La nuova struttura nazionale per la cybersicurezza, pur arrivata in ritardo rispetto alle omologhe agenzie di altri Paesi Ue, è quella che ha la catena di comando più diretta e snella avendo una diretta dipendenza solo dal Presidente del Consiglio. I punti di forza e i limiti dell’ACN nel panorama Ue.
Negli ultimi mesi l’Italia ha intrapreso, rispetto ai partner europei, un nuovo corso nella gestione e organizzazione della sicurezza cibernetica. Infatti con l’istituzione dell’Agenzia per la cybersicurezza nazionale (ACN) attraverso il con il Decreto Legge del 14 giugno 2021, n. 82, convertito in legge del 4 agosto 2021, n. 109 è nato un soggetto autonomo che coordini “i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale” e promuova “la realizzazione di azioni comuni dirette ad assicurare la sicurezza e resilienza cibernetiche per lo sviluppo della digitalizzazione del paese, del sistema produttivo e delle PA, nonché per il conseguimento dell’ autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore”.
L’Italia, dunque, si è dotata, anche se in ritardo, di un buon strumento per la gestione delle attività di sicurezza cibernetica. Ma come si è arrivati a questo percorso e che confronto si può fare con i partner europei? Anzitutto è necessario dare un quadro storico delle attività e delle regolamentazioni che vari paesi hanno implementato nell’ambito cibernetico.
Come si stanno muovendo i paesi europei
In questo grafico indichiamo quando i paesi europei, di dimensioni e importanza analoghe all’Italia, si sono dotati di agenzie per la sicurezza cibernetica:
È perciò opportuno analizzare, paese per paese, quelle che sono le peculiarità di ognuno (in particolare i fondi impegnati) e quali i confronti positivi o negativi rispetto alla ACN.
Francia e Germania
Francia e Germania hanno istituito le proprie agenzie nel lontano 2009 e negli anni ne hanno aggiornato competenze e raggio d’azione.
La Germania ha una catena di comando abbastanza complessa in quanto le competenze di sicurezza cibernetica, di regolamentazione e sono suddivise fra vari dicasteri (Esteri, Difesa, Interno) e al Cancelliere non è data formale competenza sulla materia.
La Francia invece fa dipendere l’agenzia nazionale di sicurezza cibernetica (ANSSI) dall’omologo francese del Consiglio Supremo di Difesa: il Segretariato Generale per la Difesa e la Sicurezza Nazionale
Nel 2015 la Francia ha apportato ulteriori modifiche alla strutturazione dell’ANSSI pur mantenendo inalterata la catena gerarchica.
Sia Francia che Germania fanno ricadere nella propria agenzia le competenze richieste dalla direttiva NIS in merito alla strutturazione di uno CSIRT Nazionale.
L’agenzia francese ANSSI si compone di circa 550 funzionari e impegna circa 65 milioni di euro l’anno di cui 21 milioni solo per l’attività di sicurezza cibernetica. Nel 2019 ha promosso l’attivazione di un CyberCampus e, con una media d’età del personale pari a 37 anni, ha attivato una selezione fra i talenti nazionali.
L’agenzia tedesca BSI ha tratto vantaggio dell’arrivo della direttiva NIS per ricevere dal governo un forte impegno per l’attivazione di un sistema di sicurezza cibernetica che non sia solo direttivo e regolamentare ma che abbia reale efficacia. Infatti nel 2016 la Germania ha implementato un piano per raggiungere il numero di 14.000 figure attive nella cyber security. Il piano è in fase di attivazione.
La complessità già indicata del sistema di potere relativo alla sicurezza cibernetica può essere un punto di debolezza della struttura Cyber dedicata.
L’investimento tedesco nella Cyber è, come di solito, massiccio: solo per dare un esempio la creazione di una nuova struttura dedicata all’innovazione ha ricevuto in dote 350 milioni di euro.
Spagna
La Spagna ha attivato il proprio sistema di sicurezza cibernetica nel 2010 con la creazione dell’INCIBE che è parte di un sistema più complesso dove alcune funzioni di difesa/attacco sono demandate alla difesa che ha costituito un proprio cyber commando. Dal canto suo l’INCIBE ha il vantaggio e la flessibilità di una struttura di diritto che si affaccia al mondo privato (SME: sociedad mercantil estatal) che ha la possibilità di interfacciarsi rapidamente con il mondo privato. Dipendente dal Ministero dello Sviluppo Economico, in particolare con la delega al sottosegretario per l’informazione e l’agenda digitale, ha forti interazioni con il ministero dell’Interno relativamente alle attività che ricadono in reati cibernetici. Hanno infine sviluppato da anni un CyberCampus e hanno al loro interno un polo tecnologico che gestiscono.
L’INCIBE è costituito da circa 200 operatori ed ha una complessa ramificazione verso il mondo privato.
Olanda
L’Olanda è da sempre stata pioniera nell’attività di sicurezza cibernetica, anche attiva. Fin dal principio, anche in considerazione della ridotta dimensione del paese, ha attivato una profonda e seria interazione con il mondo privato. Per esperienza diretta già nel 2016 (durante la fase di studio del progetto di legge che presentai) la relazione tra l’agenzia NCSC e il mondo privato era molto stringente.
La struttura ha funzioni dipendenti da un complesso reticolo di ministeri e dal primo ministro. Da questo deriva un insieme diverso di fondi che sostengono l’agenzia e le sue propaggini. Negli ultimi anni il governo olandese ha impegnato circa 15 milioni di euro.
Volendo dare una rappresentazione grafica della situazione dei vari paesi a confronto:
L’Agenzia italiana (ACN)
Per concludere è opportuna una analisi sulla nuova agenzia italiana. È indubbiamente l’ultima arrivata nel parco delle agenzie europee di ugual dimensione come Paesi originanti, ma da questo ritardo ha tratto il vantaggio di poter sviluppare una struttura normativa e organizzativa molto efficace. A mio modo di vedere tra le varie agenzie europee è quella che ha la catena di comando più diretta e snella avendo una diretta dipendenza solo dal Presidente del Consiglio. Ha ricevuto in dote fondi relativamente sufficienti per una prima strutturazione e sono confidente nel fatto che nei prossimi anni sarà dotata di ulteriori risorse. Semplicemente il fatto che nella discussione parlamentare si siano approvati alcuni emendamenti che la mettono in condizione di creare una forte interazione con il mondo privato e dell’innovazione (si pensi alla modifica avvenuta in sede parlamentare che introduce la possibilità di creare CyberAree).
Inoltre, come l’omologa francese, ha una capacità di emanare direttive come altre agenzie nazionali dipendenti da altri dicasteri, il che la rende decisamente molto operativa e capace di poter essere autonoma nella gestione del futuro della sicurezza cibernetica nazionale.
Anche la rapida strutturazione, in continuità con il passato, degli organigrammi apicali è un segno di importante attenzione da parte del governo nazionale al tema della sicurezza cibernetica.
Quello che ci si può aspettare nei prossimi mesi a venire sarà l’organizzazione e l’implementazione delle attività operative e di sviluppo dell’innovazione sul mondo cyber da parte dell’agenzia. Da parte del governo una garanzia al sostegno finanziario del lavoro della ACN.
Un unico neo che va ottimizzato nel rapporto tra le varie entità che sono comunque coinvolte nella gestione della sicurezza cibernetica è quello di aver escluso un rapporto organico con le Forze Armate, demandate per costituzione alla difesa del paese. Dovendo necessariamente ricomprendere il domino cibernetico in quelli che possono essere (anche più facilmente) attaccati da attori esterni (siano essi statuali o meno) non aver previsto una organica interazione tra la ACN e il COVI/COR è stato un errore, soprattutto in questa iniziale fase di avvio dell’agenzia.
Le risorse e le procedure implementate fin dalla nascita da parte del COR sono un valore da mettere a fattor comune. La speranza è che, sia da un punto di vista parlamentare che di governo si prenda, in considerazione di emendare questa parte per rendere organico il coinvolgimento delle forze armate.
Conclusioni
Da anni, e in particolare durante la mia esperienza parlamentare, ho ribadito, anche tramite la proposta di legge per l’istituzione dell’Agenzia Nazionale di Sicurezza Cibernetica (ANSC), di scindere la gestione e organizzazione della sicurezza cibernetica dalle attività svolte dai servizi per l’informazione e la sicurezza della Repubblica.
Questo perché era ed è necessario avere un organismo autonomo che potesse garantire la definizione di regolamenti e direttive mirate a una più snella e coordinata gestione della sicurezza dell’ambito cibernetico.
In conclusione: facciamo sì che questo strumento venga sempre di più valorizzato perché le minacce future saranno sempre più pervasive e continuative.
Articolo pubblicato su Agenda Digitale il 17 gennaio 2022.