La fotografia della cyber sicurezza nazionale è un’istantanea lunga un anno che parte dall’ultima relazione dell’ACN al Parlamento su quanto svolto nel 2023 e si completa con le attività in corso e terminate nel 2024, attuando progressivamente i punti della strategia e del piano di implementazione.
A dicembre 2024 l’ACN ha anche pubblicato il piano strategico 2024-2026 che, complementare agli altri documenti di indirizzo, definisce obiettivi e piani di azione per i prossimi 3 anni.
Tutto il bilancio delle azioni ACN dispiegate in ambito nazionale è sostenuto da una pari crescita dell’organico interno chiamato ad assolvere e operare su ogni area di intervento.
Indice degli argomenti
Istituzione ACN e obiettivi nazionali
Si scrive Agenzia per la Cybersicurezza Nazionale (ACN) ma si legge Autorità nazionale per la sicurezza informatica per la protezione degli interessi nazionali nel campo della sicurezza informatica.
Istituita con Decreto-Legge del 14 giugno 2021, n. 82 convertito con legge di conversione 4 agosto 2021, n. 109), l’agenzia è responsabile della salvaguardia della sicurezza e della resilienza nel cyberspazio. È responsabile della prevenzione e della mitigazione del maggior numero possibile di attacchi informatici e della promozione del raggiungimento dell’autonomia tecnologica.
Tra i compiti principali dell’Agenzia vi è l’attuazione della Strategia nazionale per la sicurezza informatica, adottata dal Presidente del Consiglio dei ministri, che contiene gli obiettivi da perseguire entro il 2026, coniugata al piano di implementazione sempre con scadenza 2026.
In particolare, sono previste 82 misure da raggiungere entro il 2026 in relazione alle quali l’ACN si è data dei KPI di misurazione per registrare il percorso attuativo delle misure della Strategia nazionale.
La strategia è basata su 4 pilastri tecnico operativi di Cyber security di livello nazionale: cyber sicurezza e resilienza per la difesa delle infrastrutture digitali, lo sviluppo di politiche e controlli per la resilienza contro attacchi informatici; prevenzione e contrasto della criminalità informatica in collaborazione con il Servizio di Polizia Postale e Comunicazioni e il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) entrambe servizi di Polizia di Stato; difesa e sicurezza militare dello Stato in sinergia con il Ministero della Difesa che gestisce la sicurezza cibernetica nazionale e quella dei teatri operativi esteri, proteggendo la sovranità digitale e assicurando che le reti e i sistemi critici della Difesa siano impenetrabili, anche in contesti internazionali; ricerca ed elaborazione informativa in collaborazione sinergica con gli enti di intelligence che raccolgono e analizzano informazioni sulle minacce digitali emergenti, permettendo di anticipare le mosse dei cyber-attaccanti.
Relazione al parlamento 2024 e aggiornamenti fino ad oggi per ogni ambito
Il bilancio delle attività dell’agenzia è reso disponibile ogni anno ad aprile in relazione alle attività/progettualità dell’anno precedente svolte dal 1° gennaio al 31 dicembre. Sono stati attualmente tracciate le attività del 2022 e del 2023 mediante le rispettive relazioni annuali.
La relazione del 2023 presentata al parlamento il 24 aprile 2024 specifica le azioni dell’agenzia in sette sezioni ciascuna abilitante al rafforzamento della resilienza cyber del Paese.
Per ciascuna area sono indicati gli aggiornamenti e le attività svolte nel 2024, ovvero il differenziale di aggiornamento tra lo stato della relazione 2023 e quanto accaduto nel 2024:
Prevenzione e gestione di eventi e incidenti cyber
Il Computer Security Response Team Italia dell’Agenzia (CSIRT) analizza gli eventi cibernetici più rilevanti e mette a fuoco le attività connesse alle tensioni geopolitiche in corso effettuando anche esercitazioni congiunte (Cyber Europe) con tutti gli stati membri dell’Unione.
I numeri gestiti nel 2023 sono stati pari a 1411 casi trattati, 303 incidenti confermati e oltre 20mila segnalazioni. Il CSIRT nell’ambito della Cyber Europe opera per l’addestramento e la verifica della capacità di intervento. L’edizione 2024 della Cyber Europe si è svolta a giugno.
Il CSIRT normalmente raccoglie tutti i numeri relativi agli incidenti e alle segnalazioni gestite ed emette un report di aggiornamento settimanale, insieme a periodici aggiornamenti di vulnerabilità globalmente indicati come contenuti CSIRT.
Resilienza delle infrastrutture digitali e alla sicurezza tecnologica
L’azione di supporto alla resilienza è rivolta ai soggetti del Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e per l’attuazione della direttiva NIS2 per garantire le certificazioni nel mondo digitale e dello scrutinio tecnologico per il PSNC con le attività ispettive e di verifica connesse.
