Con l’entrata in vigore della nuova Direttiva per rafforzare la cybersecurity nell’UE, le pubbliche amministrazioni si trovano a dover affrontare sfide inedite e responsabilità in materia di sicurezza cibernetica. Ciò implica l’assunzione di specifiche responsabilità per garantire la difesa dei propri sistemi informatici. Massimo Poletti, CIO del Comune di Ferrara: “Criticità a parte, la NIS2 va affrontata come un’opportunità e con consapevolezza”.
I Comuni di oltre 100mila abitanti, le cosiddette “grandi città” di cui all’avviso pubblico n. 08/2024 dell’Agenzia per la Cybersicurezza Nazionale “per la presentazione di proposte di interventi di potenziamento della resilienza cyber dei grandi Comuni, dei Comuni capoluogo di Regione, delle Città Metropolitane, delle Agenzie regionali sanitarie e delle Aziende ed enti di supporto al Servizio Sanitario Nazionale, delle Autorità di sistema portuale, delle Autorità del Bacino del Distretto idrografico e delle Age”, sono ufficialmente nel perimetro della Direttiva NIS2, che influenzerà le pubbliche amministrazioni, estendendo la sicurezza delle reti e informazioni in Europa e nei singoli Paesi.
In parallelo, sta dispiegando i suoi effetti la legge n. 90 del 28 giugno 2024 (Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici) che, in particolare, introduce l’obbligo di segnalazione di alcune tipologie di incidenti che hanno impatto su reti, sistemi informativi e servizi informatici in carico alle pubbliche amministrazioni. Le quali – nel momento in cui sono oggetto di segnalazioni dell’ACN su specifiche vulnerabilità cui esse risultano potenzialmente esposte – devono provvedere tempestivamente all’adozione degli interventi risolutivi indicati dalla stessa Agenzia.
Un’introduzione doverosa, poiché a questo punto Massimo Poletti, CIO del Comune di Ferrara (che nel giugno 2023 ha subìto un duro attacco informatico da Rhysida Ransomware) si interroga a voce alta: “Il combinato disposto delle due norme citate ha come effetto che il referente per la sicurezza cibernetica di cui alla Legge 90 – nel mio caso il sottoscritto, appena nominato – dovrà anche occuparsi di tutto quanto implica la NIS2. È un bene? È un male?”.
PA alla prova della cybersecurity
Poletti, che su LinkedIn ha creato il gruppo pubblico “NIS2 Network nuovi Comuni”, prosegue così: “C’era già stato un primo campanello d’allarme proprio a seguito dell’uscita del bando ACN n. 08/2024 per la sovvenzione del progetto PNRR sulla cybersecurity, che aveva concesso un finanziamento a tutta una serie di Enti, Comuni (con oltre 100mila abitanti) e Agenzie mai però coinvolti nel bando “Le città metropolitane” di due anni fa”.
Un bando che, come riporta l’avviso, “ha lo scopo di individuare, mediante procedura valutativa selettiva con graduatoria, le proposte progettuali finalizzate al potenziamento del livello di maturità delle capacità cyber dei sistemi informativi delle Regioni, dei Comuni capoluogo facenti parte di Città metropolitane, delle Province autonome. Il fine ultimo degli interventi è quello di potenziare il livello di resilienza cyber dei sistemi informativi per la messa in sicurezza dei dati e dei servizi dei cittadini”.
Ora, con l’emanazione del decreto legislativo n. 138 del 4 settembre 2024 – Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 – che recepisce la Direttiva NIS 2, perfezionando l’iter di adeguamento dell’ordinamento interno alla normativa euro-unitaria già avviato dal 2016, “abbiamo osservato – precisa Poletti, “che sono stati ripresi gli stessi destinatari del bando ACN, collocandoli in questo decreto dove sostanzialmente vengono sanciti gli obblighi degli Enti rispetto alla NIS2. Prevedendo poi un Punto di contatto unico”.
Gestione della governance e del pericolo cyber
Così in Emilia Romagna tutti i capoluoghi (escluso Cesena) sono oltre 100mila abitanti e si sono ritrovati all’improvviso nella NIS2. Da qui, uno straniamento generale e condiviso. “È proprio così – prosegue Poletti – senza trascurare il fatto che non tutti i Comuni in questione, adesso obbligati a registrarsi sulla piattaforma di ACN, sono dotati di grandi strutture per gestire la cybersecurity”. C’è di più. “Come mi ha fatto notare un collega su LinkedIn, la nomina del già citato Punto di contatto è in grado di soddisfare l’obbligo di nomina e comunicazione del “Referente per la cybersicurezza” di cui alla Legge n. 90/24. Ma, al contrario, la nomina del “Referente per la cybersicurezza” Legge n. 90 – in riferimento alla quale ACN ha pubblicato le Linee guida per il rafforzamento della resilienza e referente per la cybersicurezza – può soddisfare adesso l’obbligo di nomina del Punto di contatto?”.
Dubbi legittimi che andranno sciolti, ma il CIO del Comune di Ferrara resta fiducioso. E ancorandosi a un detto attribuito al primo ministro inglese più famoso di tutti i tempi, Winston Churcill (“Non lasciare che una buona crisi vada sprecata”), ammette: “Prendiamola in positivo. Adesso esiste un referente per la cybersecurity che, tra i suoi doveri, ha quello di produrre documenti, informare i vertici dell’Amministrazione e impostare piani, solo per fare alcuni esempi. Di fatto, rendendo l’Amministrazione consapevole – qualora non lo fosse ancora – che con ogni probabilità c’è un problema da gestire in maniera trasversale e con il coinvolgimento di tutti. Pertanto, che serviranno necessariamente nuove risorse”.
