Decreto legislativo - 18/05/2018 - n. 65 art. 6 - Strategia nazionale di cybersicurezza1

Il Sistema di informazione per la sicurezza della Repubblica

Il Sistema di informazione per la sicurezza della Repubblica, istituito con l. n. 124/2007 «Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto» come modificata dalla l. n. 133/2012, si compone di un complesso di organi ed autorità con il compito di assicurare le attività di informazione per la sicurezza, allo scopo di salvaguardare la Repubblica da ogni pericolo e minaccia proveniente sia dall'interno sia dall'esterno. Nello specifico, ai sensi dell'art. 2 della l. n. 124/2007 e s.m.i. ne fanno parte:

– Presidente del Consiglio dei ministri, cui compete l'alta direzione e la responsabilità generale della politica dell'informazione per la sicurezza, nell'interesse e per la difesa della Repubblica e delle istituzioni democratiche poste dalla Costituzione a suo fondamento. Il Presidente del Consiglio dei ministri può delegare le funzioni, ad esso non attribuite in via esclusiva, solo ad un Sottosegretario di Stato o ad un Ministro senza portafoglio (c.d. «Autorità delegata»);

– Autorità delegata, ove istituita, che fa parte del Comitato interministeriale per la sicurezza della Repubblica e presiede il Collegio di vertice composto dal Direttore generale del Dipartimento delle informazioni per la sicurezza e dai Direttori dell'Agenzia informazioni e sicurezza esterna («AISE») e interna («AISI»). L'Autorità delegata è, altresì, preposta al raccordo tra il Comparto intelligence e il Comitato parlamentare per la sicurezza della Repubblica, con il compito di verificare, sistematicamente e continuativamente, che l'attività del Sistema di informazione per la sicurezza si svolga nel rispetto della Costituzione e delle disposizioni normative vigenti, nell'esclusivo interesse e per la difesa della Repubblica e delle sue istituzioni (artt. 3 e 30 della l. n. 124/2007 e s.m.i.);

– Comitato interministeriale per la sicurezza della Repubblica;

– Dipartimento delle informazioni per la sicurezza;

– Agenzia informazioni e sicurezza esterna;

– Agenzia informazioni e sicurezza interna.

Nel complesso Sistema di informazione per la sicurezza della Repubblica, il Comitato interministeriale per la sicurezza della Repubblica («CISR») è istituito presso la Presidenza del Consiglio dei ministri, con funzioni di consulenza, proposta e deliberazione sugli indirizzi e le finalità generali della politica dell'informazione per la sicurezza. In particolare, il Comitato progetta gli indirizzi generali e gli obiettivi sostanziali da perseguire nel quadro della politica dell'informazione per la sicurezza, delibera sulla ripartizione delle risorse finanziarie e sui bilanci preventivi e consuntivi del Dipartimento delle informazioni per la sicurezza («DIS»), nonché dell'AISE e dell'AISI, quali agenzie poste a difesa della Repubblica Italiana contro le minacce provenienti rispettivamente dall'esterno o dall'interno del territorio italiano (es. attività eversive, di matrice terroristica o di spionaggio). Presso il DIS è stato collocato istituzionalmente il Nucleo per la sicurezza cibernetica («NSC») poi sostituito dal Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri e del CISR, in materia della sicurezza del cyber-space «per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l'attivazione delle procedure di allertamento» ai sensi dell'art. 8 d.P.C.M. 17 febbraio 2017 (per i dettagli sul nucleo per la cybersicurezza si rinvia a quanto riportato a commento dell'art. 9 d.lgs. n. 65/2018).

L'AISE e l'AISI, coordinate e controllate dal DIS, rispondono al Presidente del Consiglio dei ministri e informano, tempestivamente e con continuità, il Ministro dell'interno, il Ministro degli affari esteri e della cooperazione internazionale e il Ministro della difesa per le materie di rispettiva competenza. L'organizzazione e il funzionamento di tali agenzie sono disciplinati con apposito regolamento (cfr. d.P.C.M. n. 2/2016; D.P.C.M. n. 4/2012).

Il CISR è presieduto dal Presidente del Consiglio dei Ministri ed è composto dall'Autorità delegata, ove istituita, dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell'interno, dal Ministro della difesa, dal Ministro della giustizia, dal Ministro dell'economia e delle finanze, dal Ministro delle imprese e del made in Italy già Ministro dello sviluppo economico, dal Ministro dell'ambiente e della sicurezza energetica già Ministro della transizione ecologica. Il direttore generale del DIS svolge le funzioni di segretario del Comitato.

Il successivo d.l. n. 82/2021 convertito in l. n. 109/2021 ha poi novellato il d.lgs. n. 65/2018, tenendo conto della nuova architettura nazionale di cybersicurezza delineata dal decreto-legge medesimo (cfr. art. 15). In tale circostanza, tra le modifiche apportate vi è, in particolare:

– la previsione della designazione delle autorità di settore e di un'unica autorità nazionale competente NIS, da individuarsi nell'Agenzia per la Cybersicurezza Nazionale o «ACN», che riveste il ruolo anche di punto di contatto unico, in luogo del DIS, per il coordinamento, a livello nazionale, delle questioni relative alla sicurezza delle reti e dei sistemi informativi e per la cooperazione transfrontaliera con le autorità competenti negli altri Stati membri, nonché con la rete di Computer Security Incident Response Team («CSIRT») e con il gruppo di cooperazione o NIS Cooperation Group;

– la modifica della denominazione della strategia nazionale di sicurezza cibernetica con «strategia nazionale di cybersicurezza», senza intervenire sui contenuti che restano disciplinati dal d.lgs. n. 65/2018;

– la sostituzione dei riferimenti al Comitato interministeriale per la sicurezza della Repubblica con quelli al Comitato interministeriale per la cybersicurezza «CIC». Si prevede, così, che il Presidente del Consiglio dei ministri adotti, sentito il CIC (invece del CISR) «la strategia nazionale di cybersicurezza per la tutela della sicurezza delle reti e dei sistemi di interesse nazionale» (si veda a quanto riportato a commento degli artt. 4 e 9 d.lgs. n. 65/2018);

– la trasmissione, da parte dell'ACN, alla Commissione europea della strategia nazionale in materia di cybersicurezza entro tre mesi dalla sua adozione (trasmissione in precedenza posta in capo alla Presidenza del Consiglio dei ministri).

Ci si trova di fronte, dunque, ad un quadro legislativo improntato a distribuire compiti e funzioni, in materia di sicurezza cibernetica, tra molteplici organi istituzionali, ciascuno nel proprio ambito di competenza, nonché a sviluppare un'azione integrata, per mettere a fattor comune le diverse attribuzioni istituzionali delineate dal quadro normativo.

Strategia nazionale di cybersicurezza

In riferimento all'obbligo per ciascuno Stato membro di definire una strategia nazionale in materia di sicurezza cibernetica, il Governo italiano, con d.P.C.M. 24 gennaio 2013 «Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale» (G.U. 19 marzo 2013, n. 66), ha delineato l'architettura istituzionale «deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali» e ha previsto l'adozione del Quadro strategico nazionale per la sicurezza dello spazio cibernetico o «QSN» e del Piano nazionale per la protezione cibernetica e la sicurezza informatica – cfr. artt. 1 e 3, comma 1, lett. a) d.P.C.M. 24 gennaio 2013.

Per spazio cibernetico deve intendersi «l'insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti, nonché delle relazioni logiche, comunque stabilite, tra di essi. Esso dunque comprende internet, le reti di comunicazione, i sistemi su cui poggiano i processi informativi di elaborazione dati e le apparecchiature mobili dotate di connessione di rete» (cfr. QSN, 10).