Nel 2024 in tema NIS2 l’agenzia ha aperto la piattaforma di registrazione dei soggetti NIS, mentre in relazione alla nuova legge 90/2024 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”.
L’ACN ha pubblicato a novembre le linee guida per il rafforzamento della resilienza e dedicate al referente per la cybersicurezza. Sempre a novembre e sempre in tema di resilienza, date le notizie di cronaca sugli accessi abusivi alle banche dati ed i correlati casi di dossieraggio, l’ACN ha pubblicato le linee guida sulla “Per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio”.
Ancora in tema di resilienza le azioni dell’ACN si sono dispiegate sui temi del Golden Power, della crittografia e della transizione al Cloud. In particolare nell’ambito del Goden Power “l’Agenzia partecipa, per gli ambiti di propria competenza, al gruppo di coordinamento per l’esercizio dei poteri speciali, relativamente all’analisi degli aspetti tecnici di cybersicurezza nel contesto delle notifiche relative alla tecnologia 5G e, in previsione, degli ulteriori settori tecnologici che saranno inclusi nella disciplina Golden Power a seguito delle recenti modifiche normative” (Fonte ACN). In tema di crittografia l’agenzia ne promuove l’uso ed ha emesso diversi documenti esplicativi della tecnologia e del suo proprio utilizzo.
Infine, anche sul Cloud l’azione dell’ACN è stata rivolta alla qualificazione dei Servizi Cloud e delle Infrastrutture dei Servizi Cloud per la Pubblica Amministrazione, emettendo sia il nuovo Regolamento unico per le infrastrutture e i servizi cloud per la PA (commentato e spiegato anche da noi), sia aprendo il regime di qualificazione (1 agosto 2024) che ha dato vista ad un catalogo di schede tecniche per ogni servizio Cloud di cui la PA volesse dotarsi.
Investimenti PNRR e fondi assegnati
I progetti finanziati dall’investimento 1.5 cyber security del PNRR (di cui l’ACN è soggetto attuatore) sono valorizzati in 623 milioni di euro e si dividono in 3 contesti: sviluppare le capacità di cyber resilienza in modo diffuso nel Paese; rafforzare le capacità nazionali di scrutinio e certificazione tecnologica; potenziare le capacità cyber della Pubblica Amministrazione.
Operativamente i progetti puntano alla creazione di servizi cyber nazionali: costruzione di una rete di CSIRT regionali, creazione di un centro HyperSoc e di una dell’infrastruttura di High Performance Computing, l’’uso di strumenti di IA, creazione e organizzazione di laboratori di scrutinio e certificazione tecnologica che supportano l’azione di esame del CVCN (Centro di Valutazione e Certificazione Nazionale).
Nel 2024 in particolare è stata completata la rete di laboratori di supporto, il piano operativo delle attività di monitoraggio tecnico-organizzativo del servizio ispettivo nazionale, l’attivazione di una rete di nazionale integrata di servizi di rilevamento, gestione e mitigazione del rischio cyber a supporto della PA e dell’industria nazionale (fonte: ACN).
Oltre ai fondi del PNRR, la legge di bilancio per il 2023 (legge n. 197/2022) ha istituito il Fondo per l’attuazione della Strategia nazionale di cybersicurezza, destinato a finanziare gli investimenti mirati al conseguimento dell’autonomia tecnologica in ambito digitale, nonché all’innalzamento dei livelli di cybersicurezza dei sistemi informativi nazionali, e il Fondo per la gestione della cybersicurezza, volto ad assicurare copertura economica alle attività di gestione operativa (periodo 2022 -2026). Per ogni fondo sono state individuate amministrazioni ammesse al finanziamento e gli interventi da attuare (vedi figura – Fonte: relazioni 2023).
Cooperazione internazionale
Nell’ambito delle azioni di cooperazione internazionale è di particolare rilevanza l’azione del gruppo di lavoro delle agenzie del G7 riunito a Roma in due occasioni: a maggio 2024 per istituire la community delle agenzie Cyber e la riunione di dicembre per l’avanzamento dei lavori, che precede il passaggio di testimone al Canada per il suo turno di presidenza G7.
Ma in generale l’ACN partecipa anche a incontri e summit internazionali come ad esempio in occasione del Financial Times Cyber Resilience Summit Europe svolto a Londra il 27 novembre scorso e dedicati alle sfide crescenti poste dalle minacce informatiche verso le imprese, le infrastrutture e l’economia, durante il quale l’ACN per voce di Stefania Ducci ha portato la sua vision per il rafforzamento della resilienza (fonte: ACN).
Ricerca e innovazione, formazione, consapevolezza
ACN è il Centro nazionale di coordinamento italiano (NCC-IT) individuato per l’Italia come stato membro UE, dal Centro Europeo di Competenza per la Cybersicurezza nell’ambito industriale, tecnologico e della ricerca (ECCC).
