ABSTRACT: Nelle more del recepimento della direttiva europea NIS, è stato approvato dal CISR un nuovo programma di sicurezza cibernetica, che risponde alle esigenze di individuare un riferimento strategico della politica nazionale, di razionalizzare la catena di comando nella fase di gestione degli attacchi informatici e di agire sul fronte della prevenzione. In attesa del testo del nuovo DPCM che sostituirà il decreto Monti e dell’assegnazione delle risorse economiche individuate dalla ultima legge di stabilità, l’idea di un programma da sviluppare in più fasi lascia immaginare un impegno costante e corale in favore di quella che è considerata ormai parte integrante della sicurezza nazionale e presupposto imprescindibile della trasformazione digitale dell’Italia.
Lo scorso 17 febbraio, da una nota del DIS (Dipartimento delle Informazioni per la Sicurezza) si apprende la notizia dell’approvazione del CISR (Comitato Interministeriale per la Sicurezza della Repubblica) di un nuovo programma nazionale di sicurezza cibernetica e dell’adozione da parte del Presidente del Consiglio di un decreto che sostituirà quello del 24 gennaio 2013, varato dall’esecutivo Monti. A detta di diversi esperti, il decreto Monti presentava degli aspetti migliorabili, in termini di direzione politica, catena di comando e reazione, interlocuzione col settore privato e prevenzione.1 Si tratta di criticità emerse nel Piano Nazionale di attuazione del decreto per il biennio 2014- 2015, che hanno impresso la svolta nell’anno successivo e un ripensamento generalizzato che ha gettato le basi poi per lo sviluppo del nuovo Piano Nazionale 2016-2018, così come conferma il Documento di sicurezza nazionale, allegato alla Relazione del DIS sulla politica della sicurezza 2016.2
La svolta è stata impressa anche dalla entrata in vigore della direttiva europea NIS (Network and Information Security), che richiede una protezione cibernetica dell’Unione più efficace, a partire dall’obbligo di notifica degli incidenti significativi riportati dai fornitori di servizi digitali e dagli operatori dei servizi essenziali ad un’unica autorità nazionale, che dovrà gestirli tempestivamente, forte della condivisione delle informazioni con gli altri paesi membri.
In tale ottica, il nuovo programma approvato dal CISR prevede le seguenti novità:
- il Nucleo per la Sicurezza Cibernetica (NSC), struttura operativa di supporto del CISR e del Presidente del Consiglio, è ricollocato all’interno del DIS con l’ulteriore compito di fornire una risposta coordinata in seguito alla notifica di eventi informatici rilevanti. Si rafforzano l’interazione del Nucleo con l’AgID (Agenzia per l’Italia Digitale) e il CERT (Computer Emergency Response Team) della Pubblica Amministrazione per la componente tecnica della gestione delle crisi, mentre resta invariato il sistema di raccordo con i ministeri del CISR;
- il direttore del DIS è incaricato di indicare le linee di azione per assicurare gli adeguati livelli di prevenzione e sicurezza delle reti strategiche, pubbliche e private, col coinvolgimento delle eccellenze del mondo accademico e della ricerca e del settore privato;
- il CISR, presieduto dal Presidente del Consiglio, di cui fanno parte il Ministro degli Affari Esteri, il Ministro dell’Interno, il Ministro della Difesa, il Ministro della Giustizia, il Ministro dell’Economia e delle Finanze ed il Ministro dello Sviluppo Economico, ed oggi integrato con la partecipazione del Ministro per la Semplificazione e la Pubblica Amministrazione, dovrà emanare le direttive recanti le indicazioni per nuovi livelli di allerta qualora si presenti la necessità, coadiuvato da DIS, AISE, AISI e dal consigliere militare (CISR tecnico).
Il testo del nuovo decreto non è ancora disponibile, ma dalla nota del DIS si possono cogliere alcuni propositi, in linea con le esigenze di rivedere la vecchia architettura istituzionale e nella prospettiva di recepire la sostanza della normativa NIS:
razionalizzare e snellire il processo decisionale in caso di evento cibernetico significativo per la sicurezza nazionale, abolendo il NISP (Nucleo Interministeriale Situazione e Pianificazione), che il Nucleo Sicurezza Cibernetica aveva il compito di attivare affinché comunicasse lo stato di allerta al Presidente del Consiglio, un passaggio poco funzionale alla gestione di un attacco cyber, che può risultare rapido, simultaneo e pervasivo. Inoltre, saldando il rapporto tra NSC e l’AgID, autorità competente per l’attuazione dell’agenda digitale europea, si lascia presupporre che il Nucleo si candidi al ruolo di autorità competente in materia NIS, considerando che già funge da bacino di confluenza delle notifiche degli eventi cibernetici e da punto di riferimento per i rapporti con NATO, ONU e UE;