strategie di sicurezza

Agenzia per la Cybersicurezza Nazionale, l’Italia prova a colmare il ritardo: i modelli di Francia e Germania

Germania e Francia hanno all’attivo, da ormai diversi anni, una struttura consolidata che opera a pieno regime per difendere i rispettivi Paesi dalle minacce cibernetiche. Alla luce delle esperienze maturate nei due Paesi, la nascita anche in Italia di un’Agenzia per la cybersicurezza è da accogliere con favore

13 Lug 2021
Lorenzo Damiano

Analista Hermes Bay

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

sicurezza_615131330

Il sottosegretario alla Presidenza del Consiglio, Franco Gabrielli, in qualità di autorità delegata all’Intelligence ha sottolineato come la creazione di un’Agenzia per la Cybersicurezza Nazionale (ACN) sia una necessità visto anche il ritardo accumulato rispetto agli altri paesi dell’Unione Europea. L’ex capo della Polizia ha portato ad esempio i casi di Germania e Francia che hanno all’attivo, da ormai diversi anni, una struttura consolidata che opera a pieno regime per difendere i rispettivi Paesi dalle minacce cibernetiche.

Agenzia per la cyber security, una svolta per l’Italia digitale: ma ora lavorare sulle competenze

La sicurezza cibernetica in Francia

In effetti, la Francia ipotizzò la creazione di un’Agenzia dedicata alla sicurezza cibernetica già con la presentazione del libro bianco sulla difesa e la sicurezza nazionale del 2008. Nel documento, presentato dall’allora Presidente Nicolas Sarkozy, si prendeva già atto dei rischi posti specialmente per le infrastrutture critiche da parte degli attacchi cyber e della necessità di sviluppare capacità di rilevazione e contrasto da porre sotto il controllo di una struttura dedicata.

WHITEPAPER
Intelligent enterprise: dall’azienda estesa alla filiera integrata e collaborativa
IoT
Manifatturiero/Produzione

La creazione dell’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) nell’anno successivo colmò proprio questa lacuna, dando vita ad un‘autorità pubblica dedicata alla messa in sicurezza e protezione dei sistemi nazionali che agisse su indicazione governativa e con obbligo di riportare al segretario generale per la difesa e sicurezza nazionale. L’Agenzia, strutturata in 5 dipartimenti e un’”Unità di Anticipazione Cyber (CAC)”, svolge un’ampia gamma di attività normative e operative, dall’emissione di regolamenti e verifica della loro applicazione, al monitoraggio dei meccanismi di allerta e risposta rapida, in particolare sulle reti governative. Oltre ad assistere pubbliche amministrazioni e operatori di servizi essenziali, provvede anche al rilascio dei visti di sicurezza per prodotti e fornitori di servizi ICT. Dal 2013 l’Agenzia ha assunto ancor più rilevanza con l’aggiornamento del libro bianco e la successiva emanazione della legge di programmazione militare che hanno rafforzato poteri e prerogative dell’autorità con riguardo specialmente ai cosiddetti “operatori di vitale importanza”, ovvero quelli la cui indisponibilità minaccerebbe fortemente il potenziale economico o militare, la sicurezza e la resilienza dello stato.

Le reti critiche e i sistemi informativi di tali operatori sono quindi tenuti a conformarsi agli standard di sicurezza definiti dall’ANSSI, adottare meccanismi di rilevazione operati anche dall’Agenzia stessa e riportare incidenti cyber rilevanti. A tali obblighi si accompagnano poteri di audit e verifica del livello di sicurezza dei sistemi o, nel caso di crisi, anche di imporre l’implementazione delle misure definite necessarie dal governo.

A oltre 10 anni dalla sua creazione, l’Agenzia si è imposta come elemento vitale per l’implementazione della strategia di sicurezza nazionale digitale francese del 2015, contribuendo attraverso l’azione dello CSIRT nazionale a monitorare e difendere i sistemi della repubblica dagli attacchi informatici, nonché a fornire servizi di training e awareness (anche da parte dei 548 funzionari dell’Agenzia) grazie al suo centro di formazione (CFSSI). Nel manifesto programmatico presentato (https://www.ssi.gouv.fr/en/mission/annual-review-2020/) nel 2020, l’ANSSI ha delineato il suo piano strategico per i prossimi 10 anni che, forte anche dei 136 € milioni stanziati dal recovery plan francese per la cybersecurity, mira a continuare a creare partenariati pubblico-privato per aumentare la consapevolezza e sostenere aziende, amministrazioni e autorità locali nell’affrontare adeguatamente le minacce legate al rischio informatico.

La cybersicurezza in Germania

La Germania, che secondo il Global Cybersecurity Index 2020 dell’ITU si attesta in tredicesima posizione rispetto all’Italia che ritroviamo al ventesimo posto, si è impegnata a dotarsi di un’agenzia specifica sul fronte cyber ancora prima della Francia. Il BSI (Bundesamt für Sicherheit in der Informationstechnik), ovvero l’Ufficio Federale per la Sicurezza Informatica, è stato infatti creato nel 1991 quale autorità federale deputata, almeno all’inizio, a sviluppare standard che assicurassero la sicurezza delle informazioni degli apparati governativi, dal momento che derivava dall’Ufficio centrale per la crittografia del servizio di intelligence federale (da cui però è ormai nettamente separato). In effetti, a differenza del modello francese (e a quanto pare di quello italiano) l’autorità ha rivestito un piano più operativo nel proteggere le reti governative e le strutture nazionali, lasciando in capo al Consiglio per la Cybersecurity (Cyber-Sicherheitsrat) la responsabilità di delineare il piano strategico del governo federale in materia. Con l’entrata in vigore nel 2009 del “BSI Act”, l’agenzia ha visto i propri poteri ampliarsi ulteriormente con l’assegnazione di prerogative legate all’implementazione della direttiva NIS. Infatti, è stato incaricato di prevenire minacce alla sicurezza dei sistemi IT federali, testare sistemi e componenti, rilasciare certificati di sicurezza, nonché sviluppare relativi standard. Successivamente, l’adozione nel 2015 dell’”IT Security Act” e di una regolamentazione specifica per le infrastrutture critiche gli hanno affidato anche il compito di notificare agli enti interessati vulnerabilità di sicurezza presenti in software e servizi e di riportarli al Ministero federale dell’interno, dei lavori pubblici e della patria (da cui dipende), così da poter pubblicare report annuali aggiornati sullo stato della sicurezza IT tedesca.

Il secondo atto di questo processo di rafforzamento del BSI si è appena concluso con l’approvazione definitiva, lo scorso maggio, dell’”IT Security Act 2.0” che estende l’ambito di applicazione della legge precedente ad ulteriori destinatari e aumenta gli obblighi a loro carico. L’Ufficio assume dunque ufficialmente il ruolo di autorità di certificazione nazionale ai sensi del Cybersecurity Act dell’Unione Europea e estende i contorni della protezione informatica fino a tutelare anche i semplici consumatori, valutando anche la sicurezza di prodotti di uso comune quali tv e router e definendo standard minimi di sicurezza IT. Oltre a un generale rafforzamento dei poteri di indagine e richiesta informazioni anche attraverso la raccolta di dati di log anonimizzati forniti dai provider, il BSI è stato infine dotato di poteri proattivi per individuare rischi e vulnerabilità. Potrà infatti valutare la sicurezza dei sistemi informatici di infrastrutture critiche, servizi digitali e aziende di pubblico interesse anche simulando attacchi o mediante l’utilizzo di honeypot e port-scan al fine di raccogliere dati su eventuali malware e metodi d’attacco. L’Ufficio, che quest’anno segna 30 anni di attività con circa 1200 dipendenti per 8 dipartimenti e un budget per il 2021 di circa 197 milioni di euro, ha visto nel tempo un’espansione dei propri poteri fino a diventare il fulcro operativo di tutta la strategia cyber tedesca.

L’Agenzia cyber nazionale italiana

Alla luce delle esperienze francese e tedesca, la creazione di un’Agenzia cyber nazionale, seppur registrando il ritardo accumulato rispetto agli altri stati europei, è senz’altro da salutare con favore. In linea con i modelli delineati, la nuova agenzia si porrà al di fuori delle agenzie di intelligence, sottraendo così strutture quali lo CSIRT nazionale o il Nucleo di Sicurezza Cibernetica dal controllo esclusivo del DIS. Ciò permetterà anche di coordinare al meglio gli sforzi delle autorità NIS nazionali nel mettere in sicurezza e contrastare gli attacchi alle infrastrutture critiche, anche tenendo conto delle future necessità dovute alle modifiche alla disciplina che verranno introdotte con la revisione della direttiva (c.d. NIS 2). Anche le attività di certificazione finora esercitate entro il Ministero dello Sviluppo economico da parte dei competenti organi, quali il CVCN, rientreranno nella gestione dell’Autorità, così come le competenze in materia di Perimetro di Sicurezza Nazionale Cibernetica. Oltre alle attività di protezione vere e proprie, anche le variegate funzioni a più ampio spettro svolte dall’AgID rientreranno sotto il controllo dell’Agenzia, abbracciando quindi anche tematiche più vaste in tema di digitalizzazione, innovazione tecnologica e sviluppo dei servizi per i cittadini.

L’accentramento di funzioni porterà auspicabilmente a un’azione più coordinata ed efficace nel contrasto alle minacce cyber, nonché nello sviluppo tecnologico del sistema Paese, ma bisognerà tener conto del gap con le altre autorità nazionali che, come visto, forti dell’esperienza anche pluridecennale stanno già superando le funzioni che l’Italia si appresta ad assegnare alla nuova Agenzia.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4