il piano italiano

Le tre cose da sistemare per una prima cybersecurity nazionale

Chi sono gli attori che hanno partecipato al processo di revisione del Piano nazionale per la protezione cibernetica e la sicurezza informatica; quali le principali direttrici di intervento e le innovazioni introdotte dalla realizzazione di un “piano d’azione” che definisca priorità e urgenze

30 Giu 2017
Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

cyber_523277893

Nel nostro Paese l’architettura istituzionale in materia di sicurezza cibernetica ha subito un considerevole aggiornamento con il DPCM del 17 febbraio 2017[1] (“Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”). Rispetto al DPCM del 24 gennaio 2013, le trasformazioni giuridiche hanno tenuto conto dell’esperienza maturata e del mutamento della minaccia, modellando ad essa anche un’armonizzazione delle strutture preposte al contrasto. Sulla base dell’assetto precedente, infatti, come si afferma nelle premesse al DPCM, l’obiettivo della riforma è stato quello di procedere a una “razionalizzazione e semplificazione della predetta architettura istituzionale”.

Il 31 marzo 2017, così come da art. 3, comma 1, lett. c) della Direttiva, è stato adottato il nuovo Piano nazionale per la protezione cibernetica e la sicurezza informatica[2]  (di seguito, Piano) che si pone in continuità con quello precedente del biennio 2014-2015[3]. Il Piano, al fine di dare concreta attuazione al Quadro strategico nazionale per la sicurezza dello spazio cibernetico[4] e in particolare agli indirizzi strategici in esso contenuti[5], individua gli indirizzi operativi (IIOO), gli obiettivi da conseguire e le linee di azione da porre in essere.

Gli spunti su cui spendere delle riflessioni sulla nuova struttura sono molteplici. Tuttavia, per brevità, ci concentreremo sui seguenti tre: gli attori che hanno partecipato al processo di revisione, le principali direttrici di intervento di tale revisione e la realizzazione di un innovativo “piano d’azione”.

Il Piano nazionale è stato rivisitato dai punti di contato cyber dei Dicasteri CISR (Affari Esteri, Interno, Difesa, Giustizia, Economia e Finanze, Sviluppo Economico), dell’Agenzia per l’Italia Digitale e del Nucleo per la sicurezza cibernetica (operante prima presso l’Ufficio del Consigliere Militare del Presidente del Consiglio e con l’attuale riforma istituito presso il Dipartimento delle Informazioni per la Sicurezza “per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento”).

Per quanto riguarda la struttura del Documento, tra gli undici indirizzi operativi[6] del Piano, le principali direttrici di intervento della revisione hanno riguardato i seguenti due obiettivi strategici:

  • L’indirizzo operativo 1 (“Potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare) con l’obiettivo di rafforzare le capacità complessive di risposta integrata ad eventi cibernetici;
  • L’indirizzo operativo 5 (“Operatività delle strutture nazionali di incident prevention, response e remediation”) con l’obiettivo di potenziare alcune strutture (come gli attuali CERT), costituire le strutture previste dalla Direttiva NIS (CSIRT, Punto unico di contatto, Autorità nazionale) e definire le modalità di coordinamento tra i vari attori (CERT, CSIRT, Comparto Intelligence, CNAIPIC, Difesa, AgID) in una prospettiva di unificazione dei CERT pubblici.

L’aspetto innovativo e che merita degli approfondimenti ulteriori è il terzo, ovvero la realizzazione di un cosiddetto “piano d’azione”. In altre parole, si tratta di un “nucleo essenziale di iniziative, cui attribuire carattere di priorità e urgenza” che sono state evidenziate sullo sfondo delle esigenze e dei criteri che hanno animato la revisione del Piano e scelte allo scopo di rendere effettivo e operativo il cambio di passo in termini di innalzamento dei livelli di sicurezza dei sistemi e delle reti del nostro Paese – obiettivo della più ampia ristrutturazione del nuovo impianto giuridico in materia di sicurezza cyber nel suo complesso e in vista del Recepimento della Direttiva dell’Unione Europa NIS (Network and Information Systems)[7]. Il piano d’azione, che è costituito da alcuni elementi chiave[8] indefettibili, ruota attorno alle seguenti tre direttrici:

