Il nuovo Piano Nazionale per la protezione cibernetica e la sicurezza informatica è stato comunicato sulla Gazzetta ufficiale numero 125 del 31 maggio 2017. Il documento (qui il link), adottato dal Presidente del Consiglio su deliberazione unanime del Cisr (Comitato interministeriale per la sicurezza della Repubblica) e registrato dagli Organi di controllo, persegue diversi obiettivi a livello strategico e operativo.
Come specificato nella prefazione del documento: “Il Piano Nazionale per la protezione cibernetica e la sicurezza informatica, in linea di continuità con quello relativo al biennio 2014-2015 e alla luce dell’esperienza maturata nel corso dello stesso, individua gli indirizzi operativi, gli obiettivi da conseguire e le linee d’azione da porre in essere per dare concreta attuazione al Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico (QSN), alla luce degli indirizzi per la protezione cibernetica e la sicurezza informatica indicati dal Presidente del Consiglio dei Ministri nella sua qualità di Organo di vertice dell’architettura nazionale cyber”.
I 6 punti del Piano Nazionale per la protezione cibernetica e la sicurezza informatica
Il nuovo Piano Nazionale per la protezione cibernetica e la sicurezza informatica è stato rivisitato congiuntamente dalle Amministrazioni che compongono l’architettura nazionale cyber (Comparto intelligence, Ministero degli affari esteri e della cooperazione internazionale, Ministero dell’interno, Ministero della difesa, Ministero della giustizia, Ministero dell’economia e delle finanze, Ministero dello sviluppo economico, Agenzia per l’Italia digitale, Ufficio del Consigliere militare del Presidente del Consiglio), e fa tesoro sia dell’esperienza maturata negli ultimi anni, sia delle scelte operate nel settore dai Paesi tecnologicamente più avanzati. Il documento mira a sviluppare gli indirizzi strategici previsti, tra i quali si ricordano:
- il potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese
- il miglioramento delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati
- l’incentivazione della cooperazione tra istituzioni ed imprese nazionali
- la promozione e diffusione della cultura della sicurezza cibernetica
- il rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica
- il rafforzamento delle capacità di contrasto alle attività e contenuti illegali on-line
Come recita il comunicato del DIS (Dipartimento delle informazioni per la sicurezza) il Piano stabilisce la roadmap relativa all’adozione da parte dei soggetti pubblici e privati (di cui al DPCM 17 febbraio 2017 recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali) delle misure prioritarie per l’implementazione del Quadro Strategico Nazionale, sulla base di un dialogo in continua evoluzione che vede nella protezione cibernetica e nella sicurezza informatica nazionali non solo un obiettivo, ma soprattutto, un processo che coinvolge tutti gli attori interessati, a vario titolo, alla tematica cyber.
Cosa cambia nel nuovo piano per la cybersecurity?
Cosa cambia rispetto al biennio precedente? In sintesi, le principali direttrici dell’intervento di revisione si sono focalizzate in particolar modo sull’operatività delle strutture nazionali di incident prevention, response e remediation, e il potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare. Ecco in dettaglio i punti fondamentali:
- Revisione del Nucleo per la Sicurezza Cibernetica
- Contrazione della catena di comando per la gestione delle crisi cibernetiche
- Riduzione della complessità dell’architettura nazionale, mediante soppressione/ accorpamento di organi
- Progressiva unificazione dei CERT
- Istituzione di un centro di valutazione e certificazione nazionale ICT
- Fondazione o Fondo di venture capital • Istituzione di un Centro nazionale di ricerca e sviluppo in cybersecurity
- Costituzione di un Centro nazionale di crittografia
L’obiettivo è chiaro: innalzare i parametri di sicurezza dei sistemi e delle reti del nostro Paese, cui il recente DPCM intende fornire un deciso impulso anche in vista del recepimento della Direttiva UE NIS (Network and Information Systems), recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.
Tre le direttrici della cybersecurity espresse dal Piano. Il primo è fare leva sulle competenze e sulle responsabilità dei diversi attori che costituiscono la struttura portante del tessuto cyber nazionale, con un coordinamento che prevede un modello di interazione a livello di networking tra soggetti pubblici, privati e mondo della ricerca sia a accorciare e razionalizzare, rispetto al passato, la catena di comando deputata alla gestione delle crisi. A tal fine è attribuito al Direttore generale del DIS un ruolo attivo e centrale nell’architettura nazionale di sicurezza cibernetica.
Il secondo è definire una cybersecurity a livello di sistema, partendo dal perimetro di copertura degli assetti di difesa comuni (è prevista una stretta ed efficace interazione del CERT Nazionale e del CERT della Pubblica Amministrazione), ma anche dalla standardizzazione e la certificazione di soluzioni software e hardware (istituendo presso il MISE un centro di valutazione e certificazione nazionale per la verifica dell’affidabilità della componentistica ICT destinata ad infrastrutture critiche e strategiche).
Il terzo è identificare le funzioni manageriali/professionali critiche e procedure tali da imporre una condivisione degli eventi cibernetici significativi (al superamento di determinate soglie di gravità) in una logica colaborativa e proattiva
L’adozione delle misure previste dal Piano Nazionale per la protezione cibernetica e la sicurezza informatica saranno finanziate con i fondi assegnati dal Governo al Comparto intelligence. La buona notizia è che le risorse previste per il 2017 sono già state destinate ad iniziative per rafforzare la prevenzione nel campo della sicurezza informatica e cibernetica nazionale, in particolar modo all’assunzione di risorse professionali e alla realizzazione di progetti ICT.