Il primo passo di uno dei pilastri del Pnrr: la Camera dei deputati approva il decreto
Una nuova Agenzia per la cybersicurezza nazionale, con un organico di 300 dipendenti, parte integrate di un investimento nel settore che il Piano nazionale di ripresa e resilienza quantifica in più di 600 milioni di euro. Un nuovo sistema nazionale di sicurezza cibernetica, dunque, la cui gestione viene accentrata nelle mani dell’agenzia il cui direttore generale sarà nominato dal presidente del consiglio dei ministri, che avrà un ruolo chiave nell’implementazione del piano. Sono queste le principali novità previste dal decreto-legge recante “disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale” (dl 82/2021), la cui legge di conversione è stata approvata in prima lettura lo scorso 28 luglio dalla Camera dei deputati.
Il decreto
Il testo interviene, come detto, per la realizzazione di uno dei pilastri del Pnrr; la cybersecuirity, infatti, come si legge anche nel dossier preparato dalla Camera sul decreto, è uno dei sette investimenti della digitalizzazione della pubblica amministrazione, primo asse di intervento della componente 1 “Digitalizzazione, innovazione e sicurezza nella Pa” compresa nella Missione 1 “Digitalizzazione, innovazione, competitività, cultura e turismo”. All’investimento, finalizzato alla creazione ed al rafforzamento delle infrastrutture legate alla protezione cibernetica del paese, sono destinati circa 620 milioni di euro di cui 241 milioni di euro per la creazione di una infrastruttura nazionale per la cybersicurezza; 231 milioni di euro per il rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica e 150 milioni di euro per il rafforzamento delle capacità nazionali di difesa informatica.
La prima parte del decreto definisce il sistema nazionale di sicurezza cibernetica, affidando al presidente del consiglio “l’alta direzione e la responsabilità generale delle “politiche di cybersicurezza”, oltre che la responsabilità dell’adozione “della relativa strategia nazionale e la nomina e la revoca del direttore generale e del vicedirettore generale della nuova Agenzia per la cybersicurezza nazionale”.
E’ l’articolo 5 a istituire “l’Agenzia per la cybersicurezza nazionale a tutela degli interessi nazionali nel campo della cybersicurezza, nonché della sicurezza nazionale nello spazio cibernetico”. Saranno necessari successivi regolamenti per definire al meglio le caratteristiche e le funzioni della nuova realtà, ma il decreto lascia già alcuni dettagli su come sarà organizzato il lavoro. Per prima cosa, ci sarà come detto un direttore generale di nomina governativa; inoltre, in sede di prima applicazione, l’organico sarà composto da un massimo di 300 unità così ripartire: fino a un massimo di 8 unità di livello dirigenziale generale; fino a un massimo di 24 unità di livello dirigenziale non generale; fino a un massimo di 268 unità di personale non dirigenziale.
Per quanto riguarda le funzioni dell’Agenzia, questa viene qualificata quale “Autorità nazionale, ai fini del complesso di relazioni e funzioni disegnato dalle norme europee ed interne, incluse quelle di certificazione della cibersicurezza”. Il primo obiettivo è la predisposizione della strategia nazionale di cybersicurezza. Inoltre, assumerà compiti finora attribuiti a diversi soggetti quali il Ministero dello sviluppo economico; la Presidenza del Consiglio; il Dipartimento delle informazioni e della sicurezza e l’Agenzia per l’Italia digitale. Presso l’Agenzia sono inoltre trasferiti il Csirt italiano (ora Csirt Italia) e il Centro di valutazione e certificazione nazionale (Cvcn). L’agenzia sarà dotata di un nucleo operativo che avrà le maggiori responsabilità nel caso di attacco cibernetico. Entro il 30 aprile di ogni anno, l’organismo dovrà relazionare in Parlamento in merito all’attività svolta e allo stato della sicurezza cibernetica italiana.
Il decreto, come detto, è solo un primo passo di una nuova strategia che l’Italia sta mettendo in campo per migliorare le proprie infrastrutture digitali, in questo caso sul lato della sicurezza cibernetica. Nei prossimi anni saranno molti i fondi governativi dedicati al tema e, almeno dalle prime indicazioni date da questo provvedimento, l’’intento sembra quello di accentrare a livello statale la gestione della sicurezza e l’implementazione dei piani e delle strategie per lo sviluppo di strumenti e metodologie di azione.