Con d.P.C.M. 27 gennaio 2014 (G.U. 19 febbraio 2014, n. 41) il Presidente del Consiglio dei ministri ha adottato il QSN ed il Piano Nazionale per la protezione cibernetica e la sicurezza informatica (rispettivamente su proposta e su deliberazione del CISR), che includono gli obiettivi strategici ed operativi della cybersecurity nazionale.

Se da un lato il QSN fissa gli indirizzi strategici, identifica nel lungo periodo «i profili e le tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti d'interesse nazionale» (cfr. QSN, 7) e, con gli indirizzi operativi, definisce i ruoli ed i compiti dei vari soggetti (pubblici e privati), indica mezzi e procedure per accrescere la capacità di prevenzione e risposta dello Stato alle minacce cibernetiche, prevede lo sviluppo di moduli formativi per promuovere una cultura della sicurezza, dall'altro lato il Piano nazionale stabilisce nel breve periodo le priorità, gli obiettivi specifici e le linee d'azione da mettere in campo per dare concreta attuazione a quanto descritto nel QSN.

Successivamente, con d.P.C.M. 17 febbraio 2017 (G.U. n. 87 del 13 aprile 2017), il Governo ha emanato una Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, che ha sostituito quella antecedente del 24 gennaio 2013. In quel periodo, nelle more del recepimento della Direttiva NIS, la Presidenza del Consiglio dei ministri ha ritenuto necessario aggiornare, razionalizzare e semplificare l'architettura istituzionale designata a tutelare la sicurezza nazionale con riferimento alle infrastrutture critiche, materiali e immateriali, avendo particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali.

Tra i player dell'architettura nazionale, il d.P.C.M. 17 febbraio 2017 ha ricompreso oltre ai soggetti pubblici, anche gli operatori privati – che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico – gli operatori di servizi essenziali, i fornitori di servizi digitali e quelli che gestiscono infrastrutture critiche di rilievo nazionale ed europeo, il cui funzionamento è condizionato dall'operatività di sistemi informatici e telematici (cfr. art. 11).

Con d.P.C.M. 31 marzo 2017 è stato, altresì, adottato il nuovo «Piano nazionale per la protezione cibernetica e la sicurezza informatica» (G.U. n. 125 del 31 maggio 2017), volto a sviluppare gli indirizzi operativi individuati dal QSN del dicembre 2013, nel rispetto di quanto indicato dal Presidente del Consiglio dei ministri in qualità di organo di vertice dell'architettura nazionale cyber.

Tale Piano nazionale ha sviluppato gli indirizzi e gli orientamenti forniti nel 2013, nel rispetto delle indicazioni contenute nella Direttiva NIS; in particolare, ha previsto i seguenti undici indirizzi operativi («IIOO»), con obiettivi specifici e linee d'azione ai sensi dell'art. 3, comma 1, lett. c) d.P.C.M. 17 febbraio 2017:

1. Rafforzamento delle capacità di intelligence, di polizia e di difesa civile e militare, approfondendo l'analisi delle minacce e vulnerabilità, sviluppando la cyber-intelligence e la knowledge management, le capacità di contrasto alla minaccia cibernetica e di difesa del cyber-space, oltreché il continuous improvement;

2. Potenziamento dell'organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati, per garantire l'interoperabilità e la cooperazione tra i vari player, anche internazionali;

3. Promozione e diffusione della cultura della sicurezza informatica, formazione ed addestramento;

4. Cooperazione internazionale ed esercitazioni, per un approccio sinergico di fronte ad una minaccia cibernetica, anche tramite i progetti finanziati dall'Unione europea;

5. Operatività delle strutture nazionali di incident prevention, response e remediation, sviluppo dei Computer Emergency Response Team («CERT») e rafforzamento della cooperazione tra loro a livello internazionale ed europeo, costituzione di Computer Security Incident Response Team («CSIRT») quale evoluzione dei CERT medesimi;

