Ha usato il migliore esempio per far capire a tutti il ruolo dell’Agenzia per la Cybersicurezza nazionale, operativa già nei prossimi giorni, dopo la conversione in legge del Parlamento al decreto-legge che l’ha istituita.
“L’Agenzia sarà un po’ come la Protezione Civile in caso di disastri informatici”, così ce la spiega, anche nel dettaglio, Maria Laura Mantovani (M5S), relatrice al Senato del decreto.
Il ruolo dell’Agenzia per la cybersicurezza nazionale
Key4biz. Quale sarà il ruolo dell’Agenzia per la cybersicurezza nazionale?
Maria Laura Mantovani. L’Agenzia avrà diverse funzioni. Innanzi tutto, ha il compito di sviluppare le capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici. Cura e promuove la definizione e il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza.
In qualità di Autorità nazionale per la cybersicurezza, avrà un ruolo autonomo e indipendente irrogando anche sanzioni. Dovrà assicurare il coordinamento tra i soggetti pubblici coinvolti nella cybersicurezza a livello nazionale, promuovendo la sicurezza cibernetica, la digitalizzazione del sistema produttivo e delle pubbliche amministrazioni, nonché l’autonomia per i prodotti e processi informatici di rilevanza strategica, a tutela degli interessi nazionali nel settore.
Assorbirà funzioni attualmente in capo ad altri soggetti pubblici. In particolare, quelle di certificazione di sicurezza precedentemente assegnate al MiSe e in materia di perimetro di sicurezza nazionale cibernetica già attribuite alla Presidenza del Consiglio. Passeranno sotto la sua competenza le funzioni già attribuite al Dipartimento delle informazioni per la sicurezza (DIS) e quelle in materia di cybersicurezza dell’Agenzia per l’Italia digitale (AgID). Coordinerà anche le azioni non assorbite che rimangono in capo ad uffici esterni. Sarà un punto di riferimento, di aiuto nella messa in opera di buone pratiche, di incremento delle competenze e adeguata formazione anche delle imprese e degli enti che si interfacceranno.
Il contributo in caso di attacchi informatici a infrastrutture critiche del Paese
Key4biz. Per quanto riguarda il sostegno ad aziende ed enti vittime di cyber-attacchi?
Maria Laura Mantovani. L’Agenzia potrà condurre le aziende e gli enti, che subiscono attacchi e intrusioni, alla risoluzione del problema. Infine, sosterrà lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche, svolgerà attività di comunicazione e promozione della “consapevolezza” in materia di cybersicurezza, “al fine di contribuire allo sviluppo di una cultura nazionale in materia” e promuoverà la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza.
Se fosse già operativa
Key4biz. Se fosse già operativa, cosa avrebbe fatto in occasione dell’attacco informatico che ha colpito la Regione Lazio e altre grandi aziende?
Maria Laura Mantovani. Fatte salve le indagini che rimangono in capo alla Polizia Postale (ed eventualmente quelle riguardanti la sicurezza nazionale), il ruolo dell’Agenzia sarebbe stato quello di interfacciarsi con la Regione per individuare l’elenco di tutti i sistemi che sono stati compromessi e capire che tipo di danno è stato fatto e quali sono state le falle che lo hanno permesso. Potrebbe quindi aiutare nel ripristino dei sistemi, indicando quali misure di sicurezza vanno introdotte e implementate per scongiurare che quanto accaduto si possa ripetere. Darà comunque le linee guida per mettere in sicurezza i sistemi informatici.
Sono operazioni che non possono essere svolte né dalla polizia postale né dai servizi di sicurezza del Paese, che invece hanno il ruolo di condurre le indagini per trovare i colpevoli, non quello di supportare chi è colpito a rimettersi in operatività. Quindi l’Agenzia, se già fosse operativa, avrebbe il compito di dare quel supporto immediato e fattivo che fino a oggi enti e aziende colpiti da attacchi cibernetici non hanno potuto ricevere per risollevarsi dai danni subiti. Possiamo pensare che l’Agenzia sarà un po’ come la Protezione Civile in caso di disastri informatici.
Key4biz. In che modo ridurrà il livello di vulnerabilità agli attacchi informatici delle infrastrutture strategiche del Paese?
Maria Laura Mantovani. Quando si tratta di proteggere le infrastrutture strategiche l’Agenzia si attiva ai più alti livelli. Presso di essa è costituito il Nucleo per la cybersicurezza a supporto del presidente del Consiglio “per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento”. Il Nucleo deve assicurare che le attività di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti, rispetto a situazioni di crisi di natura cibernetica, vengano espletate in maniera coordinata. Mantiene costantemente informato il presidente del Consiglio o l’Autorità delegata, assicurando il coordinamento per l’attuazione a livello interministeriale delle determinazioni del premier per il superamento della crisi. Raccoglie tutti i dati relativi alla crisi, elabora rapporti e fornisce informazioni, trasmettendoli ai soggetti pubblici e privati interessati. Partecipa ai meccanismi europei di gestione delle crisi cibernetiche, assicurando anche i collegamenti finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della Nato, dell’Ue o di organizzazioni internazionali di cui l’Italia fa parte.
La selezione del personale
Key4biz. Come avverrà la selezione del personale altamente qualificato?
Maria Laura Mantovani. La dotazione organica dell’Agenzia, in sede di prima applicazione, è stabilita dal decreto in un massimo di 300 unità. Per assicurarne la prima operatività, viene demandata ai decreti del Presidente del Consiglio la definizione di termini e di modalità, per trasferire funzioni, beni strumentali e documentazione, attuare le disposizioni del decreto-legge, regolare le riduzioni di risorse finanziarie relative alle amministrazioni cedenti.
La disciplina del personale è stabilita da un apposito regolamento che istituisce un ruolo del personale e la disciplina generale del rapporto d’impiego. Stabilisce anche la possibilità di procedere, oltre che ad assunzioni a tempo indeterminato attraverso modalità concorsuali, ad assunzioni a tempo determinato, con contratti privati, di soggetti in possesso di alta e particolare specializzazione debitamente documentata, individuati attraverso adeguate modalità selettive, per lo svolgimento di attività necessarie all’operatività dell’Agenzia o per specifiche progettualità da portare a termine in un arco di tempo prefissato.
Si prevede inoltre la possibilità di avvalersi di un contingente di esperti, non superiore a 50 unità, composto da personale, collocato fuori ruolo o in posizione di comando o altra analoga posizione prevista dagli ordinamenti di appartenenza, con specifica ed elevata competenza in materia di cybersicurezza e di tecnologie digitali innovative, nello sviluppo e gestione di processi complessi di trasformazione tecnologica e delle correlate iniziative di comunicazione e disseminazione, nonché di significativa esperienza in progetti di trasformazione digitale, anche sviluppo di programmi e piattaforme digitali con diffusione su larga scala
Cloud nazionale
Key4biz. Come provvederà alla qualificazione dei servizi cloud per la PA?
Maria Laura Mantovani. Tra le funzioni assegnate dal provvedimento all’Agenzia per la cybersicurezza nazionale rientra quella di provvedere alla qualificazione dei servizi cloud per la pubblica amministrazione. L’Agenzia, non più l’AgID, stabilisce i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione. Definisce inoltre le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione. Individua anche i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni verso infrastrutture ad alta affidabilità o verso altra infrastruttura propria già esistente in possesso dei requisiti fissati o verso servizi cloud. Quindi la funzione di qualificazione è quella che già oggi è svolta da AGID e, con questa norma, viene trasferita all’Agenzia.
Key4biz. Voto Elettronico. Per la simulazione in vista della sperimentazione sarà necessaria l’attività di crittografia dell’Agenzia altrimenti l’iVoting non si sperimenta?
Maria Laura Mantovani. La sperimentazione del voto elettronico è stata disposta da un emendamento presentato dal Movimento 5 Stelle nella Manovra 2020 che stanzia 1 milione di euro. L’ultimo decreto semplificazioni accelera e prevede che la sperimentazione del voto elettronico per gli elettori fuori sede per le elezioni politiche ed europee e per i referendum sia estesa anche alle elezioni regionali e amministrative. Si procederà nei termini e modi già prefissati con soluzioni crittografiche standard già esistenti e utilizzate quotidianamente su tutti i nostri sistemi informatici. Non serve una crittografia nazionale per implementare la procedura di voto elettronico. La richiesta di alcuni gruppi politici di sviluppare un algoritmo nazionale di crittografia non ha alcun senso logico, solo una bandiera propagandistica per usare l’aggettivo “nazionale” in modo improprio da parte di chi non ha nessuna competenza in ambito matematico, crittografico e nella implementazione degli standard informatici in uso. I migliori algoritmi crittografici di cui disponiamo oggi sono basati su codice sorgente aperto, sono accessibili a tutti a livello mondiale e proprio per questo sono robusti e sicuri. Nuovi algoritmi possono essere sviluppati anche in futuro, migliori di quelli attuali, ma non relegati entro i confini nazionali, bensì aperti al contributo delle migliori menti a livello mondiale. Solo così si raggiunge l’eccellenza.
Per approfondire:
Il testo del decreto-legge convertito in legge dal Parlamento in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale