Strategia nazionale di cybersicurezza: cos’è, obiettivi, tempi, funzionamento

Niccolò Ellena

27 Maggio 2022 - 20:31

Il Governo italiano ha rilasciato il Piano strategico per la sicurezza nazionale e il Piano di attuazione che delineano il percorso che il Paese seguirà in quest’ambito nei prossimi quattro anni

Strategia nazionale di cybersicurezza: cos’è, obiettivi, tempi, funzionamento

L’Italia sta attraversando un momento di transizione digitale. Non senza difficoltà, il Paese si sta muovendo verso un futuro più integrato con la rete, fatto di processi automatizzati e intelligenza artificiale. Nel mezzo di questa transizione si trovano però molti rischi e difficoltà, alcuni dei quali si sono manifestati molto spesso di recente, come gli attacchi DDoS e ransomware.

Per contrastare la pirateria informatica in crescita, l’Italia è stata chiamata a organizzarsi per proteggersi da queste minacce, e per farlo si è avvalsa di figure di rilevanza internazionale come Vittorio Colao e Roberto Baldoni.

La consapevolezza della necessità di una strategia per la cyber sicurezza e del conseguente piano d’azione, serpeggiano in Italia da molto tempo. In questo senso, è stata sibillina la scelta del Primo ministro Mario Draghi, che, in fase di formazione del suo governo nel febbraio 2021, ha chiamato Vittorio Colao, ex manager di Vodafone e alumnus di Harvard per guidare la transizione digitale.

A questa scelta è seguita poi quella di Roberto Baldoni, docente ordinario di informatica presso l’università La Sapienza di Roma con alle spalle più di vent’anni di esperienza nel settore, per guidare come nuovo direttore l’Agenzia per la Cybersicurezza Nazionale da agosto 2021.

L’intersezione fra queste figure di spicco, i loro staff e gli eventi che sono intercorsi dal loro insediamento, hanno dato vita a due documenti, ossia “Documento sulla strategia nazionale 2022-2026” e il “Piano di Implementazione della Strategia Nazionale di Cybersicurezza 2022-2026”, presentati ufficialmente il 25 maggio, che sanciscono in maniera concreta il percorso italiano nei prossimi quattro anni in ambito di cybersicurezza.

Cosa prevede la Strategia nazionale di cybersicurezza 2022-2026

Il documento si apre con una riflessione sul momento di emergenza attuale, legato agli attacchi che sono stati perpetrati nei confronti delle infrastrutture italiane. Alla luce di ciò, il Piano sottolinea quattro considerazioni imprescindibili:

  • Lo Stato deve impegnarsi a definire strategia di cybersicurezza volte a rendere il dominio digitale un posto sicuro, in cui è possibile sfruttare il vantaggio competitivo che questo mette a disposizione.
  • La cybersicurezza deve essere posta alla base del processo di transizione digitale che il Paese sta affrontando, anche nell’ottica di conseguire un’autonomia strategica in questo settore.
  • La cybersicurezza non deve in alcun modo essere considerata un mero costo, bensì come un fattore abilitante per lo sviluppo del Paese che ne aumenta la competitività.
  • Insieme alla transizione verso un dominio digitale più sicuro, deve avvenire una transizione anche in ambito culturale, al fine di portare la società a comprendere l’importanza da questo ricoperto.

Stante queste nuove consapevolezze, il Governo italiano ha deciso di muoversi per concretizzare queste parole, costituendo, con il decreto legge n.82 del 14 giugno 2021, l’Agenzia Nazionale di Cybersicurezza.

L’agenzia si pone l’obiettivo di rendere maggiormente efficiente il sistema di competenze nazionale, cercando di valorizzare aspetti come la resilienza e la sicurezza, al fine di rendere lo spazio cibernetico più sicuro.

Le sfide da affrontare sono numerose e complesse. L’agenzia ha individuato alcuni rischi che è necessario arginare al più presto, come ad esempio gli attacchi cyber che prendono di mira le infrastrutture italiane, i rischi connessi alla catena di approvvigionamento nazionale e la diffusione della disinformazione attraverso il dominio cibernetico.

Emergono quindi alcune nuove priorità, come rinnovare la struttura digitale della pubblica amministrazione, dal momento che si tratta di una componente fondamentale nel tessuto sociale italiano; promuovere l’autonomia strategica nazionale ed europea nel settore del digitale; e riuscire infine ad anticipare e gestire l’evoluzione delle minacce cibernetiche.

