Resoconto della conferenza stampa in cui Gabrielli e Baldoni hanno spiegato la strategia nazionale di cybersicurezza e l’annesso piano di implementazione con 82 misure che dovranno essere seguite soprattutto dalla PA. Verifica ogni anno e in arrivo, con la Nis2, sanzioni salate come il GDPR.
L’Italia ha ora un framework per la cybersecurity fino al 2026 per consentire al Paese di gestire, in modo olistico, sia il rischio di cyber attacchi sia il rischio tecnologico. È la strategia nazionale di cybersicurezza, in cui sono delineati gli obiettivi di protezione, risposta e sviluppo per rendere la Nazione più cyber resiliente.
Le 82 misure da adottare soprattutto per le pubbliche amministrazioni, anche se 40 sono per avviare partnership pubblico-privato, sono contenute nell’annesso piano di implementazione.
Dal conseguimento degli obiettivi pianificati nella strategia, con una verifica annuale dei risultati e con un aggiornamento delle misure, dipenderà l’indipendenza tecnologica nazionale in alcuni settori chiave e la prosperità economica dell’Italia.
Questa è la principale sfida della strategia cyber italiana scritta dall’Agenzia Nazionale per la Cybersicurezza (ACN) ed adottata dal premier Mario Draghi, sentito il Comitato Interministeriale per la Cybersicurezza (CIC).
Cybersecurity Italia ha partecipato alla conferenza stampa in cui Franco Gabrielli, sottosegretario con delega alla sicurezza della Repubblica e alla cybersicurezza, e Roberto Baldoni, direttore generale dell’ACN hanno illustrato la strategia nazionale di cybersicurezza e l’annesso piano di implementazione.
Le domande di Cybersecurity Italia in conferenza stampa
Clicca sul video per ascoltare direttamente le nostre domande a Franco Gabrielli e Roberto Baldoni
Gabrielli: “L’ACN è il pivot della Strategia”
“La strategia è uno dei passaggi più importanti che il Paese ha adottato dal 14 giugno 2021, quando il decreto-legge n.82 ha definito l’architettura nazionale di cybersicurezza e l’istituzione dell’Agenzia nazionale per la Cybersicurezza”, ha esordito Gabrielli.
“La strategia indica la rotta e il porto da raggiungere”, ha aggiunto, “ma il viaggio non è facile, perché l’Italia vive in una condizione di deficit complessivo di sicurezza cibernetica”.
“Per evitare interventi spot, come quello contro Kaspersky, sviluppare tecnologie proprietarie con privati in piena autonomia europea”
Rispondendo alla nostra domanda, Gabrielli ha spiegato che “gli interventi spot, come quello contro Kaspersky, si possono evitare solo avendo come obiettivo l’autonomia non nazionale, diciamoci la verità – ha detto – ma europea”. “Con la strategia”, ha continuato, “diamo continuità di interventi per procedere non più con un approccio emergenziale, ma sviluppando tecnologie quanto più possibile proprietarie”. Per esempio, TIM-Telsy ha sviluppato di recente l’antivirus proprietario, come ci ha racconto Eugenio Santagata.
La misura 81 della strategia stimola, in ambito Ue, la ricerca e lo sviluppo per “traguardare l’obiettivo dell’autonomia tecnologica UE in ambito digitale”. Ma non su tutti i settori. Si punta ai segmenti più innovativi e sensibili a livello geopolitico: cloud ed edge computing, tecnologie basate su blockchain, spazio, intelligenza artificiale, ecc.
“L’Agenzia cyber è il pivot della strategia nazionale di cybersicurezza, di cui il premier è il titolare e non può delegare”, ha spiegato il sottosegretario. Gabrielli ha anche risposto a chi, continuamente, chiede di modificare la normativa italiana ed internazionale per consentire la risposta a un attacco cyber, quando l’attaccante è ben identificato.
“L’Intelligence già può svolgere l’attività di contrattacco cyber”
Il sottosegretario ha spiegato anche che la difesa pro-attiva o legittima come risposta a un attacco cibernetico “è già possibile a legislazione vigente ed è l’Intelligence che può svolgere quest’attività di contrattacco cyber”.
Infatti, solo l’AISE (Agenzia informazioni e sicurezza esterna e l’AISI (Agenzia informazioni e sicurezza interna) possono, oggi, contrattaccare a un attacco cyber, dopo aver ricevuto il parere favorevole, “la doppia chiave”, dal presidente del Consiglio dei ministri e dalla procura.
Sul contrattacco cyber ecco cosa prevede la misura 40.
Mentre sulla deterrenza in ambito cibernetico, la misura 45 stabilisce di “rafforzarla… in ragione degli scenari in atto”, perché è sempre più concreto essere vittime di una cyberwarfare.
Tra pochi giorni i nomi dei componenti del Comitato Tecnico-Scientifico
Infine, Gabrielli ha sottolineato l’importanza della collaborazione pubblico-privato per raggiungere gli obiettivi della strategia cyber ed ha annunciato: “Tra pochi giorni Draghi firmerà il provvedimento con il quale nominerà i componenti del Comitato Tecnico-Scientifico, che saranno personalità del mondo dell’industria, dell’accademia e dei centri di ricerca. Il Comitato svolgerà la funzione di sollecitazione di proposte all’Agenzia”.
Baldoni: “La Strategia cerca in modo olistico di rafforzare la cyber resilienza in Italia”
Nel corso della conferenza stampa è stato Roberto Baldoni a descrivere le principali misure contenute nel piano di implementazione. “La Strategia cerca in modo olistico di rafforzare la cyber resilienza in Italia”, ha spiegato il direttore generale dell’Agenzia per la Cybersicurezza Nazionale. “L’ACN”, ha aggiunto, “è l’enzima, il capomaglia, il faro, a cui tutti i soggetti interessati dovranno interfacciarsi per seguire le linee guida”.
