Continua, a ritmo serrato, la costruzione dell’Agenzia per la cybersicurezza nazionale, diretta dal professor Roberto Baldoni e ora accessibile anche con un proprio sito Internet ufficiale: negli ultimi giorni dello scorso anno, infatti, sono stati pubblicati in Gazzetta Ufficiale e sono entrati in vigore i primi tre regolamenti attuativi su organizzazione e funzionamento, personale e contabilità.
Tutta la procedura, quindi, è stata portata a termine in appena quattro mesi: tempi molto celeri, considerando che è dovuta passare attraverso l’analisi e la valutazione del presidente del Consiglio dei ministri, del ministro dell’Economia e delle finanze, delle commissioni parlamentari, del Copasir e del Comitato interministeriale per la cybersicurezza.
Per quanto riguarda, invece, il decreto sul procurement e quello sul Perimetro di sicurezza nazionale cibernetica dovremo invece attendere tra gennaio e febbraio.
Lo scorso 4 agosto 2021 il DL 14 giugno 2021 “cybersicurezza” è stato convertito in legge, consacrando ufficialmente l’istituzione dell’Agenzia.
All’Agenzia, definita “l’Autorità nazionale nella cybersicurezza”, sono state attribuite, come da decreto, “personalità giuridica di diritto pubblico” e “autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria”.
L’Agenzia, diretta dal Prof. Roberto Baldoni e sotto il controllo diretto del COPASIR, Comitato parlamentare per la sicurezza della Repubblica, include al suo interno il Nucleo per la sicurezza cibernetica, NSC, gestito dal DIS, per consentire a quest’ultimo di coordinare AISE (Agenzia informazioni e sicurezza esterna) e AISI (Agenzia informazioni e sicurezza interna).
In più, nell’audizione di qualche mese fa di Vittorio Colao, ministro per l’Innovazione tecnologica e la transizione digitale, al Copasir si era discusso del Polo strategico nazionale, che si sarebbe occupato di sviluppare il Cloud nazionale degli enti pubblici, grazie al partenariato pubblico-privato, con in prima fila Cassa Deposito e prestiti, Sogei, Tim, Leonardo. Obiettivo del cloud nazionale portare a compimento la transizione digitale e l’efficienza della Pubblica Amministrazione dal punto di vista, appunto, digitale, come previsto dal PNRR, Piano Nazionale di Ripresa e Resilienza, approvato lo scorso 24 aprile dal Consiglio dei ministri.
Franco Gabrielli, l’Autorità delegata per la sicurezza della Repubblica, ha definito l’Agenzia per la Cybersicurezza nazionale italiana lo strumento adatto a rafforzare la resilienza che il nostro Paese possiede verso gli attacchi informatici.
Prerogativa di questa nuova agenzia è il carattere esterno rispetto al mondo dell’Intelligence, diversamente da come è accaduto in passato, in cui il comparto Intelligence si è occupato di costituire il Perimetro cibernetico, con i vari DPCM sull’argomento. L’azione è stata efficace, ma secondo Gabrielli l’Intelligence può occuparsi della materia sicurezza cibernetica, non arriva alla complessità della resilienza cibernetica.
Indice degli argomenti
Ecco i tre regolamenti attuativi dell’Agenzia cyber
Contabilità, organizzazione e personale sono dunque i primi tre campi su cui l’Agenzia per la Cybersicurezza nazionale italiana ha già, per ognuno, un regolamento attuativo ad hoc già in vigore.
A seguito del decreto sulla contabilità, il n. 222, il decreto n. 223 riguarda l’organizzazione e il funzionamento e stabilisce, tra le altre cose, che il direttore generale è il diretto referente del presidente del Consiglio e dell’Autorità delegata e legale rappresentante dell’Agenzia per la Cybersicurezza nazionale italiana.
Il decreto n. 224 incentrato sul personale divide le risorse tra quelle manageriali e alte professionalità e quelle operative, per un totale di 300 persone circa inizialmente, e conferma quanto già anticipato nei mesi precedenti, ossia che i contratti delle unità impiegate saranno simili a quelli della Banca d’Italia in modo da privilegiare talenti italiani, per evitare che fuggano all’estero, e a tempo determinato, così da garantire sempre la presenza di figure valide e preparate.
Le prossime mosse
Il quarto regolamento, che non è vincolante per l’avvio dell’Agenzia come i tre precedenti, dovrebbe essere pubblicato per il mese di febbraio e riguarderà la “definizione delle procedure per la stipula di contratti di appalti di lavori e forniture di beni e servizi per le attività dell’Agenzia finalizzate alla tutela della sicurezza nazionale nello spazio cibernetico e per quelle svolte in raccordo con il sistema di informazione per la sicurezza della Repubblica”.
L’ultimo decreto attuativo da pubblicare in Gazzetta Ufficiale sarà dedicato al Perimetro di sicurezza nazionale cibernetica e precisamente alla costituzione di una rete di laboratori pubblico-privati a supporto del CVCN per lo scrutinio tecnologico, che seguirà i regolamenti dedicati ai criteri di individuazione dei soggetti pubblici e privati inclusi nella cintura di sicurezza, alle procedure per la notifica degli incidenti e alle categorie di beni, sistemi e servizi ICT destinati a essere impiegati nel Perimetro di sicurezza nazionale cibernetica.
Infine, si dovrà lavorare ancora sul Comitato tecnico scientifico, sull’approvazione del bilancio preventivo e consultivo e nominare il rappresentante nazionale dell’Agenzia e il suo sostituto, che probabilmente saranno Roberto Baldoni e Nunzia Ciardi, sua vice, per il consiglio di direzione del Centro europeo di competenza per la cybersicurezza, la rete dei centri nazionali di coordinamento.
