L’Italia ha la sua strategia nazionale di cybersicurezza: dopo l’approvazione lo scorso 18 maggio da parte del Comitato Interministeriale per la Cybersicurezza (CIC) presieduto dal Presidente del Consiglio Mario Draghi, la strategia cyber predisposta dall’Agenzia per la cybersicurezza nazionale è stata ufficialmente presentata oggi dal Sottosegretario di Stato alla Presidenza del Consiglio Franco Gabrielli, in veste di Autorità delegata per la sicurezza della Repubblica, e dal direttore dell’Agenzia stessa Roberto Baldoni.
Una strategia programmatica da qui al 2026 la cui importanza è sottolineata dalle parole del Presidente del consiglio Mario Draghi: “Le nuove forme di competizione strategica che caratterizzano lo scenario geopolitico impongono all’Italia di proseguire e, dove possibile, incrementare le iniziative in materia di cybersicurezza. Dobbiamo tenere fede agli impegni assunti nell’ambito delle organizzazioni internazionali a cui l’Italia partecipa, anche tenuto conto dell’elevata qualità e dei massicci investimenti realizzati dai principali alleati e partner internazionali. È dunque necessaria una puntuale rivisitazione nella concezione e nella visione strategica dell’architettura nazionale di cybersicurezza”.
“È nostra intenzione intensificare i progetti di sviluppo tecnologico per arrivare a disporre di un adeguato livello di autonomia strategica nel settore e quindi garantire la nostra sovranità digitale. Per farlo, sarà cruciale stanziare fondi adeguati, con continuità”, ha concluso il Presidente Draghi.
Dunque, con la definizione della strategia cyber e dell’annesso Piano di implementazione il Governo mira ad affrontare una pluralità di sfide tipiche dell’articolata dimensione dello spazio cibernetico:
- il rafforzamento della resilienza nella transizione digitale del sistema Paese;
- il conseguimento dell’autonomia strategica nella dimensione cibernetica;
- l’anticipazione dell’evoluzione della minaccia cyber;
- la gestione di crisi cibernetiche.
Indice degli argomenti
Il perché di una strategia nazionale di cybersicurezza
Sfide che nascono dalla constatazione che “nessuna organizzazione, pur tecnologicamente equipaggiata e proceduralmente preparata, può ambire a eliminare del tutto le minacce che promanano dallo spazio cibernetico”, si legge nelle premesse della strategia cyber, “siano esse volte ad ottenere profitti illeciti (cyber-crime), generare vantaggio informativo per fini di competizione geopolitica (cyber-espionage), diffondere narrative divisive e polarizzanti in aderenza a specifiche ideologie o motivazioni politiche”.
Per far fronte a questa realtà è opportuno agire secondo un approccio che includa l’adozione di misure di prevenzione e mitigazione del rischio volte a innalzare la resilienza delle infrastrutture digitali.
D’altronde, i recenti attacchi informatici che hanno colpito anche il nostro Paese nel contesto di una guerra ibrida acuitasi in seguito all’invasione russa dell’Ucraina, hanno fornito evidenze di danni economici e reputazionali per le imprese, blocco dell’operatività di infrastrutture energetiche, malfunzionamenti di sistemi informativi impiegati da aziende ospedaliere e sanitarie, fino alla diffusione di dati personali di figure pubbliche, giornalisti e attivisti politici col fine di screditarle mettendone talvolta in pericolo anche l’incolumità.
