Dopo le polemiche dei mesi scorsi, il presidente del Consiglio Matteo Renzi è tornato a parlare di sicurezza cibernetica. E' stata messa da parte anche la discussa creazione di una nuova agenzia che si occupi di cyber intelligence che - lo aveva sottolineato a gennaio Formiche.net - non potrebbe che passare da una modifica legislativa. La legge 124 del 2007 stabilisce infatti che i Servizi segreti siano gli unici a potersi occupare di attività di intelligence in materia cyber. Più semplice (e immediato) per Palazzo Chigi sarebbe invece il percorso per la nomina di un consigliere su questi temi.
Ma come funziona oggi a livello legislativo la cyber security in Italia? Nel 2013 - ricostruisce l'agenzia di stampa Cyber Affairs -, l'allora presidente del Consiglio Mario Monti sottoscrisse, insieme ai ministri che componevano il Comitato per la Sicurezza, un decreto presidenziale sulla cyber security. Si trattò del primo passo ufficiale in materia. Di fatto si scelse un framework classico, già sperimentato in altre nazioni, che vede in cima alla piramide il presidente del Consiglio e i ministri che compongono unitamente il Comitato per la sicurezza della Repubblica (Cisr) e a cui sono demandati i compiti di indirizzo politico-strategico. Ad essi, infatti, spetta la definizione della strategia nazionale di cyber security (delineata nel Quadro strategico nazionale per la sicurezza dello spazio cibernetico e nel Piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali), nonché l'emanazione delle conseguenti direttive d'indirizzo.
Uno degli organismi più importanti individuati a dicembre 2013 è il Nucleo per la sicurezza cibernetica (Nsc). Si tratta di un organismo composto da funzionari in rappresentanza di tutti gli attori identificati nella nostra architettura istituzionale edificata col Dpcm Monti: il ministro degli Affari esteri, il ministro dell'Interno, il ministro della Difesa, il ministro della Giustizia, il ministro dell'Economia e delle Finanze, il ministro dello Sviluppo economico, il sottosegretario di Stato alla Presidenza del Consiglio - Autorità delegata per la Sicurezza della Repubblica, il direttore generale dell'Agenzia per l'Italia digitale, il Consigliere militare del presidente del Consiglio dei ministri, il direttore generale del Dipartimento delle informazioni per la sicurezza, i direttori di Aisi e Aise ed il ministro per la Semplificazione e la Pubblica amministrazione.
C'è poi un piccolo nucleo fisso, circa un paio di persone, che si occupa di gestire tecnicamente il flusso di informazioni. Il Nsc, spiega il Dpcm Monti, svolge funzioni di raccordo tra le diverse componenti dell'architettura istituzionale che intervengono a vario titolo nella materia della sicurezza cibernetica, nel rispetto delle competenze attribuite dalla legge a ciascuna di esse. In particolare, nel campo della prevenzione e della preparazione ad eventuali situazioni di crisi, il Nsc promuove la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l'elaborazione delle necessarie procedure di coordinamento interministeriale, in raccordo con le pianificazioni di difesa civile e di protezione civile; mantiene attivo, 24 ore su 24, 7 giorni su 7, l'unità per l'allertamento e la risposta a situazioni di crisi cibernetica.
Valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della sicurezza cibernetica, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi; acquisisce, sia dall'estero sia per il tramite del ministero dello Sviluppo economico (Mise), degli organismi di informazione per la sicurezza, delle Forze di polizia e delle strutture del ministero della Difesa, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell'integrità significative ai fini del corretto funzionamento delle reti e dei servizi. È indicato come il punto di riferimento nazionale per i rapporti con l'Onu, la Nato e l'Unione europea in questo frangente. Inoltre, promuove e coordina, in raccordo con il Mise e con l'Agenzia per l'Italia digitale per i profili di rispettiva competenza, lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica.
Attualmente il Nsc dipende dall'Ufficio del consigliere militare della Presidenza del consiglio, cioè dalla persona che consiglia Palazzo Chigi su tutto ciò che concerne la difesa della Penisola (un incarico non ancora assegnato da ottobre scorso, dopo il passaggio del generale Carlo Magrassi a segretario generale della Difesa). A questi tasselli se n'è aggiunto un altro lo scorso anno: la direttiva del premier Renzi del 1° agosto 2015, che - si legge sul sito dei Servizi italiani, www.sicurezzanazionale.gov.it - individua "le azioni prioritarie propedeutiche allo sviluppo di un sistema in grado di garantire, sempre di più, la protezione cibernetica e la sicurezza informatica". In particolare, il documento riassume gli obiettivi raggiunti e "identifica le azioni che, all'interno di un'ampia collaborazione tra tutti i soggetti coinvolti, possono effettivamente contribuire alla sicurezza nazionale nella dimensione cyber".
Palazzo Chigi considera prioritario "il consolidamento di un sistema di reazione in grado di operare, rapidamente e in maniera efficace, in caso di incidenti o azioni ostili nei confronti delle infrastrutture informatiche nazionali". Un obiettivo da raggiungere attraverso "un aumento della dotazione in termini di risorse umane e materiali presso le Amministrazioni e gli Organismi coinvolti" (confermato dagli stanziamenti al settore previsti nella recente legge di Stabilità, 150 milioni di euro); "la realizzazione di un coordinamento istituzionale, che garantisca la condivisione e la circolarità delle informazioni, potenziando l'operatività degli assetti trasversali previsti dal sistema di reazione", ovvero "il Nucleo per la sicurezza cibernetica, il Cert Nazionale e il Cert-Pa"; "l'ulteriore sviluppo di un partenariato pubblico-privato"; "una sempre maggiore collaborazione con Università e Centri di ricerca"; e infine "un coordinamento nazionale come pre-condizione per la cooperazione a livello internazionale che garantisca il raggiungimento di uno stesso livello di preparazione e interoperabilità".
(fonte: Cyber Affairs)
Nessun commento:
Posta un commento