Il tema della sicurezza informatica riveste un’importanza fondamentale perché è elemento imprescindibile per garantire la disponibilità, l’integrità e la riservatezza delle informazioni del Sistema informativo. Nel corso degli ultimi anni il numero complessivo di attacchi e di incidenti legati alla sicurezza informatica, soprattutto nelle Pubbliche Amministrazioni, è aumentato notevolmente. Tutti gli studi e le ricerche che analizzano e studiano questi fenomeni affermano inoltre una preoccupante tendenza alla crescita. Con il D.l. 14 giugno 2021, n. 82, c.d. Decreto cybersicurezza, recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale” viene istituita l’Agenzia per la cybersicurezza nazionale (ACN) che opera sotto la responsabilità del Presidente del Consiglio dei ministri e dell’Autorità delegata per la sicurezza della Repubblica e in stretto raccordo con il Sistema di informazione per la sicurezza della Repubblica. Successivamente, viene pubblicata in Gazzetta ufficiale la Legge 4 agosto 2021, n. 109 di conversione con modificazioni, del Decretolegge 14 giugno 2021, n. 82. La legge completa di fatto la strategia di cyberresilienza nazionale già definita con la disciplina sul perimetro di sicurezza nazionale cibernetica. L’obiettivo dichiarato del Governo è quello di accrescere, attraverso la promozione della cultura della sicurezza cibernetica, la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.
Il decreto stabilisce che l’Agenzia avrà personalità giuridica di diritto pubblico e sarà dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria.
Come detto in precedenza, l’Agenzia per la cybersicurezza nazionale opera sotto la responsabilità del Presidente del Consiglio dei ministri ed è incaricata di:
Si sottolinea inoltre che l’ACN è anche Autorità nazionale di certificazione della cybersicurezza “ai sensi dell’articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019”, assumendo tutti i compiti in materia di certificazione di sicurezza cibernetica già attribuiti al Ministero dello sviluppo economico dall’ordinamento vigente, compresi quelli relativi all’accertamento delle violazioni e all’irrogazione delle sanzioni.
Il D.l. n. 82/2021 (art.4) istituisce inoltre il Comitato interministeriale per la cybersicurezza (CIC) presso la Presidenza del Consiglio dei ministri, con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.
Sono diversi i compiti del Comitato:
• propone al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale;
• esercita l’alta sorveglianza sull’attuazione della strategia nazionale di cybersicurezza;
• promuove l’adozione delle iniziative necessarie per favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonché per la condivisione delle informazioni e per l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza;
• esprime il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cybersicurezza nazionale.
Oltre a ciò, il Comitato svolge anche le funzioni già attribuite al CISR (Comitato interministeriale per la sicurezza della Repubblica) dal D.l. n. 105/2019, il decreto legge perimetro e dai relativi provvedimenti attuativi, fatta eccezione per quelle previste dall’articolo 5 (rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e servizi e casi di crisi cibernetica).
Le funzioni di segretario del Comitato sono svolte dal direttore generale dell’Agenzia.
Ma cosa si intende per cybersicurezza?
Quando si parla di cybersecurity si intende una serie di azioni ideate per difendere sistemi elettronici, reti, server e dispositivi da attacchi hacker; risulta necessario intervenire in termini precauzionali per prevenire ogni qualsivoglia loro azione: per questo devono essere presi in considerazione degli strumenti tecnologici per la protezione delle informazioni.
Nella cyber security sono presenti elementi giuridici, umani, tecnici, organizzativi in grado di analizzare i punti vulnerabili di un sistema, le minacce e i rischi associati ed ha un ruolo fortemente strategico quando applicata alle imprese e ai professionisti.
La sicurezza informatica aziendale è la pratica di protezione dei dati e delle risorse aziendali dalle minacce informatiche. Utilizza i tradizionali metodi di sicurezza informatica per proteggere i dati a livello locale ed estende tale idea al trasferimento di dati attraverso reti, dispositivi e utenti finali.
Inoltre, la sicurezza informatica aziendale affronta problemi di sicurezza comuni come attacchi DoS Denial-of-Service (DoS) o DDos (Distributed Denial of Service), ingegneria sociale e vulnerabilità del software, ma tiene anche conto del modo in cui i dati vengono trasferiti tra dispositivi e reti all’interno dell’organizzazione nel suo insieme. Trascurare la sicurezza informatica espone la propria azienda a rischi importanti, che potrebbero
essere evitati con accorgimenti semplici ma strutturati e consapevoli del contesto esterno e questo è il motivo per cui la cybersecurity è da considerarsi come punto saldo ed elemento basilare dell’organizzazione informatica aziendale.
Chiaramente esistono settori maggiormente esposti a queste minacce, come ad esempio quello medico e finanziario, ma è necessario prestare attenzione in qualsiasi ambito e in ogni momento: se pensiamo allo spionaggio industriale è importante sottolineare che nessun settore è al sicuro.
Esistono 3 tipi di cyber-minacce dalle quali è necessario proteggersi:
• cybercrimine: attacchi messi a punto da uno o più hacker con l’obiettivo di un ritorno economico o, ancora, finalizzato a produrre interruzioni della continuità produttiva di un’azienda;
• cyberterrorismo: forma di lotta eversiva che viene messa a punto su scala internazionale e che, attraverso l’attacco dei sistemi informatici, ha come obiettivo quello di sabotare e danneggiare, così come altri attacchi terroristici;
• cyberattacchi: vengono messi a punto per mettere a repentaglio la sicurezza informatica ed è per questo che sono molto pericolosi e vanno assolutamente evitati o, quando ciò non è realizzabile, minimizzati nel minor tempo possibile per provare a limitare i danni.
Il Garante della protezione dei dati personali e l’Agenzia per la cybersicurezza nazionale hanno firmato un protocollo d’intesa che avvia la cooperazione tra le due istituzioni per il miglior esercizio delle rispettive competenze, con l’obiettivo di promuovere iniziative congiunte nel campo della cybersicurezza nazionale e della protezione dei dati personali.
Il Protocollo consente di mettere in comunicazione in modo agevole il Garante e l’Agenzia attraverso lo scambio di informazioni e la promozione di buone pratiche di sicurezza cibernetica, frutto anche delle reciproche collaborazioni con il mondo accademico e della ricerca.
L’Agenzia potrà consultare, fin dalla fase di avvio delle proprie attività, il Garante sui temi attinenti al trattamento dei dati personali in modo da assicurare il corretto adempimento degli obblighi in materia di privacy.
Il Garante, da parte sua, dovrà provvedere ad informare l’Agenzia delle notizie di data breach rilevanti ai fini della cybersicurezza del Paese e, in particolare, della sicurezza nello spazio cibernetico.
Il Protocollo avrà durata biennale, salvo tacito rinnovo, con la possibilità per ciascuna delle Parti di proporre aggiornamenti qualora le innovazioni normative e regolamentari dovessero richiederlo.
L’istituzione dell’Agenzia Italiana per la cybersicurezza se da un lato ci insegna che è ancora necessario lavorare sul fronte della sicurezza informatica (in un mercato tanto evoluto quanto esposto a nuove minacce), dall’altro manifesta quanto la cultura della sicurezza e della prevenzione siano un elemento di prima analisi e attenzione del nostro ordinamento. Lavorare in sicurezza non significa soltanto prevenire gli infortuni sul lavoro, ma ha un’accezione più ampia, che impone il giusto riguardo a tutti gli aspetti di un mondo del lavoro che evolve con costanza e senza sosta.