Il 16 giugno primo passo per il cyber index
Non è presente nella strategia né nel piano di implementazione. Baldoni ha annunciato: “Il 16 giugno prossimo ci sarà la firma dell’intesa con Confindustria e Generali per arrivare a un cyber index per definire poi i rischi cyber dei singoli in un sistema assicurativo”. Con l’aumento degli attacchi informatici sono, infatti, in forte crescita le cyber assicurazioni: il cyber index consentirà “un sistema di gestione del rischio assicurativo e poi, in collaborazione con l’ENISA, proporremo un cyber index europeo”, ha rivelato il professore.
Protezione, Risposta, Sviluppo
Baldoni ha spiegato le principali misure per perseguire i tre principali obiettivi della strategia: protezione, risposta, sviluppo.
“Con il CVCN per non perdere perde il controllo nel cyberspazio”
“Il rischio zero non esiste”, ha spiegato. Per quanto riguarda l’innalzamento del livello di protezione, dal primo luglio sarà operativo, presso l’ACN, il Centro di Valutazione e Certificazione Nazionale. “Il CVCN effettuerà l’attività di scrutinio, di analisi della qualità dei dispositivi tecnologici che saranno utilizzati dai soggetti presenti all’interno del perimetro di sicurezza nazionale cibernetica”, ha ricordato il dg dell’Agenzia. Il CVCN sarà fondamentale anche, ha sottolineato Baldoni, “per non perdere la capacità di analizzare le tecnologie, altrimenti l’Italia perde il controllo nel cyberspazio”.
Inoltre, ha detto “sarà fondamentale anticipare le minacce cyber e gestire in modo efficiente un attacco informatico”.
Come farlo? Tra i servizi cyber nazionali le misure 30 – 31 -32 prevedono:
“All’HyperSoc, con cui sarà potenziato il CSIRT Italia, arriveranno informazioni dai SOC dei Centri di Valutazione e Certificazione e dal futuro SOC europeo”, ha spiegato Baldoni.
“Fino ad oggi, abbiamo avuto attacchi isolati, singoli. Ci stiamo già esercitando”, ha fatto sapere, “per gestire decine di attacchi, vere e proprie campagne, nello stesso momento”.
Protezione della PA
Per assicurare una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) “sono già 57 gli interventi di potenziamento in fase avanzata di istruttoria”, ha detto Baldoni. Per quanto riguarda la realizzazione del cloud nazionale e del Polo Strategico Nazionale l’ACN “sta facendo la classificazione dei dati”. Inoltre, per contrastare gli attacchi cyber ai siti della PA sarà “realizzata un’infrastruttura di risoluzione DSN nazionale per proteggere il Registro.it” a servizio degli operatori pubblici e privati (misura 18) e promossa lo sviluppo e l’implementazione di un servizio nazionale di gestione delle copie dei backup “a freddo”, per consentire alle Pa e agli operatori privati un’infrastruttura con alti livelli di resilienza a supporto di una pronta riattivazione di sistemi e servizi a seguito di guasti o incidenti (misura 219.
Infine, c’è il terzo obiettivo-azione della Strategia: lo sviluppo. “Non solo di tecnologie proprietarie italiane ed europee, a partire dai chip e dalla crittografia, ma anche la formazione di persone che sanno gestire le tecnologie”, ha detto Baldoni.
Tra le tante iniziative di formazione, sarà avviata “un’Academy per i dirigenti della PA” ed anche un’e-Academy dell’ACN per tutti i cittadini. Il fattore umano, la cybersecurity awareness, la promozione della cultura della sicurezza cibernetica, è il primo scudo contro gli attacchi informatici.
E la strategia punta molto sull’educazione digitale per tutti i lavoratori e per gli studenti già a partire dalle scuole di secondo grado, prevedendo nella misura 60 anche di attivare Istituti Tecnici Superiori (ITS) con percorsi di cybersecurity.
40 misure per la collaborazione pubblico-privato
La strategia chiama in causa la stretta collaborazione il privato. Proprio per questa ragione, “40 delle misure da attuare nei prossimi quattro anni riguarderanno la collaborazione stretta tra pubblico e privato”, ha detto Baldoni, ad esempio prevedendo incentivi per lo sviluppo di startup nel settore della cybersicurezza e partnership pubblico-private con aziende di cybersecurity a conduzione femminile. E ancora la realizzazione di un “parco nazionale della cybersicurezza” per la ricerca e sviluppo nel settore.
Fondi: l’1,2% degli investimenti nazionali lordi ogni anno. Come spenderli?
Oltre ai 623 milioni previsti dal PNRR per rafforzare la cyber resilienza nella Pa, la strategia introduce “l’1,2% degli investimenti nazionali lordi ogni anno” da stanziare nelle leggi di Bilancio e da spendere solo per progetti utili al raggiungimento dell’autonomia tecnologica nei settori più innovativi e sensibili oltre che ad innalzare ulteriormente i livelli di cybersicurezza dei sistemi informativi nazionali.
“Con la NIS 2 sanzioni come il GDPR”
Alla nostra domanda “Sono previste sanzioni per chi non dovesse seguire le linee guida?” Baldoni ha risposto: “Sì, le sanzioni sono già legate ai singoli provvedimenti, per esempio il perimetro di sicurezza nazionale cibernetica ha il suo quadro sanzionatorio. E la NIS 2, quando sarà approvata definitivamente, conterrà un quadro sanzionatorio non ‘leggero’ come la NIS 1, ma molto più simile al GDPR. Così quando la NIS2 sarà adottata, noi saremo pronti a fare nostro anche il nuovo quadro sanzionatorio”.