La designazione è avvenuta con Decreto-legge n. 82/2021, all’interno della rete dei Centri nazionali di coordinamento (NCC), istituiti presso ciascuno Stato membro; i compiti in qualità di NCC sono svolti ai sensi del Regolamento (UE) 2021/887.
Gli obiettivi comuni dell’ECCC e di ciascun NCC europeo riguardano il potenziamento dell’autonomia strategica dell’UE in materia di cybersicurezza, aumentando capacità, mezzi e competenze tecnologiche sia per accrescere la competitività dell’industria cyber europea, sia trasformando la cybersicurezza in un vantaggio competitivo per altri settori industriali dell’Unione.
Fra i diversi obiettivi li Cyber Innovation Network è il programma strategico di ACN per supportare lo sviluppo di startup innovative, mediante la promozione di iniziative di sviluppo dell’ecosistema dell’innovazione, identificazione startup, loro incubazione e finanziamento di progetti di ricerca sulla Cyber che siano innovativi, per riavviare un settore industriale che da tempo è dipendente dall’innovazione di altri paesi e realizzare una maggiore sovranità digitale europea.
L’NCC Italiano ha ottenuto il finanziamento dell’Unione Europea per l’attuazione del progetto “NCC-IT”, nell’ambito della call DEP “Deploying The Network Of National Coordination Centres With Member States. Il progetto ha una durata biennale e un budget complessivo di 2M di euro, co-finanziati al 50% dall’Unione Europea.
Gli obiettivi di innovazione tecnologica, ricerca applicata sono primari e coniugati con la formazione e la diffusione di consapevolezza sulla minaccia in unico quadro di interventi mutuamente complementari.
Fra le attività svolte nel 2024 in questi contesti si ricorda l’evento a Torino di matchmaking e di training a beneficio di start-up, investitori, partner industriali e istituzionali, il roadshow verso le PMI per contribuire ad una loro maggiore consapevolezza sulla minaccia Cyber avviata con la campagna “Accendiamo la cybersicurezza. Proteggiamo le nostre imprese” nonché il protocollo di intesa con il Ministero dell’Istruzione in favore dell’awareness nelle scuole.
Attuazione Strategia nazionale
Il piano di implementazione della Strategia nazionale di Cyber sicurezza attua la strategia nazionale 2022-2026 e ne completa gli obiettivi operativi realizzando congiuntamente una mappa di misure che possano permettere al Sistema Paese di raggiungere una postura di Cyber sicurezza progressivamente migliore.
Nel 2024 l’ACN ha implementato diverse misure fra quelle strategiche e pianificate riassunte anche in una specifica pagina dedicata: il Cyber Innovation Network, l’Agenda di ricerca e innovazione, la cappamagna di Cyber sicurezza per le PMI, la strategia Cloud Italia, l’ISAC Italia (la rete di Information Sharing and Analysis Center nazionale) e le Linee guide sulla AI.
In aggiunta, a dicembre 2024 l’ACN ha pubblicato un documento di Piano Strategico ACN 2024-2026 che rappresenta il documento triennale di programmazione (anche operativa), di governance e coordinamento, che chiama l’intera Agenzia a un responsabile impegno nei riguardi della comunità nazionale.
L’impegno è materialmente idefinito in 5 obiettivi strategici, articolati in 38 piani d’azione, ciascun declinato in obiettivi operativi assegnati ai servizi e alle articolazioni dell’agenzia, con l’indicazione dei responsabili, dei tempi, delle risorse, nonché dei criteri e degli indicatori per la valutazione periodica dei risultati raggiunti, delle risorse impiegate e dei progressi compiuti. Tutto ciò, spiega Bruno Frattasi, direttore ACN, per fornire “parametri rigorosi quanto trasparenti e verificabili, anche nel rispetto, tra gli altri, del principio di accountability”.
“Nel documento, in linea con la Strategia Nazionale di Cybersicurezza 2022-2026 e il relativo Piano di implementazione, confluiscono la vision, gli obiettivi strategici da perseguire e i discendenti piani d’azione da realizzare” conclude il direttore.
Organizzazione e funzionamento
In relazione alle tante sfide operative anche l’organico dell’ACN ha subito una trasformazione progressiva. Oggi l’ACN consta di un organico di circa 299 risorse per il 65% in possesso di laurea magistrale scientifica e giuridica e per un 20% con laurea triennale e divisi fra le varie articolazioni: Incident csirt e gestion crisi, protezione e risposta, CVCN e scrutinio tecnologico, e servizio policy e regulation, servizi amministrativi e staff. (Fonte piano strategico ACN).
Circa il 95% è stato assunto mediante concorso pubblico mentre il restante organico è stato trasferiti da altre amministrazioni. Sono anche presenti professionisti specifici coinvolti a tempo determinato.
Tutti i bandi e le ricerche di personale sono pubblicati periodicamente nella sezione “lavora con noi” dell’ACN.