Uno scenario dal quale sono scaturite le considerazioni che hanno portato il Governo a definire la strategia nazionale di cybersicurezza 2022-2026:
- rientra tra i doveri dello Stato la definizione di adeguate strategie di cybersicurezza volte a pianificare, coordinare e attuare misure tese a rendere il Paese sicuro e resiliente anche nel dominio digitale, assicurando, al contempo, la fiducia dei cittadini nella possibilità di sfruttarne i relativi vantaggi competitivi, nella piena tutela dei diritti e delle libertà fondamentali;
- la cybersicurezza, che è divenuta una questione di importanza strategica, deve porsi a fondamento del processo di digitalizzazione del Paese, quale elemento imprescindibile della trasformazione digitale, anche nell’ottica di conseguire l’autonomia nazionale strategica nel settore;
- la stessa deve poi essere percepita non come un costo, ma come un investimento e un fattore abilitante per lo sviluppo dell’economia e dell’industria nazionale, al fine di accrescere la competitività del Sistema-Paese a livello globale;
- la messa in sicurezza di infrastrutture, sistemi e informazioni dal punto di vista tecnico deve essere accompagnata da un progresso culturale ad ogni livello della società, verso un approccio “security-oriented”, tassello indispensabile per tutelare il nostro sistema valoriale e democratico.
Durante la conferenza stampa il Sottosegretario Gabrielli ha quindi illustrato quelli che sono i quattro pilastri tecnico-operativi su cui si basa l’intera strategia cyber:
- cyber sicurezza e resilienza
- prevenzione e contrasto della criminalità informatica
- difesa e sicurezza militare del Paese
- ricerca ed elaborazione informativa
Dunque, al fine di contrastare le sempre più pericolose cyber minacce sono stati individuati gli step principali della strategia:
- assicurare una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo italiano;
- raggiungere l’autonomia strategica nazionale ed europea nel settore del digitale;
- anticipare l’evoluzione della minaccia cyber;
- gestire correttamente le crisi cibernetiche generate dagli attacchi informatici;
- contrastare la disinformazione online creata in seguito all’ampliarsi della cosiddetta minaccia ibrida.
A tal proposito, il Sottosegretario Gabrielli ha sottolineato che la strategia cyber è quinquennale, ma i controlli per verificare l’applicazione delle misure indicate nel documento saranno annuali, proprio per garantire che gli step appena indicati vengano correttamente applicati.
Le misure operative della strategia cyber
Durante la conferenza stampa di presentazione della strategia nazionale di cybersicurezza il direttore dell’Agenzia cyber Baldoni ha quindi esposto le 82 misure di sicurezza incluse nel Piano di implementazione e che verranno applicate al sistema Paese dall’Agenzia stessa in applicazione del documento programmatico.
L’importanza delle certificazioni di cyber security
Innanzitutto, la Misura #1 che prevede di “Rafforzare il sistema di scrutinio tecnologico nazionale a supporto della sicurezza della supply chain e l’adozione di schemi di certificazione europea di cybersecurity, anche mediante l’accreditamento di laboratori di valutazione pubblico/privati”.
Contestualmente, nella Misura #2 la strategia cyber si propone di “Sviluppare le capacità dei Centri di Valutazione del Ministero dell’Interno e del Ministero della Difesa accreditati dall’ACN, quali organismi di valutazione della conformità, per i sistemi di rispettiva competenza”.
Sempre in tema di certificazioni di cybersicurezza, da segnalare la Misura #5 mirata a “Supportare lo sviluppo, valutandone l’adeguatezza in termini di sicurezza nazionale, degli schemi di certificazione in materia di cybersicurezza e, in collaborazione con il settore privato, promuoverne l’adozione e l’utilizzo da parte dei fornitori di servizi e delle imprese italiane, favorendo lo sviluppo del tessuto imprenditoriale nazionale specializzato al fine di conseguire un vantaggio competitivo sul mercato”.
Accrescere le competenze e le conoscenze cyber
Come segnalato dal Direttore Baldoni, poi, il ruolo dell’Agenzia per la cybersicurezza nazionale nell’attuazione della strategia cyber è quello di “accompagnare il sistema Paese a crescere”, dare un impulso importante alla “crescita della resilienza”. In questo senso va letta la Misura #10 che, nella prospettiva della transizione al cloud, prevede di “Pubblicare linee guida sulla cybersecurity per le Amministrazioni Pubbliche, con differenti gradi di cogenza (con riguardo, ad es., a MFA, registrazione e conservazione dei log, ecc.), anche in riferimento alla transizione al cloud e favorendo una gestione continuativa e automatizzata del rischio cyber, secondo un approccio zero trust”.
