le regole in merito”. A proposito di personale, oggi sono 80 le risorse umane dell’Agenzia. “Troppo poche. Abbiamo avviato un reclutamento pubblico tra contratti a tempo indeterminato e a termine, riferito a particolari specialità”, ha ricordato il funzionario. Gli obiettivi è: avere una squadra di 300 persone entro la fine del 2023 fino ad 800 unità nel 2027-2028.
Curiosità. Il famoso tasto rosso che il premier può schiacciare in caso di crisi cibernetica
Galasso ha concluso l’intervento spiegando il “famoso tasto rosso”, previsto dall’articolo 5 della legge del Perimetro. Ecco cos’è e quando può essere attivato: il Presidente del Consiglio dei ministri, in presenza di un rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e nei casi di crisi cibernetica, su deliberazione del Comitato interministeriale per la sicurezza della Repubblica, può comunque disporre, ove indispensabile e per il tempo strettamente necessario alla eliminazione dello specifico fattore di rischio o alla sua mitigazione, secondo un criterio di proporzionalità, la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati.
Operativamente il premier come può ordinare di far schiacciare questo “tasto rosso”? “Si vedrà”, ha concluso Gianluca Galasso, “con un futuro Regolamento”.
