Agenzia per la cybersicurezza nazionale: la direzione è quella giusta

Sono passati poco più di due mesi (era il 4 agosto 2021 quando la legge era stata pubblicata in Gazzetta ufficiale) dalla nascita ufficiale dell'Agenzia per la cybersicurezza nazionale, organo che riporta direttamente alla Presidenza del Consiglio dei ministri. La genesi di questa agenzia è stata chiara fin da subito: garantire la massima resilienza del perimetro cyber nazionale; garantendo l'erogazione ininterrotta di tutti i servizi della Pubblica Amministrazione e il ripristino nel minor tempo possibile degli stessi in caso di Cyber Attacco.

Insomma, una ricetta – tra l'altro già in cantiere da tempo – per evitare un ripetersi di situazioni come il fin troppo citato caso Ced Lazio. Non solo, come recita il testo della legge, questa ha anche compiti d'informazione e sicurezza in ambito informatico, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico (infrastrutture critiche, società informatiche, sanitarie, finanziarie...), con funzioni di coordinamento a livello nazionale.

Quindi, un obiettivo macro definito, ma che deve essere concretizzato. Non un compito semplice, se vogliamo utilizzare un eufemismo, anche perché l'Acn in un certo senso raccoglie l'eredità e razionalizza la governance dell'intera cyber security nazionale; prima disperse in vari dipartimenti e/o ordinamenti.

Dobbiamo comunque ricordare che il tema della Cyber Investigation rimane appannaggio della Polizia Postale, mentre tutta la parte di Cyber Intelligence rimane sfera e argomento del Dipartimento delle informazioni per la sicurezza, anche noto come Dis. Dis, tra le altre cose, da cui proviene il direttore dell'Acn Roberto Baldoni.

Come ammesso da Baldoni stesso, l'Italia è partita in svantaggio rispetto ai nostri cugini europei, dove la Germania ha inaugurato la sua agenzia nel 1991 e la Francia nel 2006. Anche se già erano stati fatti passi importanti con il Dis e il Csirt Italia. Centri che comunque hanno permesso a quella che è già la prima ossatura dell'Acn di acquisire un grande bagaglio di conoscenze e competenze.

E sono proprio le competenze uno degli ostacoli che dovrà superare l'agenzia. Non dobbiamo dimenticare che la formazione di risorse qualificate nella sfera della cyber security è un problema antecedente alla formazione dell'Acn e che non riguarda solo la Pubblica Amministrazione, ma anche il settore privato.

Questo, assieme al tema dell'awareness è un argomento cross. È auspicabile quindi che le tematiche relative alla promozione della cyber igiene in tutti gli strati dell'economia e quelle della formazione di personale qualificato siano parte dell'agenda prefissata dall'Acn. Al momento questa conta circa 90 dipendenti – prestati dal Dis – ma punta a raggiungere 300 persone entro la fine del 2022 e oltre 800 in prospettiva 2027.

Il compito sarà quindi quello di assicurarsi che confluiscano le migliori risorse all'interno dell'agenzia. Se propriamente supportato lato formazione questo inserimento non potrà che avere successo, ma questo richiede sicuramente investimenti anche a monte dell'hiring del personale.

Da non sottovalutare è anche la funzione di collante che dovrà svolgere l'Acn. Infatti ad essa è stato affidato il compito sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (Csirt) italiano e l'avvio operativo del Centro di valutazione e certificazione nazionale.

Allo stesso modo questo dovrà porsi anche come interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva Nis), e della sicurezza delle reti di comunicazione elettronica.

L'elenco dei compiti affidati all'agenzia, insomma, è lungo. Da un lato avrà una funzione strategica, dall'altro operativa. Un altro nodo sicuramente da sciogliere sarà quello della calibrazione delle attività di supporto. Cosa significa? Significa che l'Acn, andando ad operare e a tutelare le infrastrutture critiche si troverà a lavorare fianco a fianco sia con la Pubblica Amministrazione, ma anche con entità private (pensiamo al settore energia).

È ovvio che qui saranno necessarie delle regole d'ingaggio onde evitare conflitti d'interesse o creare vantaggi competitivi involontari per le aziende a cui l'Acn presterà il suo supporto. Stabilire priorità d'intervento, assegnazione di risorse ed effort sarà una delle complessità nascoste più impegnative quando l'agenzia andrà effettivamente ad operare sul campo appieno. Non dobbiamo sorprenderci quindi che vi siano vari step e che possa sembrare da lontano che la fase di costruzione dell'Acn stia andando a rilento.

In realtà la serie di ostacoli, di esigenze a cui questa deve e dovrà rispondere e le complessità normative e organizzative che le si pongono di fronte non solo giustificano questo approccio più studiato e ponderato, ma lo rendono assolutamente imprescindibile per il successo della stessa.

Non dobbiamo dimenticare che l'Acn è nata ufficialmente negli stessi giorni in cui è esploso il caso Ced Lazio, mettendo forse l'organo sotto una pressione che in situazioni normali non sarebbe stata percepita. Ma la bontà del percorso scelto rimane, l'agenzia è un istituto particolarmente utile a semplificare e coordinare un ambito estremamente complesso sia dal punto di vista tecnologico che normativo. Non abbassiamo la guardia!

YOU MAY ALSO LIKE