Con la pubblicazione in Gazzetta Ufficiale del D.L n. 82/2021 nasce l’Agenzia per la cybersicurezza nazionale. L’Agenzia è l’interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive dei sistemi informativi e delle reti di comunicazione elettronica. Al sistema della cybersicurezza partecipano, oltre gli enti pubblici, anche le imprese impegnate in settori strategici individuate quali soggetti facenti parte del perimetro nazionale degli operatori dei servizi essenziali dei fornitori di servizi digitali. In particolare, le società devono garantire un monitoraggio costante dei livelli di sicurezza da sottoporre alle autorità governative, nonché fornire notizie di eventuali violazioni della sicurezza. Come si concretizzano le sinergie e i piani di difesa pubblico-privato in caso di cyberattacco?

Varata l’Agenzia per la cybersicurezza italiana. Sarà lo snodo principale delle politiche di prevenzione e gestione dei rischi di attacco cibernetico, le quali coinvolgono molteplici attori, pubblici e privati. A prevederlo è il D.L. n. 82/2021, recante “disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”, preceduto dalla pubblicazione, sulla Gazzetta Ufficiale dell’11 giugno 2021, del DPCM n. 81 del 14 aprile 2021, in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici e di misure volte a garantire elevati livelli di sicurezza. Un problema mondiale La pericolosità degli attacchi informatici è dimostrata anche dalla proposta, lanciata dal presidente degli Stati Uniti, Joe Biden, al G7 svolto dall’ 11 al 13 giugno 2021 a Carbis Bay (Cornovaglia), di costituire un Patto Atlantico, alla stregua di una Nato per contrastare scenari di cyber war. In materia, in base a dati diffusi dal Parlamento europeo gli attacchi informatici e la criminalità informatica stanno aumentando in tutta Europa, sia in termini di quantità che di criminale sofisticazione. Il fenomeno è preoccupante visto che nel 2025 si prevedono oltre 25 miliardi di apparecchi connessi. Nel 2019, tra l’altro, il numero degli attacchi riportati è triplicato con circa 700 milioni di cyberattacchi. Il costo annuale del cybercrimine nel 2020 è stato stimato in 5500 miliardi, il doppio rispetto al 2015. La risposta normativa Non a caso l’architettura normativa si è arricchita in questi anni, a seguire la direttiva (UE) 2016/1148 del 6 luglio 2016 (direttiva NIS - Network and Information Security) tesa a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea. La direttiva è stata recepita con il D.Lgs. n. 65/2018, cui è succeduto il D.L. n. 105/2019, cha ha istituito un perimetro di sicurezza nazionale cibernetica e ha dettato misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi. Il decreto legge n. 105/2019 è stato ritoccato dal D.L. n. 162/2019 (decreto Milleproroghe 2020) ed ha avuto attuazione con i seguenti: a) DPCM n. 131 del 30 luglio 2020, che ha dettato criteri e modalità per l'individuazione dei soggetti inclusi nel perimetro nazionale di sicurezza cibernetica; b) D.P.R. 5 febbraio 2021, n. 54, che ha definito le procedure e modalità di valutazione delle acquisizioni da parte dei soggetti inclusi nel perimetro di sicurezza cibernetica, di oggetti di fornitura le procedure delle attività di verifica e ispezione; c) DPCM n. 81 del 14 aprile 2021 regolamento che definisce le modalità per la notifica nel caso di incidenti riguardanti beni ITC. Nuova Agenzia per la cybersicurezza L’Agenzia per la cybersicurezza, istituita con il D.L. n. 82/2021, esercita le funzioni di Autorità nazionale in materia di cybersecurity ed è tenuta a sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale (CVCN). L’Agenzia sarà l’interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica. Inoltre, l’Agenzia è stata individuata quale Centro nazionale di coordinamento italiano, che si interfaccerà con il “Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca”. Allo scopo di completare il sistema della cyber sicurezza, il decreto legge ha istituito il Comitato interministeriale per la cybersicurezza (CIC) e prevede specifici poteri di controllo da parte del Comitato parlamentare per la sicurezza della Repubblica (COPASIR). Impatti e obblighi sulle imprese Al sistema della cybersicurezza partecipano, oltre gli enti pubblici, anche le imprese impegnate in settori strategici e che sono individuate, con un atto amministrativo governativo, quali soggetti facenti parte del perimetro nazionale. In sintesi, si tratta degli operatori dei servizi essenziali dei fornitori di servizi digitali e delle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico. Sul punto, un compito dell’Agenzia è volto a contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) proprio dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD). Gli obblighi in capo alle imprese consistono in un monitoraggio costante dei livelli di sicurezza da sottoporre alle autorità governative, nell’assoggettamento a un controllo preventivo delle forniture di beni e servizi afferenti apparecchi, impianti e reti e nell’obbligo di dare immediate notizie a riguardo di eventuali violazioni della sicurezza al fine di attivare le task force appositamente allertate (DPCM n. 81/2021). Copyright © - Riproduzione riservata

Fonte: https://www.ipsoa.it/documents/impresa/appalti/quotidiano/2021/06/16/cybersicurezza-sinergia-pubblico-privato-attacchi-informatici-obblighi-imprese