Diritto penale dell’economia e dell’impresa

Cybersecurity: l’Italia vara un nuovo piano nazionale

A distanza di pochi mesi dal DPCM 17 febbraio 2017, l’Italia ha varato il nuovo Piano Nazionale per la protezione cibernetica e la sicurezza informatica. Il documento, pubblicato in Gazzetta Ufficiale il 31 maggio 2017, è il risultato di un lavoro collegiale tra tutte le amministrazioni che compongono l’architettura nazionale cyber (Comparto intelligence, Ministeri degli Affari esteri, Interno, Difesa, Giustizia, Economia, Sviluppo economico, Agenzia per l’Italia digitale (AgID) e Ufficio del Consigliere militare di Palazzo Chigi) ed individua gli indirizzi operativi, gli obiettivi da conseguire e le linee d’azione da porre in essere per dare concreta attuazione al Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico (QSN).

Tra gli indirizzi strategici rilevano in particolar modo:

  • il potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese;
  • il miglioramento delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati;
  • l’incentivazione della cooperazione tra istituzioni ed imprese nazionali;
  • la promozione e diffusione della cultura della sicurezza cibernetica;
  • il rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica;
  • il rafforzamento delle capacità di contrasto alle attività e contenuti illegali on-line.

Il Piano stabilisce, di fatto, la roadmap per effettuare il “cambio di passo” in termini di innalzamento dei livelli di sicurezza dei sistemi e delle reti del Paese, anche in vista del recepimento entro maggio 2018 della Direttiva UE Network and Information Systems (NIS) per un livello comune elevato di sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea.

A tal fine, il documento prevede uno specifico piano d’azione dedicato ad un nucleo essenziale di iniziative, cui attribuire carattere di priorità ed urgenza.

Si tratta di misure che riguardano in particolar modo l’operatività delle strutture nazionali di incident prevention, response e remediation ed il potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare. Le stesse assumono una particolare valenza sistemica in quanto:

  • puntano sulle competenze e sulle responsabilità dei diversi attori che costituiscono la struttura portante del sistema cyber nazionale, mirando da un lato ad implementare il coordinamento e l’interazione tra soggetti pubblici, privati e mondo accademico e della ricerca; dall’altro ad accorciare e razionalizzare, rispetto al passato, la “catena di comando” deputata alla gestione delle crisi. A tal fine è attribuito al Direttore generale del DIS (Dipartimento delle informazioni per la sicurezza) un ruolo attivo e centrale nell’architettura nazionale di sicurezza cibernetica, esteso anche alla gestione dei fondi assegnati dal Governo;
  • riguardano le più significative attività di approntamento del sistema di prevenzione e reazione ad eventi cyber, tra cui il perimetro di copertura degli assetti di difesa comuni (è previsto lo sviluppo di una stretta ed efficace interazione del CERT Nazionale e del CERT della Pubblica Amministrazione); la certificazione di soluzioni software e hardware (istituendo presso il MiSE un centro di valutazione e certificazione nazionale per la verifica dell’affidabilità della componentistica ICT nei confronti di infrastrutture critiche e strategiche); l’identificazione delle funzioni manageriali/professionali critiche e l’obbligo di condivisione degli eventi cibernetici significativi (ossia causa del superamento di determinate soglie di gravità).