All’interno del documento sono elencate alcune delle fonti dal quale sarà possibile attingere economicamente per mettere a frutto il Piano; fra quelli elencati svetta sugli altri il Piano Nazionale di Ripresa e Resilienza (PNRR), che ha destinato alla cybersecurity ben 623 milioni di euro.

Per poter affrontare queste sfide, è necessario che gli obiettivi siano ben chiari; per renderli tali, l’agenzia li ha divisi in tre categorie, ossia obiettivi di protezione, di risposta e di sviluppo.

In termini di protezione, è fondamentale lavorare su questioni come la definizione e l’aggiornamento di un quadro giuridico nazionale aggiornato e coerente con la nascita di nuove minacce e tecnologie e il monitoraggio del panorama globale dei rischi cyber, così da potersi adeguare i propri sistemi di protezione di conseguenza.

È inoltre necessaria una maggior protezione per le infrastrutture della pubblica amministrazione; la collaborazione tra realtà del settore pubblico e del privato per la protezione delle infrastrutture nazionali; la promozione dello strumento della crittografia come mezzo di difesa contro le minacce cibernetiche e infine l’implementazione di una strategia a livello nazionale per contrastare la disinformazione online.

Così come per la protezione, è necessario trovare delle risposte risposte concrete da utilizzare per contrastare le minacce, queste risposte includono: la creazione di un sistema di gestione delle crisi cibernetiche nazionale; l’integrazione di nuovi servizi in ambito di cybersecurity quali sistemi di raccolta delle informazioni relative alle minacce; un sistema di notifica efficiente al CSIRT (Computer Security Incident Response Team) e la realizzazione di un nuovo centro di raccolta e analisi delle informazioni presso l’Agenzia, che contribuisca all’aumento della resilienza informatica.

È fondamentale trovare e instaurare una collaborazione con aziende capaci di fornire supporto al CSIRT in materia di incident response, con l’obiettivo di favorire l’interazione tra settore pubblico e privato; organizzare periodiche esercitazioni volte a verificare il livello di resilienza delle infrastrutture; e contrastare il cyber crime in ogni sua forma anche attraverso il rafforzamento delle capacità di deterrenza in ambito cibernetico.

Infine, vi sono poi dei progetti che è necessario realizzare per raggiungere lo sviluppo della cybersecurity italiana; questi includono, ad esempio, l’apertura del Centro Nazionale di Coordinamento (CNC), il quale è chiamato a supportare lo sviluppo e il potenziamento dell’autonomia tecnologica e digitale dell’Unione europea e del nostro Paese.

Insieme al CNC è in programma anche la realizzazione di un “Parco Nazionale della Cybersicurezza” che, fondendo le competenze diverse provenienti dai vari settori, deve fornire tutte le infrastrutture tecnologiche necessarie allo svolgimento di attività di ricerca e sviluppo nell’ambito della cybersecurity e delle tecnologie digitali.

Il Piano sottolinea poi quanto sia diventato importante lavorare per lo sviluppo di tecnologia nazionale ed europea, così da ridurre la dipendenza da quella proveniente da Paesi extra-UE, attraverso l’avvio di nuovi progetti.

Come verrà fatta la cybersecurity italiana

Il documento, composto da 82 punti, è stato redatto per mettere in luce la strategia per concretizzare gli obiettivi stabiliti.

Il Piano prevede la possibilità di essere modificato qualora il Comitato Interministeriale per la Cybersicurezza sia concorde con il Presidente del Consiglio, al fine di poterlo adattare agli eventuali cambiamenti e avvenimenti che si verificheranno in futuro.

Per rafforzare lo scrutinio tecnologico, ad esempio, è necessario supportare e proteggere la supply chain, investire nello sviluppo dei Centri di Valutazione del Ministero dell’Interno e del Ministero della Difesa accreditati dall’Agenzia Nazionale di Cybersecurity e attivare nuclei ispettivi che monitorino la corretta applicazioni delle normative vigenti in materia di cyber sicurezza.

