La velocità con cui l’Italia sta dando forma e applicazione all’architettura nazionale di cyber security è davvero motivo di soddisfazione per la comunità del settore.
Il DPCM 16 settembre 2021, “Definizione dei termini e delle modalità del trasferimento di funzioni, beni strumentali e documentazione dal Dipartimento delle informazioni per la sicurezza all’Agenzia per la cybersicurezza nazionale”, pubblicato in Gazzetta Ufficiale il 30 ottobre scorso, stabilisce le istruzioni operative per portare a compimento il passaggio di funzioni tra il DIS e la nuova ACN, Agenzia nazionale di cybersicurezza.
Come cresce l’agenzia nazionale di cybersicurezza: il decreto
In linea con i modelli francese e tedesco che l’hanno preceduta, la nuova Agenzia si pone infatti al di fuori delle agenzie di intelligence, e il Decreto in questione definisce i termini e le modalità per assicurare, mediante opportune intese, la prima operatività dell’Agenzia stessa attraverso l’individuazione di una sede in grado di accogliere gli uffici necessari allo svolgimento delle sue funzioni. Proprio relativamente alla sede, spetta all’Agenzia, in collaborazione con il DIS, “l’individuazione di immobili demaniali nella disponibilità degli organismi di informazione per la sicurezza per ospitare gli uffici della nuova struttura”. Attualmente, sembra che la scelta sia ricaduta sulla sede di Largo Santa Susanna a Roma, sede storica del DIS, che nel frattempo si è trasferito nei nuovi uffici di Piazza Dante, già sede dell’AISI e AISE.
Lo stabilimento nella capitale si pone in continuità con la logica di accentramento di tutte le funzioni cyber in capo all’Agenzia, facilitando il coordinamento con gli altri enti nazionali ivi presenti e avendo quindi modo di interfacciarsi agevolmente con tutte le parti interessate, nonché di beneficiare della posizione centrale e delle infrastrutture dedicate già allestite.
Trasferimento di funzioni dal DIS
Il Decreto stabilisce, inoltre, le modalità per il trasferimento delle funzioni dal DIS all’Agenzia a decorrere dal 16 settembre 2021. Insieme a queste ultime, il DIS dovrà trasferire anche tutta la documentazione, compresa quella classificata, e i beni correlati (sistemi, attrezzature, postazioni di lavoro, beni strumentali) per garantire continuità nell’espletamento delle attività che ora sono in capo all’Agenzia. Durante il passaggio di consegne, sarà di primaria importanza riuscire ad assicurare l’erogazione dei servizi dello CSIRT Italia e di quelli legati al Perimetro di Sicurezza Nazionale Cibernetica: è quindi previsto che i servizi informatici necessari vengano mantenuti non oltre il 31 marzo 2022 dallo stesso DIS al fine di evitare qualsivoglia disservizio.
Il DPCM sancisce, infine, la riduzione della “dotazione organica del DIS”, come diretta conseguenza dell’inquadramento nei ruoli della nuova Agenzia del personale precedentemente stanziato presso il Dipartimento, “in misura corrispondente all’incremento della stessa dotazione organica disposto in relazione all’istituzione presso il DIS dello CSIRT italiano”.
L’organico previsto in Italia per la ACN, di circa 800 dipendenti, inizialmente limitati a soli 300, si pone in linea con i numeri in dotazione dell’agenzia tedesca, che impiega circa 1200 dipendenti, nonché di quella francese che può disporre di un analogo quantitativo di personale specializzato.
Cosa resta da fare
Una volta garantita la piena operatività, l’ACN potrà finalmente adempiere i compiti ad essa assegnati separandosi dall’ambito dell’Intelligence e sviluppando le necessarie competenze nel settore cyber, per l’aumento della resilienza del sistema Paese e per il coinvolgimento del mondo pubblico e del mondo privato nella sfida di proteggere le infrastrutture nazionali.
Il perimetro di sicurezza
L’attuale architettura nazionale cyber sarà presto ulteriormente rafforzata anche dall’ultimo tassello mancante del Perimetro di Sicurezza Nazionale Cibernetica. Con l’emanazione del rimanente decreto attuativo, infatti, il Governo stabilirà le regole necessarie per l’accreditamento dei laboratori nazionali di prova (LAP) che potranno effettuare le valutazioni e le certificazioni di prodotto in supporto al CVCN. Dal momento che il nuovo Decreto avvicina l’entrata a regime dell’Agenzia, esso rende prossima, di conseguenza, anche quella del CVCN.
Proprio quest’ultimo organo, transitato dal Ministero dello Sviluppo Economico all’Agenzia, desta molto interesse presso gli operatori del settore. Sarà infatti il CVCN, una volta divenuto operativo, ad emanare gli schemi di valutazione e certificazione dei prodotti ICT al fine dell’ammissibilità del loro utilizzo da parte dei soggetti parte del Perimetro di Sicurezza Nazionale Cibernetica. Proprio il tema delle certificazioni sembra destinato ad acquisire notevole rilevanza all’interno del dibattito internazionale per la sicurezza cyber.
Schemi di certificazione
Contemporaneamente all’Italia, infatti, anche l’Unione Europea sta lavorando per produrre degli schemi di certificazione validi per tutti gli Stati membri.
Tali schemi riguarderanno qualsiasi tecnologia ICT, software, hardware e firmware, compresi i dispositivi IoT e l’Operation Technology (OT).
Proprio per quanto riguarda quest’ultimo, è legittimo supporre che anche il CVCN sia intenzionato ad inserire aspetti legati anche all’IT e all’OT all’interno dello schema nazionale di valutazione e certificazione, visto l’aumento della diffusione di quest’ultimi sistemi non più impiegato esclusivamente a livello industriale, ma altresì per applicazioni di uso comune e per i servizi erogati dalle smart city.
Al fine di proteggere soprattutto le Infrastrutture Critiche nazionali sarà essenziale adottare un approccio olistico che tenga in considerazione l’ampio spettro di minacce cyber che il Paese si trova ad affrontare. Il supporto dell’Agenzia sarà quindi fondamentale per far si che il livello di difesa e protezione garantiti beneficino della fruttuosa collaborazione di tutte le parti in causa.