  • Interazione tra soggetti pubblici, privati e settore accademico. Considerato che, ai fini della sicurezza nazionale, il patrimonio informativo sensibile non è di sola pertinenza del settore pubblico e istituzionale, è essenziale integrare i saperi, le informazioni e le conoscenze. Per il settore privato è annunciato il finanziamento di start-up e/o la partecipazione al capitale societario di realtà imprenditoriali di interesse (venture capital); invece, per quanto concerne il settore accademico, è prevista la costituzione di un “Centro nazionale di Ricerca e Sviluppo in CyberSecurity” – impegnato nella malware analysis, nella security governance, nella protezione delle infrastrutture critiche e nella threat analysis system – e di un “Centro nazionale di crittografia”;
  • Ristrutturazione del sistema di difesa cyber. Approntamento del sistema di difesa cibernetica tra cui il perimetro di copertura degli assetti di difesa comuni (interazione/integrazione del CERT nazionale e del CERT-PA), la certificazione, presso il MiSE, di innovative soluzioni SW/HW, l’identificazione delle funzioni manageriali/professionali critiche, l’obbligo di condivisione degli eventi cibernetici significativi al superamento di determinate soglie di gravità (soprattutto per gli “operatori di servizi pubblici essenziali” e i “fornitori di servizi digitali”) per i quali sono previste anche delle sanzioni in caso di omissione;
  • Ridefinizione dell’organizzazione di alcune strutture che si occupano di sicurezza cyber. In questo senso le ipotesi di lavoro sono molteplici: a) sarà attribuito al Direttore del DIS un ruolo attivo e centrale nell’ambito dell’architettura cyber; b) riposizionamento del NSC all’interno del DIS, guidato da un Vice Direttore generale di quest’ultimo; c) espresso riconoscimento del ruolo del CNAIPIC, dell’AgID e soprattutto dell’Amministrazione della Difesa con l’organizzazione di un Comando Interforze Operazioni Cibernetiche (CIOC) e la realizzazione di un poligono virtuale nazionale

“Cooperazione” e “condivisione delle informazioni e delle conoscenze” sono le parole chiavi in tema di sicurezza cyber. Per questo motivo il Piano, sulla scorta del Quadro Nazionale e del “nuovo” DPCM, si pone come un processo dinamico e in divenire che sollecita e integra gli sforzi di tutti gli attori che, a vario titolo, sono interessati e partecipano attivamente alla tematica cyber.

Per quanto riguarda i CERT, è doveroso riconoscere l’egregio lavoro svolto in questi anni dal CERT Nazionale, nelle sue numerose competenze, e dal CERT PA i quali hanno raggiunto risultati encomiabili nonostante la scarsità di risorse e la quantità e varietà di problemi da fronteggiare. Qualunque sia l’assetto con il quale si deciderà di operare nel futuro, con CERT distinti come ora o con CERT integrati, sarà necessario assegnare fondi significativi che consentano di usufruire di profili sempre aggiornati e di strumenti all’avanguardia. Il/i CERT continueranno ad essere parte della mente pensante operativa nel Paese per il contrasto alla minaccia cibernetica e saranno una parte integrante del processo sia di protezione e preparazione che di gestione degli incidenti, a fianco dell’NSC, il cui ruolo andrà sicuramente meglio strutturato e dipanato.

_________________________________________________

[1] http://www.sicurezzanazionale.gov.it/sisr.nsf/documentazione/normativa-di-riferimento/dpcm-17-febbraio-2017.html
[2] http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2017/05/piano-nazionale-cyber-2017.pdf
[3] http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/piano-nazionale-cyber.pdf
[4] http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/quadro-strategico-nazionale-cyber.pdf
[5] Gli indirizzi strategici del Quadro strategico nazionale sono i seguenti sei: 1) Potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese; 2) Miglioramento, secondo un approccio integrato, delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati; 3) Incentivazione della cooperazione tra istituzioni ed imprese nazionali; 4) Promozione e diffusione della cultura della sicurezza cibernetica; 5) Rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica; 6) Rafforzamento delle capacità di contrasto alle attività e contenuti illegali on-line.
[6] Gli indirizzi operativi del “nuovo” Piano sono i seguenti 11: 1) Potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare; 2) Potenziamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati; 3) Promozione e diffusione della cultura della sicurezza informatica. Formazione ed addestramento; 4) Cooperazione internazionale ed esercitazioni; 5) Operatività delle strutture nazionali di incident prevention, response e remediation; 6) Interventi legislativi e compliance con obblighi internazionali; 7) Compliance a standard e protocolli di sicurezza; 8) Supporto allo sviluppo industriale e tecnologico; 9) Comunicazione strategica e operativa; 10) Risorse; 11) Implementazione di un sistema di cyber risk management nazionale.
[7] Si fa riferimento alla Direttiva (UE) 2016/1148 del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione: http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016L1148&from=IT
[8] Gli elementi caratterizzanti il piano d’azione sono i seguenti sette: a) Revisione del Nucleo per la sicurezza cibernetica; b) Contrazione della catena di comando per la gestione delle crisi cibernetiche; c) Riduzione della complessità dell’architettura nazionale, mediante soppressione/accorpamento di organi; d) Progressiva unificazione dei CERT; e) Istituzione di un centro di valutazione e certificazione nazionale ICT; f) Fondazione o Fondo di venture capital; g) Istituzione di un Centro nazionale di ricerca e sviluppo in cybersecurity; h) Costituzione di un Centro nazionale di crittografia.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati