Decreto-legge 14 Giugno 2021 n. 82: “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”.

di Giovanni Patrizi.

1.Il D.L. 14 giugno 2021, n. 82, entrato in vigore il 15 giugno 2021, contiene norme volte a fronteggiare il rischio cibernetico, ritenuto uno dei principali rischi per la sicurezza nazionale. L’impatto delle nuove tecnologie sulla società richiede sforzi aggiuntivi da parte degli enti governativi allo scopo non solo di salvaguardare il patrimonio informativo degli utenti in rete, ma anche di implementare la competitività dell’imprese. La cybersecurity, infatti, rappresenta un elemento indefettibile per lo sviluppo dell’economia rappresentando un fattore fondamentale per lo sviluppo e la crescita del paese. La strategia governativa passa attraverso l’individuazione di una nuova governance che avrà il compito di individuare piani d’azione e decisioni per la sicurezza cibernetica.
Il provvedimento completa la strategia di cyber-resilienza nazionale, avviata con la disciplina sul perimetro cibernetico, e accresce, attraverso la promozione della cultura della sicurezza cibernetica, la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.

2.Presso la Presidenza del Consiglio dei Ministri verrà istituito il Comitato interministeriale per la cybersicurezza con funzioni di consulenza, proposta e deliberazione ai fini della tutela della sicurezza nazionale nello spazio cibernetico. Il Comitato avrà il compito di affiancare l’opera del Consiglio dei Ministri nelle scelte strategiche, ma anche quello di suggerire all’esecutivo le azioni da intraprendere nell’attuazione di politiche tese a garantire la sicurezza nazionale.
Oltre al Comitato interministeriale per la Cybersecurity, il D.L. prevede all’art. 8 l’istituzione del Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, per la cura degli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento. Tale ente sarà istituito presso l’Agenzia per la cybersicurezza (art. 7 del D.L. 82/2021), ente di diritto pubblico.
L’Agenzia opererà sotto la responsabilità del Presidente del Consiglio dei ministri e dell’Autorità delegata per la sicurezza della Repubblica e in stretto raccordo con il Sistema di informazione per la sicurezza della Repubblica e sarà in particolare incaricata di: a) esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche; b) sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale; c) contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD); d) supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore; e) assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica.
Inoltre, il D.L. istituisce il Comitato interministeriale per la cybersicurezza (CIC) e prevede specifici poteri di controllo da parte del Comitato parlamentare per la sicurezza della Repubblica (COPASIR).
L’Agenzia è intesa come Centro nazionale di coordinamento italiano, che si interfaccerà con il “Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca” di recente istituzione, concorrendo ad aumentare l’autonomia strategica europea nel settore. L’Agenzia diventerà l’Autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti dei sistemi informativi, per le finalità di cui al decreto legislativo NIS [1], a tutela dell’unità giuridica dell’ordinamento e sarà l’ente competente per gli accertamenti ispettivi e per le irrogazioni delle sanzioni previste nel decreto attuativo della direttiva europea. L’Agenzia diventerà altresì l’Ente deputato al rilascio delle certificazioni come previsto dal Regolamento Europeo 2019/881 [2], il quale prevede l’obbligo per gli Stati membri di nominare un’autorità nazionale di certificazione con l’attribuzione di un pacchetto di poteri minimi tra cui rientrano quelli istruttori, ispettivi e sanzionatori (Art. 58 Reg. 2019/881).

3.Il D.L. 82/2021 individua nell’Agenzia il principale ente in materia di cybersecurity il quale assorbe numerose competenze già attribuite ad altri organi e in particolare quelle già esercitate da: a) il Ministero dello Sviluppo Economico in materia di sicurezza cibernetica; b) la Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica; c) il DIS (Dipartimento delle informazioni per la sicurezza); d) l’Agenzia dell’Italia digitale.
Tra i compiti spettanti al nuovo ente si segnalano i seguenti: i) stilare il piano annuale di cybersecurity nazionale; ii) sviluppare politiche di prevenzione, analisi e monitoraggio dei pericoli; iii) partecipare alle esercitazioni nazionali e internazionali per migliorare e comprovare l’adeguatezza delle misure; iv) promuovere un quadro giuridico e normativo anche in riferimento all’evoluzione legislativa internazionale con poteri di esprimere pareri vincolanti; v) coordinare, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale nella materia della cybersicurezza; vi) collaborare con il mondo accademico, di ricerca e del sistema produttivo nazionale, al fine di promuovere iniziative per lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche; a tale scopo il decreto legge conferisce all’Agenzia il potere di concludere accordi con le altre istituzioni e con soggetti del  settore privato; vii) collaborare con il Garante per la protezione dei dati personali in relazione agli incidenti di sicurezza che comportano data breach, ma anche per addivenire alla chiusura di accordi operativi tra le due Autorità.
L’Agenzia sarà dotata di un organico con comprovate capacità in materia di cybersicurezza da selezionare mediante concorso pubblico. Essa potrà anche avvalersi di esperti della materia tramite incarichi, a tempo determinato, di soggetti in possesso di alta e particolare specializzazione, per lo svolgimento di attività assolutamente necessarie all’operatività dell’Agenzia o per specifiche progettualità da portare a termine in un arco di tempo prefissato. La direzione dell’Agenzia sarà affidata ad un dirigente di prima fascia il cui mandato avrà una durata di quattro anni.

NOTE

[1] Decreto legislativo 18 maggio 2018, n. 65, “Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”.

[2] Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»).