Lo stesso Baldoni ha poi sottolineato l’importanza della conoscenza per contrastare le minacce cyber. A tal proposito, usando un simpatico paragone, il Direttore dell’ACN ha sottolineato che “nessuno nasce pilota di F1, ma tutti devono conoscere le regole”, a dimostrazione di quanto l’awareness sia importante nell’ambito della cyber security.
Per questo, la Misura #12 prevede di “Continuare ad accrescere le capacità nazionali di difesa, resilienza, contrasto al crimine e cyber intelligence, rafforzando ulteriormente la situational awareness mediante il monitoraggio continuo e l’analisi di minacce, vulnerabilità e attacchi, secondo gli specifici ambiti di competenza”.
Contestualmente, la Misura #13 prevede di “Realizzare un servizio di monitoraggio del rischio cyber nazionale a favore delle organizzazioni e del pubblico in generale, al fine di comunicare l’effettivo livello della minaccia, nonché di informare adeguatamente i processi decisionali”.
Un sistema di supporto per PA e aziende
Ed è proprio per “costruire” un sistema di supporto alle Pubbliche Amministrazioni e a tutto il sistema produttivo italiano che interviene la Misura #33: “Accrescere le capacità di risposta e ripristino a seguito di crisi cibernetiche implementando una rete di CERT settoriali integrata con lo CSIRT Italia, nonché un piano nazionale di gestione crisi che definisca procedure, processi e strumenti da utilizzare in coordinamento con gli operatori pubblici e privati, con l’obiettivo di assicurare la continuità operativa delle reti, dei sistemi informativi e dei servizi informatici”.
Un parco nazionale della cybersicurezza
In pratica, l’obiettivo del Governo espresso nella strategia cyber alla Misura #49 è quello di “Realizzare un “parco nazionale della cybersicurezza” che ospiti le infrastrutture necessarie allo svolgimento di attività di ricerca e sviluppo nell’ambito della cybersecurity e delle tecnologie digitali, dotato di una struttura “diffusa”, con ramificazioni distribuite sull’intero territorio nazionale”.
Da segnalare, infine, le misure ricomprese nella sezione “Impulso all’innovazione tecnologica e alla digitalizzazione” della strategia cyber che sottolineano l’importanza importanza dei settori ricerca e sviluppo di nuove tecnologie.
In particolare, la Misura 53 è mirata a “Promuovere ogni iniziativa utile volta al rafforzamento dell’autonomia industriale e tecnologica dell’Italia, riguardo a prodotti e processi informatici di rilevanza strategica ed a tutela degli interessi nazionali nel settore, anche valorizzando lo sviluppo di algoritmi proprietari nonché la ricerca e il conseguimento di nuove capacità crittografiche nazionali”, mentre la Misura #54 è volta a “Favorire la ricerca e lo sviluppo, specialmente nelle nuove tecnologie, promuovendo l’inclusione dei principi di cybersicurezza e supportando, anche mediante finanziamenti, investimenti pubblici e privati e meccanismi di semplificazione, progetti di sicurezza cibernetica da parte del settore privato – con particolare riferimento alle startup e alle PMI innovative – e dei Centri di competenza e di ricerca attivi sul territorio nazionale”.
Gli investimenti per la cybersicurezza
Ricordiamo che il Governo ha deciso di destinare l’1,2% degli investimenti nazionali lordi per il finanziamento di progetti specifici che garantiscano l’autonomia tecnologica in ambito digitale e l’innalzamento dei livelli di cybersicurezza dei sistemi informativi nazionali.
Inoltre, la strategia nazionale messa a punto dal Governo prevede anche un supporto importante alle aziende private anch’esse prese di mira dal cyber crimine: per loro, saranno previsti sgravi fiscali e aree nazionali a tassazione agevolata.
Investimenti che, è bene ricordare, andranno ad aggiungersi ai 623 milioni di euro già previsti dal PNRR e assegnati all’Agenzia cyber in quanto soggetto attuatore del Piano Nazionale di Ripresa e Resilienza.