In Gazzetta ufficiale n. 125 del 31 maggio 2017 è stato pubblicato il nuovo Piano nazionale per la protezione cibernetica e la sicurezza informatica, un ambizioso programma che ha come obiettivo principale quello di sviluppare gli indirizzi individuati dal Quadro Strategico Nazionale (QSN).
L’esigenza di una nuova misura nasce innanzitutto dall’emanazione della Direttiva 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (c.d. Direttiva NIS).
L’auspicio è quello di riuscire a raggiungere un livello di sicurezza dei sistemi, delle reti e delle informazioni attraverso l’adozione da parte dei singoli Stati Membri di una serie di disposizioni strategiche e organizzative comuni in materia di sicurezza cibernetica.
Ma in che cosa consiste? E cosa cambia nella normativa della Cyber Security con il nuovo provvedimento?
Il nuovo Piano per la protezione cibernetica
Il nuovo Piano non è solamente un aggiornamento del precedente Piano, ma ha come obiettivo quello di fornire un nuovo impulso all’ulteriore fase di sviluppo dell’architettura nazionale cyber, in continuità con l’attività svolta nel corso degli ultimi anni, e andando così a stabilire una vera e propria roadmap finalizzata all’adozione delle misure prioritarie per l’implementazione del quadro strategico.
Come è strutturato il nuovo Piano
Il piano è strutturato in una decina di punti essenziali, come:
- il potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare,
- il rafforzamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati.
Tra le altre priorità, viene individuata
- la promozione e la diffusione della cultura della sicurezza informatica,
- il miglioramento delle attività di cooperazione internazionale ed esercitazioni,
- l’operatività delle strutture nazionali di incident prevention, response e remediation,
- nuovi interventi legislativi e compliance con obblighi internazionali.
Ulteriori iniziative sono costituite
- dall’ottimizzazione della compliance ai più innovativi standard e protocolli di sicurezza,
- dal supporto allo sviluppo industriale e tecnologico,
- dalle nuove implementazioni in materia di comunicazione strategica e operativa,
- di un sistema di cyber risk management nazionale.
Per tutte le iniziative previste dal piano, è prevista altresì la conduzione di una serie di azioni che puntano a verificare l’attuazione degli interventi previsti dal Piano Nazionale per la sicurezza dello spazio cibernetico e l’efficacia delle procedure di coordinamento tra i diversi soggetti coinvolti.
Il focus sul breve termine
Considerando che l’elenco delle linee di azione su cui il nuovo Piano si sta concentrando è davvero lunghissimo, sono già state selezionate alcune azioni a cui attribuire carattere di maggiore priorità ed urgenza, selezionate in riferimento alle esigenze più sentite.
Fanno parte di questo nucleo di iniziative prioritarie
- la necessità di revisionare il Nucleo per la Sicurezza Cibernetica,
- l’accorciamento della catena di comando per la gestione delle crisi cibernetiche,
- la contrazione del livello di complessità dell’architettura nazionale, mediante soppressione o accorpamento di organi,
- la progressiva unificazione dei CERT.
Sono inoltre state inserite nelle azioni prioritarie l’istituzione di un centro di valutazione e certificazione nazionale ICT, l’istituzione di un Centro nazionale di ricerca e sviluppo in cybersecurity e la costituzione di un Centro nazionale di crittografia.
Complessivamente, il legislatore vuole pertanto cercare di utilizzare le competenze e le responsabilità dei diversi operatori interessati (sia nel pubblico che nel privato), in grado di costituire la struttura portante del tessuto cyber nazionale, per poter sviluppare positivamente il sistema di difesa cibernetica, nei modi e nei termini ambiti, e compatibilmente con la necessità di sperimentare una crescita costante e sostenibile nel medio termine.