6. Interventi legislativi e di compliance con obblighi internazionali in materia di cybersecurity, in considerazione della rapida evoluzione tecnologico-informatica e del recepimento della Direttiva NIS, armonizzandone le disposizioni con quelle relative alle infrastrutture critiche e strategiche di cui al d.lgs. n. 61/2011 di attuazione della dir. 2008/114/CE recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione e dalla dir. 2013/40/UE relativa agli attacchi contro i sistemi di informazione e che sostituisce integralmente la Decisione quadro 2005/222/GAI del Consiglio dell'Unione europea (per maggiori approfondimenti si rinvia a quanto riportato a commento dell'art. 1 d.lgs. n. 65/2018);

7. Compliance a standard e protocolli di sicurezza, per garantire un comune livello di requisiti di sicurezza informatica dei sistemi e delle reti;

8. Supporto allo sviluppo industriale e tecnologico, orientato alla security by design lungo tutta la catena del valore (componenti hardware e software, servizi della società dell'informazione);

9. Comunicazione strategica e operativa di eventi cibernetici, conseguenze ed azioni di remediation;

10. Risorse economico-finanziarie e reclutamento di personale specializzato;

11. Implementazione di un sistema di cyber risk management nazionale.

Il Piano nazionale indica, infine, la tabella di marcia per l'adozione delle misure prioritarie, ai fini dell'implementazione del QSN, da parte dei player dell'architettura nazionale, in quanto soggetti coinvolti nel processo di innalzamento del livello di sicurezza dei sistemi e delle reti del Paese.

Nel maggio 2022 è stata adottata la strategia nazionale di cybersicurezza 2022-2026, che riconosce la cybersicurezza come una questione di importanza strategica per la digitalizzazione del Paese ed elemento indispensabile della trasformazione digitale, anche nella prospettiva di conquistare l'autonomia nazionale nel settore (ACN, Strategia Nazionale di Cybersicurezza 2022-2026, cit.). Il documento affronta le sfide, gli obiettivi (protezione, risposta e sviluppo) ed i rischi connessi all'evoluzione tecnologica (es. attacchi cyber, fake news, campagne di disinformazione), nonché l'importanza della resilienza e sicurezza delle infrastrutture, reti, sistemi su cui si basano i servizi digitali per salvaguardare lo sviluppo economico e il benessere dello Stato, «promuovendo un uso sicuro delle tecnologie, [omissis], il conseguimento dell'autonomia strategica nella dimensione cibernetica, l'anticipazione dell'evoluzione della minaccia cyber, la gestione di crisi cibernetiche in scenari geopolitici complessi, nonché il contrasto della disinformazione online, nel rispetto dei diritti umani, dei nostri valori e principi.» In particolare, le sfide vengono declinate come segue:

– Assicurare una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo, che poggi sui pilastri della resilienza e della fiducia dei cittadini;

– Conseguire l'autonomia strategica nazionale ed europea nel settore del digitale, per superare l'attuale dipendenza tecnologica dell'Italia da altri Paesi (es. quantum computing);

– Prevenire l'evoluzione della minaccia cyber, sulla base dell'esperienza acquisita nell'implementazione del QSN e PSN;

– Gestire le crisi cibernetiche (pre-allerta, gestione, azioni di contrasto);

– Contrastare la disinformazione online nel più ampio contesto della «minaccia ibrida», termine quest'ultimo noto in ambito militare come tutte quelle minacce «posed by adversaries, with the ability to simultaneously employ conventional and nonconventional means adaptively in pursuit of their objectives» (NATO, 2).

Per il conseguimento di ciascuno degli obiettivi della strategia nazionale di cybersicurezza, il relativo piano di implementazione indica le misure da attuare, i player ed i vari stakeholder (ACN, Piano di implementazione Strategia Nazionale di Cybersicurezza 2022-2026, cit.).