Per definire e mantenere un quadro giuridico nazionale aggiornato e coerente è necessario supportare lo sviluppo e valutare l’adeguatezza in termini di sicurezza nazionale degli schemi di certificazione in materia di cyber sicurezza, per poi successivamente introdurre norme giuridiche che valorizzino l’inclusione di elementi di sicurezza cibernetica nei vari enti, tra cui la pubblica amministrazione.

È necessario in in particolare tutelare gli ambienti della pubblica amministrazione promuovendo linee guida e campagne di sensibilizzazione dei rischi che possono presentarsi, promuovendo l’utilizzo di una strategia zero trust.

Sempre in ambito di pubblica amministrazione, è fondamentale coordinare interventi di potenziamento delle capacità di identificazione, monitoraggio e controllo del rischio cyber, oltre che a fornire un servizio cloud dedicato che sia protetto e aggiornato contro le minacce esterne.

Per sviluppare la capacità di protezione per le infrastrutture nazionali gli enti competenti devono promuovere l’utilizzo delle migliori pratiche di gestione dei domini di posta elettronica della pubblica amministrazione, lo sviluppo e l’implementazione di un servizio nazionale di gestione delle copie dei backup.

Similarmente, per promuovere l’uso della crittografia, è necessario implementarla sin dai primi momenti di programmazione delle reti, delle infrastrutture e dei servizi, lavorando per divulgare i benefici che questa porta in termini di sicurezza.

Per gestire le crisi in ambito cyber a livello nazionale e internazionale, il Paese deve creare un sistema di coordinamento che coinvolga tutte le amministrazioni competenti perché garantiscano la gestione dei vari scenari, promuovendo meccanismi coordinati a livello europeo e rendendo rapide le modalità di segnalazione al CSIRT. Così facendo, sarà più semplice e immediato aggiornare le procedure di gestione del rischio in base ai nuovi scenari.

In aiuto verranno, secondo il piano, anche le simulazioni di attacco, che devono essere condotte periodicamente sia su scala nazionale che internazionale al fine di mantenere sempre una capacità di pronto intervento.

Nell’ambito del Centro Nazionale di Coordinamento, la guida afferma la necessità di coinvolgere la società civile nella promozione e nella diffusione di progetti per aumentare la consapevolezza comune.

Per promuovere lo sviluppo industriale tecnologico e della ricerca lo Stato è chiamato a promuovere e agevolare le aziende che offrono prodotti e servizi in ambito cybersecurity e creare un Piano per l’industria cyber nazionale volto a sostenere imprese e startup.

Per dare un impulso all’innovazione tecnologica e alla digitalizzazione, il Piano sostiene che è necessario mettere in atto attività di promozione che permettano all’Italia di raggiungere una maggiore indipendenza riguardo ai prodotti e ai processi in ambito informatico di rilevanza strategica, favorire la ricerca e lo sviluppo, specialmente nelle PMI innovative e promuovere la digitalizzazione e l’innovazione del sistema produttivo nazionale, negli internet exchange point e nella pubblica amministrazione, anche mediante l’impiego delle risorse del PNRR.

La formazione nel Piano gioca un ruolo strategico a tutti i livelli: propone infatti di promuovere gli ITS (istituti tecnici superiori), corsi di laurea triennale e magistrale e dottorati di ricerca in ambito di cybersecurity per allineare la domanda di mercato alle competenze disponibili.

Alla cooperazione viene infine assegnato un ruolo di punta: la guida sostiene infatti che è importante rafforzare il ruolo dell’Italia all’interno dei tavoli di lavoro multilaterali impegnati in ambito di sicurezza cibernetica, rafforzare la cooperazione con altri Paesi in generale per contribuire alla stabilità e alla sicurezza dello spazio cibernetico

Inoltre, l’Italia dovrebbe continuare a stipulare accordi bilaterali e multilaterali con i Paesi di interesse strategico, prevedendo anche lo sviluppo contribuendo attivamente, in ambito di Unione europea, all’individuazione delle priorità di ricerca e sviluppo per raggiungere l’obiettivo dell’autonomia tecnologica UE nel settore digitale.

Appare chiaro dunque, secondo questo Piano strategico, che nei prossimi quattro anni lo Stato interverrà per cercare di introdurre sempre in maniera più concreta il concetto di cyber sicurezza, coinvolgendo tutti gli attori della società, statali e non, per avere sempre una maggiore comprensione di questo tema, mai delicato quanto adesso.

Iscriviti a Money.it