Finalmente lo Stato italiano ha un organismo distinto dal comparto intelligence al quale è stato affidato il compito precipuo per la tutela della cybersicurezza nazionale.
Infatti, lo scorso 4 agosto, il Parlamento con la Legge 109/2021(1) ha convertito il Decreto Legge 82/21(2) e ha quindi approvato in modo definitivo “disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”.
Provvedimento che, rispetto agli altri stati, arriva con notevole ritardo. Basti pensare che la Germania ad esempio è dotata di un’Autorità nazionale di resilienza cybernetica già dal 1991 e la Francia dal 2009.
In Italia, il decreto Legge 82 è arrivato, invece, solo nel 2021 e grazie al fatto che la sicurezza cibernetica occupa un ruolo centrale nel PNNR, altrimenti, probabilmente, ancora non avrebbe visto luce l’approvazione di una normativa in tal materia.
Un capitolo importante del PNRR, infatti, prevede 620 milioni per la cybersecurity.
Per la prima volta una normativa italiana, quindi, definisce il concetto di cybersicurezza che viene identificata come l’insieme delle attività necessarie per proteggere dalle minaccie informatiche reti, sistemi informativi, servizi informatici e comunicazione elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità e garantendone, altresì, la resilienza”.
L’Agenzia che nasce con il fine precipuo della gestione della cybersecurity nazionale, ai sensi dell’art. 5 della legge 109/2021, ha personalità giuridica di diritto pubblico, dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria, nei limiti di quanto previsto del provvedimento.
Enorme importanza è la distinzione da questo momento in poi, quindi tra intelligence e cybersecurity e finalizzata all’ottimo funzionamento tanto dell’Agenzia e degli organismi previsti quanto delle strutture esistenti – DIS (Dipartimento delle informazioni per la sicurezza), AISE (Agenzia informazioni e sicurezza esterna), AISI (Agenzia informazioni e sicurezza interna).
L’ Agenzia assume in materia di cybersicurezza nazionale tutte le funzioni attribuite fino ad ora alla Presidenza del Consiglio dei Ministri, al Ministero dello Sviluppo Economico, al DIS e all’Agenzia per l’Italia Digitale. Dentro l’Agenzia è prevista l’istituzione di un comitato tecnico-scientifico che svolgerà funzioni di consulenza e proposta.
La governance della neonata agenzia viene individuata nei primi quattro articoli della legge che trova il vertice nel Presidente del Consiglio dei Ministri, cui è attribuita l’alta direzione e la responsabilità generale delle “politiche di cybersicurezza” a cui spetta l’adozione della relativa strategia nazionale e la nomina dei vertici della nuova Agenzia per la cybersicurezza nazionale. Il Presidente del Consiglio dei Ministri, previa deliberazione del Consiglio dei Ministri, ha la competenza a nominare il Direttore Generale e il Vice Direttore generale, competenza estesa anche alla eventuale revoca.
Ai sensi dell’art. 6, la composizione dell’Agenzia deve essere identificata da un Regolamento che dovrà trovare approvazione entro 120 giorni. Quindi, imminente Regolamento dovrà definire organizzazione e funzionamento.
Ai sensi dell’Art 7, tra le attività principali di cui avrà competenza ritengo interessanti evidenziarne di seguito tre. Dovrà:
- esercitare le funzioni di Autorità Nazionale in materia cybersecurity a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche;
- sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione per far fronte agli incidenti di sicurezza informatica a agli attacchi informatici, anche attraverso il Computer Security incident Response Team italiano e l’avvio operativo del centro di valutazione e certificazione nazionale;
- assumere funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS) e della sicurezza delle reti di comunicazione elettronica.
Altresì, la legge de qua affida un ruolo importante al Copasir (Comitato Parlamentare per la Sicurezza della Repubblica) sin dalla nomina del Direttore e Vice Direttore dell’Agenzia.
Infatti, il Copasir è l’organo che dovrà essere informato dal Presidente del Consiglio preventivamente di tali nomine.
L’importante ruolo del Copasir sulla vigilanza della neonata Agenzia fa comprendere come la ratio legis pone la governance della neonata agenzia sotto l’egida governativa, mentre il controllo di tale governance lo pone sotto l’egida di quella parlamentare, in quanto il Copasir è l’importante organo parlamentare deputato proprio alla vigilanza della sicurezza.
L’importante ruolo di codesto organismo viene evidenziato, inoltre, dall’art. 5, comma 6 della Legge che prevede che il Copasir può chiedere l’audizione del Direttore Generale dell’Agenzia su questioni di propria competenza. Significa, conseguentemente, che attraverso le audizioni del Direttore Generale, il Copasir verrà, pertanto, informato sull’attività dell’Agenzia e quindi in questo modo svolgerà la funzione importante di vigilanza, in quanto verificherà, con il compito attribuitogli specificatamente dalla legge, che si svolga tutto nel rispetto della costituzione e delle normative nell’interesse esclusivo e per la difesa della Repubblica.
Altresi, la norma che suggella il particolare controllo affidato al Copasir dalla normativa è delineato nell’art. 14 che prevede che entro il 30 giugno di ogni anno, il Presidente del Consiglio tramette proprio al Copasir una relazione sulle attività svolte nell’anno precedente dall’Agenzia (negli ambiti concernenti la tutela della sicurezza nazionale nello spazio cibernetico relativamente ai profili di competenza del Comitato).
Senza dubbio alcuno la nuova normativa ha sancito, pertanto, l’inizio di una nuova era in tal materia con l’Agenzia Cybersecurity, che dovrà quindi agire, fondamentalmente, in modo preventivo. Accanto ad un approccio preventivo, però, il propagarsi degli attacchi hacker accaduti nell’ultimo periodo, fanno nascere l’esigenza pregnante di poter dotare il codice penale dell’introduzione di una fattispecie criminosa ad hoc, in quanto sarebbe, a questo punto, necessario che in aggiunta al delineato traguardo normativo si possa legiferare in Italia su una nuova fattispecie criminosa per tutelare in particolare modo questa materia anche in modo repressivo, quando cioè accadano fatti illeciti.
Per approfondimenti, consultare i seguenti link e/o riferimenti: