Si è svolta ieri a Palazzo Chigi una riunione del Cisr (Comitato Interministeriale per la Sicurezza della Repubblica), presieduto dal Presidente del Consiglio Paolo Gentiloni, di cui fanno parte i ministri degli Affari Esteri, dell’Interno, della Difesa, della Giustizia, dell’Economia e delle Finanze e dello Sviluppo Economico, ed oggi integrato con la partecipazione del ministro per la Semplificazione e la Pubblica Amministrazione.

Il Cisr – ha spiegato in una nota il Dipartimento delle informazioni per la Sicurezza (Dis) diretto dal prefetto Alessandro Pansa – ha approvato un programma nazionale per la cyber security in più fasi e il presidente del Consiglio ha oggi adottato durante la riunione un nuovo decreto che sostituisce il Dpcm Monti del 24 gennaio 2013, che ha finora regolato l’architettura nazionale per la sicurezza cibernetica.

Il nuovo provvedimento, “nelle more del recepimento della direttiva europea Nis (Network and Information Security) – rafforza il ruolo del Cisr che emanerà direttive con l’obiettivo di innalzare il livello della sicurezza informatica del Paese, e si avvarrà in questa attività del supporto del coordinamento interministeriale delle amministrazioni Cisr (il cosiddetto Cisr tecnico) e del Dis”.

Tra le novità “il Nucleo Sicurezza Cibernetica (Nsc) viene ricondotto all’interno del Dis ed assicurerà la risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei ministeri competenti in materia”.

È inoltre “prevista una forte interazione con l’Agenzia per l’Italia Digitale (Agid) del Dipartimento della Funzione Pubblica, con il Ministero dello Sviluppo Economico, con il Ministero dell’Interno, con il Ministero della Difesa e, infine, con il Ministero dell’Economia e Finanze”.

Il nuovo decreto, si legge ancora, “attribuisce poi al direttore generale del Dis il compito di definire linee di azione che dovranno portare ad assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, sia pubblici che privati, verificandone ed eliminandone le vulnerabilità”. Per la realizzazione di tali iniziative, spiega il Dis, “è previsto il coinvolgimento del mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, così come una diffusa collaborazione con le imprese di settore”.

Con il nuovo Dpcm, è il direttore generale del Dis a dover adottare le iniziative idonee a definire le necessarie linee di azione per innalzare i migliorare i livelli di sicurezza dei sistemi e delle reti, perseguendo, in particolare, l’individuazione e la disponibilità dei più adeguati ed avanzati supporti tecnologici. Sempre il capo del Dis predispone gli opportuni moduli organizzativi, di coordinamento e di raccordo, prevedendo il ricordo anche a professionalità delle pubbliche amministrazioni, degli enti di ricerca pubblici e privati, delle università e di operatori economici privati.

Nello specifico, il Nucleo per la sicurezza cibernetica (Nsc), d’ora in poi incardinato presso il Dis (era sotto il controllo dell’Ufficio del Consigliere militare di Palazzo Chigi), svolge funzioni di raccordo tra le diverse componenti dell’architettura istituzionale che intervengono a vario titolo nella materia della sicurezza cibernetica, nel rispetto delle competenze attribuite dalla legge a ciascuna di esse.

In particolare, nel campo della prevenzione e della preparazione ad eventuali situazioni di crisi cibernetica, il Nucleo: promuove la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l’elaborazione delle necessarie procedure di coordinamento interministeriale, in raccordo con le pianificazioni di difesa civile; mantiene attiva, 24 ore su 24, 7 giorni su 7, l’unità per l’allertamento e la risposta a situazioni di crisi cibernetica; valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della sicurezza cibernetica, e procedure di condivisione delle informazioni anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi; acquisisce le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell’integrità significativi ai fini del corretto funzionamento delle reti e dei servizi dal ministero dello Sviluppo economico (che gestisce il Cert Nazionale), dagli organismi di informazione per la sicurezza, dalle Forze di polizia e, in particolare, dal Cnaipic nell’esercizio dei servizi di protezione informatica delle infrastrutture critiche, dalle strutture del ministero della Difesa e dai Cert; promuove e coordina, in raccordo con il Mise e l’Agid, lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica; costituisce punto di riferimento nazionale per i rapporti con l’Onu, la Nato, l’Ue, altre organizzazioni internazionali ed altri Stati.

Ai fini dell’attivazione delle azioni di risposta e ripristino rispetto a situazioni di crisi cibernetica, il Nucleo: riceve, anche dall’estero, le segnalazioni di evento cibernetico e dirama gli allarmi alle amministrazioni e agli operatori privati; valuta se l’evento assume dimensioni, intensità o natura tali da non poter essere fronteggiato dalle singole amministrazioni competenti in via ordinaria, ma richiede l’assunzione di decisioni coordinate in sede interministeriale, provvedendo in tal caso, allo svolgimento delle attività di raccordo e coordinamento; informa tempestivamente il Presidente, per il tramite del direttore generale del Dis, sulla situazione in atto; elabora appositi report sullo stato di attuazione delle misure di coordinamento ai fini della preparazione e gestione della crisi e li trasmette al ‘Cisr tecnico’ (organismo collegiale di coordinamento presieduto dal dg del Dis e composto dai dirigenti di vertice delle Amministrazioni rappresentate nel Cisr. Svolge attività preparatoria delle riunioni del Cisr dedicate al tema della cyber security, e non solo).

Il nuovo Nucleo riferisce direttamente al direttore generale del Dis (in questo caso il prefetto Alessandro Pansa), per la successiva informazione al Presidente del Consiglio e al Comitato interministeriale per la sicurezza della Repubblica (Cisr). Del Cisr fanno oggi parte il presidente del Consiglio, l’autorità delegata all’intelligence (che oggi è lo stesso Gentiloni visto che finora ha mantenuto per sé la delega), i ministri di Interno, Difesa, Giustizia, Economia e Sviluppo economico e il direttore del Dis che ne è il segretario.

Tra le altre cose, il Cisr: partecipa, in caso di crisi cibernetica, alle determinazioni del Presidente, con funzioni di consulenza e di proposta, nonché di deliberazione in alcuni casi specifici; propone al Presidente l’adozione del quadro strategico nazionale; delibera il piano nazionale per la sicurezza dello spazio cibernetico, sulla cui attuazione esercita anche funzioni di sorveglianza.

Al Presidente del Consiglio dei ministri è affidata l’alta direzione e la responsabilità generale della politica dell’informazione per la sicurezza. In tale funzione, egli provvede anche al coordinamento delle politiche dell’informazione per la sicurezza; impartisce le direttive e, sentito il Cisr, emana le disposizioni necessarie per l’organizzazione e il funzionamento del Sistema.

I COMMENTI

“Le decisioni prese oggi dal Cisr (Comitato interministeriale per la sicurezza della Repubblica) collocano definitivamente il baricentro della cyber security italiana all’interno del Sistema delle informazioni per la sicurezza”. A dirlo a Cyber Affairs è Adriano Soi, già Prefetto e Responsabile della Comunicazione Istituzionale del Dis (Dipartimento delle informazioni per la sicurezza), oggi docente di Security Studies alla Scuola “Cesare Alfieri” dell’Università di Firenze.

Nel nuovo programma, spiega Soi “sono importanti il ruolo del Cisr e della sua articolazione tecnica al quale si lega, da un punto di vista più strettamente operativo, il nuovo collocamento del Nucleo per la sicurezza cibernetica, che passa al Dis (Dipartimento delle informazioni per la sicurezza)”. Si tratta, per l’esperto “di un assetto che dovrà essere definitivamente consolidato, dal punto di vista normativo, in sede di recepimento della Direttiva europea Nis”.

Tuttavia, si sottolinea, “i provvedimenti assunti confermano la assoluta necessità della collaborazione pubblico-privato come base per ogni azione di rafforzamento della sicurezza cibernetica nazionale e l’importanza del coinvolgimento dei centri di ricerca accademici per consentire la messa a punto di tecnologie nazionali a servizio della sicurezza nazionale”.Ora, conclude Soi, “per dare concrete gambe operativi ai nuovi assetti operativi è fondamentale però dare continuità all’impegno finanziario a favore della cyber security, iniziato dal precedente governo con lo stanziamento di 150 milioni di euro”

Per Corrado Giustozzi, esperto di sicurezza cibernetica presso l’Agenzia per l’Italia Digitale (Agid) per lo sviluppo del Cert della Pubblica Amministrazione e membro del Permanent Stakeholders’ Group dell’Agenzia dell’Unione Europea per la Sicurezza delle Reti e delle Informazioni (Enisa) “con il Dpcm approvato questa mattina, che abroga il precedente analogo Dpcm del 24 gennaio 2013 (il cosiddetto Decreto Monti), l’architettura che l’Italia si era data per la difesa dello spazio cibernetico nazionale viene riorganizzata e razionalizzata”.

“L’organismo principale, il Comitato Interministeriale per la Sicurezza della Repubblica (Cisr)”, prosegue Giustozzi, “viene rafforzato nel suo ruolo e nei suoi poteri anche in conseguenza di quanto già stabilito nella legge 11 dicembre 2015 n. 198. In particolare, al Cisr viene assegnata la facoltà di emanare direttive al fine di innalzare il livello della sicurezza informatica del Paese, avvalendosi a tal fine del supporto del cosiddetto Cisr Tecnico e del Dipartimento per le Informazioni e la Sicurezza (Dis). Scompaiono pertanto sia il Comitato Scientifico sia il cosiddetto Nisp, strutture tecniche precedentemente poste a supporto del Cisr, ma effettivamente ridondanti, per lasciare il posto ad un’organizzazione più snella”.

Cuore operativo dell’architettura, aggiunge l’esperto, “è ancora il Nucleo per la Sicurezza Cibernetica (Nsc), composto da rappresentanti dei ministeri principali, delle agenzie di intelligence, del Dipartimento della protezione civile e dell’Agenzia per l’Italia digitale. A differenza di prima, però, il Nsc è adesso posto alle dipendenze del Dis e non più dell’Ufficio del Consigliere militare del Presidente del Consiglio. Il Nsc può inoltre avvalersi, ad esempio in caso di risposta ad una crisi, del supporto di tutti i Cert previsti nel quadro strategico nazionale”.

Nella nuova architettura, conclude Giustozzi, “l’Agid viene chiamata ad assumere un ruolo più incisivo di quanto non avesse in passato, ed è inoltre posto maggiore accento sulla cooperazione tra i ministeri chiave, ma anche tra le strutture di sicurezza e gli operatori privati, il mondo accademico e quello della ricerca. Il governo strategico dell’architettura è infine assegnato al Dis, che attraverso il suo Direttore Generale ha il compito di definire le linee di azione per la crescita ed il rafforzamento delle capacità difensive e preventive del sistema Paese”.

Secondo Pierluigi Paganini, esperto di cyber security ed intelligence, security advisor di istituzioni internazionali e membro del gruppo di lavoro italiano cyber al G7 “il nuovo programma nazionale in materia in materia cyber security approvato oggi dal Cisr nasce dall’esigenza di elevare il livello di sicurezza in risposta all’intensificarsi degli attacchi cibernetici contro le infrastrutture del nostro paese ed al crescente livello di complessità che li caratterizza.A mio giudizio”, rileva Paganini, “tra i principali problemi dell’infrastruttura di sicurezza nazionale sotto il profilo cyber vi sono: una modesta capacità di condivisione delle informazioni in ambito nazionale, ma soprattutto con altri Stati; scarso coinvolgimento del cittadino e conseguente assenza di una consapevolezza della minaccia cibernetica del sistema Italia; e scarsa collaborazione tra attori privati ed istituzione per la salvaguardia del patrimonio informativo nazionale”.

“Premesso ciò”, aggiunge l’esperto, “è palese la necessità di un organismo di controllo specializzato in cyber sicurezza, ed in tal senso lo spostamento del Nucleo per la sicurezza cibernetica (Nsc) è un importante passo avanti. La scelta di ricondurre tale organismo all’interno del Dipartimento delle informazioni per la sicurezza (Dis) è fondamentale proprio per il superamento dei problemi enunciati”.

Nel decreto, rileva Paganini, “si fa esplicito riferimento alla Direttiva europea Nis che stabilisce i requisiti minimi per la sicurezza informatica per gli operatori di infrastrutture critiche. Occorre ricordare che questa direttiva ha un impatto significativo su tutte le imprese che forniscono servizi essenziali e gestiscono le infrastrutture critiche in diversi settori, tra cui l’energia, sanità, trasporti, banche, e servizi digitali.

E che la Nis stabilisce norme comuni di sicurezza informatica e mira a intensificare la cooperazione tra i Paesi dell’Ue e fornitori di servizi digitali, altro punto dolente nell’attuale panorama italiano. In questo senso, al nuovo organismo è richiesto il coordinamento ed il monitoraggio delle attività per l’implementazione di standard minimi di sicurezza informatica”.

Secondo l’esperto, “è responsabilità degli addetti ai lavori dover fornire il necessario supporto alle istituzioni. La sicurezza informatica non è considerabile un’esigenza, ma una questione di sopravvivenza. Importante è l’apertura del Dis, e conseguentemente delle sue divisioni, al coinvolgimento del mondo accademico e della ricerca. Nel settore privato abbiamo molte eccellenze che troppo spesso sono oggi escluse dai principali gruppi di lavoro nazionali in materia cyber. Non possiamo più permetterlo. Collaborazione e condivisione solo le parole d’ordine per assumere una corretta postura di sicurezza dinanzi ad una preoccupante minaccia cyber”.

Stefano Mele, avvocato specializzato in Diritto delle Tecnologie, Privacy, Sicurezza delle Informazioni e Intelligence, valuta che “da più parti si era chiesta a gran voce una semplificazione dell’architettura nazionale in materia di sicurezza cibernetica. La decisione di oggi del Cisr di spostare il Nucleo per la sicurezza cibernetica dalla competenza dell’Ufficio del Consigliere militare di Palazzo Chigi a quella del Dipartimento delle informazioni per la sicurezza (Dis), accorciando di fatto la catena di comando, assicura non solo quanto auspicato, ma anche un raccordo ed una costante osmosi informativa con tutte le strutture dei ministeri competenti in materia”.

“Ciò”, rileva l’esperto, “va soprattutto nella direzione di dare una risposta sempre più coordinata ed efficace alle minacce cibernetiche rilevanti per la sicurezza nazionale. Inoltre, non si può che guardare con estremo favore anche al consolidarsi del rapporto di cooperazione tra governo e mondo accademico e della ricerca teso a definire al più presto, sotto l’egida del direttore generale del Dis, le linee di azione volte ad assicurare i necessari livelli di sicurezza dei sistemi e delle reti informatiche di interesse strategico”.

Mele conclude dicendo che “nell’attesa di leggere il testo del nuovo programma nazionale per la sicurezza dello spazio cibernetico, l’auspicio non può che essere quello che al settore vengano garantiti finalmente dei fondi adeguati e mirati”.

Luigi Martino, teaching and research assistant in Ict policies e cyber security all’Università di Firenze considera che “Il Dpcm evidenzi come le tematiche legate alla cyber security siano strettamente connesse con la sicurezza nazionale e quindi – ampliando il raggio di azione della Legge 124 del 2007 – individua nei servizi di intelligence la sede naturale anche per la difesa dello spazio cibernetico, inteso come centro nevralgico del Sistema Paese”. “Fondamentale”, aggiunge l’esperto, “è stato aver aggiornato l’assetto esistente con le azioni intraprese a livello europeo con – direttiva Nis – e Nato – con azioni di difesa attiva portate avanti dal Nucleo per la sicurezza cibernetica (Nsc). Inoltre è molto positivo il ruolo riconosciuto agli attori privati specializzati nel settore delle Ict – coinvolgendo quindi l’Agid – per lo sviluppo di tecnologie Made in Italy e dell’Accademia per la diffusione della cultura della sicurezza cyber”.

Si tratta, secondo Martino, di “una triangolazione che permette senza ombra di dubbio di allineare l’Italia con gli altri attori internazionali e garantire una difesa appropriata dello spazio cibernetico nazionale”.

Fonte: Cyber Affairs