La Legge in esame riconosce all’Agenzia personalità giuridica di diritto pubblico e attribuisce un’ampia autonomia (normativa, amministrativa, patrimoniale, organizzativa, contabile e finanziaria), il cui esercizio sarà fondamentale ai fini della costruzione dell’architettura nazionale di cybersicurezza e il cui sviluppo si basa (o dovrebbe basarsi) su sei pilastri fondamentali.
Il recente ransomware ai danni della Regione Lazio ha reso ben chiara l’indifferibilità dell’istituzione dell’Agenzia per la cybersicurezza nazionale (Agenzia) e la delicatezza e complessità delle funzioni che essa dovrà svolgere in campo nazionale e internazionale.
L’evidenza dei danni causati nel mondo fisico da attacchi informatici, condotti nel cyberspazio da parte di organizzazioni criminali, sono noti da tempo agli addetti ai lavori, e ora la gravità e l’imprevedibilità delle minacce cibernetiche impone anche all’Italia l’ingresso in un’era focalizzata sulla difesa della sovranità digitale. Si tratta di un nuovo concetto di difesa, determinato dall’assenza di confini geografici nel cyberspazio, che ha spinto il nostro Legislatore nel 2019 a creare un perimetro nazionale cibernetico. E’ innegabile che il dominio cibernetico rappresenta la principale arena economica, sociale e di politica internazionale, nella quale si misurano i rapporti di forza tra gli Stati e gli altri soggetti che, a vario titolo, vi operano. Ciò impone un’elaborazione olistica della politica di cybersicurezza per garantire l’integrità degli asset pubblici e privati del Paese.
In questo contesto, l’istituzione dell’Agenzia rappresenta una grande opportunità per condurre un rafforzamento strutturale delle capacità di sicurezza informatica e di resilienza del nostro Paese, fermo restando gli obblighi derivanti da trattati internazionali (art. 1 della Legge di conversione del decreto-legge 14 giugno 2021, n. 82, istitutiva dell’Agenzia). Non a caso il Legislatore ha specificato altresì che uno degli obblighi dell’Agenzia sarà “la definizione e il mantenimento di un quadro giuridico nazionale aggiornato e coerente tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale”.
Il richiamo alla normativa internazionale e, aggiungiamo, alla disciplina dell’Unione europea, rappresenta infatti un punto centrale dell’attività dell’Agenzia che vede nella collaborazione con enti internazionali ed europei una delle priorità nelle azioni di prevenzione, resilienza e reazione specie in caso di risposta ad attacchi cyber che – per dimensioni, intensità o natura – siano tali da non poter essere fronteggiati dal singolo Stato (come nel caso degli attacchi all’Estonia nel 2007 e alla Georgia nel 2019). Attualmente è pacifico che attacchi di questo tipo esprimono un potenziale altamente distruttivo nel mondo reale, tale da comportare l’attivazione dell’art. 51 della Carta dell’ONU, o dell’art. 5 del Trattato della NATO, per legittima difesa.
A tal fine di predisporre un quadro normativo e operativo appropriato, la Legge in esame riconosce all’Agenzia personalità giuridica di diritto pubblico e le attribuisce un’ampia autonomia (normativa, amministrativa, patrimoniale, organizzativa, contabile e finanziaria), il cui esercizio sarà fondamentale ai fini della costruzione dell’architettura nazionale di cybersicurezza e il cui sviluppo si basa (o dovrebbe basarsi) su sei pilastri fondamentali.
Il primo pilastro riguarda lo sviluppo della strategia nazionale del cyberspazio. Esso dovrebbe essere la chiave di volta della nostra sicurezza informatica. Questa strategia deve essere realizzata in stretta connessione con quella generale sulla sicurezza nazionale, il cui contenuto dovrebbe includere: la valutazione dell’Ambiente strategico nazionale; la determinazione degli obiettivi nazionali nel cyberspazio; la mappatura delle minacce informatiche, incluso il cyber terrorismo e le possibili attività di influenza sul nostro processo democratico ed elettorale; l’applicazione al cyberspazio del principio del divieto dell’uso della forza; la definizione delle situazioni di emergenza ai vari livelli e la determinazione delle autorità competenti nell’interazione con le organizzazioni internazionali ed europee competenti (NATO, ENISA e Centro di competenza cyber dell’UE di Bucarest). Ciò consentirebbe di gestire al meglio le responsabilità organizzative spettanti, a livello nazionale, al Nucleo di sicurezza informatica, che costituisce una prima linea che, in situazioni di crisi, assicura il sostegno al Presidente del Consiglio dei Ministri.
Il secondo pilastro verte sullo sviluppo della tecnologia e dei mezzi che consentono l’attuazione della strategia nazionale nel cyberspazio. Ci si riferisce, in particolare, alla necessità di sostenere la ricerca e lo sviluppo tecnologico migliorando la sicurezza dei sistemi di informazione e comunicazione per i settori pubblici e privati, sostanzialmente finalizzati “al conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore” (art. 7 della Legge). Si rammenta poi che l’Agenzia è competente sia quale centro nazionale di riferimento dell’UE per la cybersicurezza sia per l’accertamento delle violazioni e l’irrogazione delle sanzioni amministrative previste dal decreto legislativo NIS.
Il terzo pilastro concerne poi lo sviluppo delle risorse umane in materia di cybersecurity in favorendo studi e formazione accademici e non. Tale sviluppo dovrà essere sincronizzato con il rafforzamento delle capacità informatiche e tecnologiche del nostro Paese. A tal fine, la Legge in esame persegue sia un’attività di comunicazione e promozione dell’educazione alla cybersicurezza, sia una formazione tecnico-professionale rivolta ai giovani, attraverso l’assegnazione di borse di studio, di dottorato e assegni di ricerca. Sul punto, sono centrali anche gli “obiettivi di eccellenza” da realizzare grazie al coinvolgimento delle Università e del sistema produttivo nazionale.
Il quarto pilastro dovrebbe vertere sulla massimizzazione dello sviluppo organizzativo perseguendo la necessità di disporre una macro analisi delle esigenze di sicurezza informatica nazionale e, di conseguenza, di costruire un ecosistema di sicurezza sulla base dei ruoli e delle responsabilità dei vari enti per assicurarsi che essi funzionino in modo sincronizzato e armonizzato.
Il quinto pilastro riguarda le attività di esercitazione e formazione: ambedue rappresentano una componente fondamentale della capacità di sicurezza informatica. Esse generano know-how e consentono agli enti pubblici alle aziende di prepararsi al meglio per affrontare i vari scenari di attacchi cyber. A tal fine, è stato previsto che l’Agenzia parteciperà alle esercitazioni nazionali e internazionali di simulazione al fine di innalzare la resilienza del Paese.
Infine, il sesto pilastro si basa sulla cooperazione internazionale in materia di cybersicurezza. Sul punto la Legge in esame consente all’Agenzia l’elaborazione di progetti e iniziative in collaborazione con la NATO e con l’Agenzia europea per la difesa e delega al Comitato interministeriale per la cybersicurezza (CIC) la realizzazione di un’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e con gli operatori privati interessati, includendo la condivisione delle informazioni e delle best practices finalizzate allo sviluppo della sicurezza industriale, tecnologica e scientifica.
In conclusione, l’Agenzia ha davanti a sé grandi sfide e molti obiettivi per garantire la digitalizzazione del Paese declinata alla safety e alla security. Dal canto nostro, suggeriamo di concentrare le attività iniziali nello sviluppo di metodologie e strategie coerenti che tengano conto di un dettaglio importante e al contempo semplice: la centralità di una cultura e di una consapevolezza nazionale della cybersicurezza pubblica e privata, perché in fondo il tutto si basa su … un semplice (e sicuro) click!