Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

sicurezza

Piano Nazionale Cybersecurity, cosa offre e cosa manca

di Corrado Giustozzi, esperto di sicurezza cibernetica presso il CERT-PA Agid

01 Giu 2017

1 giugno 2017

Un passo avanti per migliorare la capacità di risposta dell’Italia agli attacchi. Tuttavia nulla si potrà realizzare se non c’è un passaggio normativo ulteriore e un adeguato finanziamento. Punti ancora aperti nella questione

Con un decreto firmato ieri, il Presidente del Consiglio ha emanato il nuovo Piano Nazionale per la protezione cibernetica e la sicurezza informatica nazionali. Si tratta del documento che dà attuazione pratica agli indirizzi strategici presentati nel Quadro Strategico Nazionale, declinandoli in specifici ambiti di azione definiti Indirizzi Operativi.

Rispetto al precedente Piano Nazionale, che era relativo al biennio 2014-15, il documento attuale si pone in una logica di continuità e non di sostituzione. Viene infatti mantenuto il medesimo impianto generale e vengono infatti sostanzialmente riconfermati, pur se leggermente rimodulati, i medesimi undici Indirizzi Operativi indicati in precedenza.

La revisione del piano, oltre a tenere conto dell’esperienza maturata negli anni di attuazione del piano precedente, ha preso specialmente in considerazione i rilevanti interventi normativi, sia nazionali che sovranazionali, intercorsi fra i due documenti. Tra i primi il più significativo è certamente il recente DPCM 17 febbraio 2017, il cosiddetto “DPCM Gentiloni”, che ha riorganizzato l’architettura per la protezione cibernetica e la sicurezza informatica nazionale; tra i secondi la più importante è la Direttiva Europea sulla sicurezza delle reti e dell’informazione (meglio nota come Direttiva NIS), che l’Italia deve peraltro ancora recepire.

L’impianto generale del nuovo Piano è rimasto sostanzialmente invariato, ma non a caso il documento si apre con un capitolo in precedenza non presente, indicato come Piano d’azione, il quale descrive con grande dettaglio la nuova architettura nazionale cibernetica. Di essa vengono dapprima chiarite la struttura e la modalità di funzionamento, e quindi vengono indicati alcuni specifici obiettivi da perseguire per potenziarne l’operatività e migliorarne l’efficacia. Questi comprendono ad esempio la revisione del Nucleo per la Sicurezza Cibernetica, la contrazione della catena di comando per la gestione delle crisi cibernetiche e la riduzione della complessità dell’architettura stessa, misure di fatto già attuate dal citato DPCM Gentiloni; ma anche obiettivi a tendere quali la progressiva unificazione dei CERT pubblici (CERT Nazionale e CERT della Pubblica Amministrazione), l’istituzione di un Centro di valutazione e certificazione nazionale ICT, la costituzione di un Centro nazionale per la crittografia.

Fra gli undici Indirizzi Operativi, solo due hanno subito variazioni significative rispetto al Piano precedente. L’Indirizzo operativo 1 (Potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare) è stato aggiornato nell’ottica di migliorare le capacità di risposta ad eventi o incidenti cibernetici, ad esempio inserendo esplicitamente l’obiettivo di sviluppare specifiche capacità di analisi forense digitale. L’Indirizzo operativo 5 (Operatività delle strutture nazionali di incident prevention, response  e remediation) riconsidera invece il sistema dei CERT pubblici per traguardare lo sviluppo di una capacità nazionale integrata, basata su un CERT nazionale unico (frutto della progressiva fusione degli attuali due CERT) ovvero sulla creazione di una rete nazionale di CERT che risponda ad un soggetto con specifici poteri di coordinamento.

Complessivamente il Piano rappresenta un passo avanti nel processo, essenzialmente evolutivo, con cui l’Italia sta adeguando le sue strutture e soprattutto le sue procedure verso una sempre più efficace capacità di prevenzione e risposta agli incidenti ed alle crisi cibernetiche.

Va tuttavia considerato che alcuni degli interventi più strutturali individuati ed auspicati dal Piano, quale ad esempio la fusione degli attuali CERT in un’unica entità, non possono realizzarsi senza uno specifico supporto normativo. Questo tuttavia, date la natura e l’impatto amministrativo delle operazioni di riassetto richieste, è al di fuori della portata di uno strumento agile ma privo di forza di legge quale il DPCM, e richiede invece una legge ordinaria.  Per la piena attuazione del Piano sarà dunque necessaria l’opera coordinata del Legislatore, che si auspica sia sufficientemente sensibile e pronto nell’esplicare la sua azione.

Rimane poi l’annoso problema dei finanziamenti, che per poter consentire una efficace realizzazione degli obiettivi individuati devono essere erogati in modo puntuale e sostanziale.

 

Articoli correlati