Definito il sistema nazionale di sicurezza cibernetica
Con il D.L. 82/2021 il Governo crea il sistema nazionale di sicurezza cibernetica e istituisce l'Agenzia per la cybersicurezza nazionale a tutela degli interessi e della sicurezza nazionale e dello spazio cibernetico

La sicurezza cibernetica costituisce uno degli interventi previsti dal Piano nazionale di ripresa e resilienza (PNRR) trasmesso dal Governo alla Commissione europea il 30 aprile 2021. In tale ambito, la cybersecurity è uno dei 7 investimenti della Digitalizzazione della pubblica amministrazione, primo asse di intervento della componente 1 "Digitalizzazione, innovazione e sicurezza nella PA" compresa nella Missione 1 "Digitalizzazione, innovazione, competitività, cultura e turismo".

All'investimento, volto alla creazione ed al rafforzamento delle infrastrutture legate alla protezione cibernetica del Paese a partire dall'attuazione della disciplina prevista dal perimetro di sicurezza nazionale cibernetica, sono destinati circa 620 milioni di euro di cui 241 milioni di euro per la creazione di una infrastruttura nazionale per la cibersicurezza; 231 milioni di euro per il rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica PSNC; 150 milioni di euro per il rafforzamento delle capacità nazionali di difesa informatica presso il ministero dell'Interno, Difesa, Guardia di Finanza, Giustizia e Consiglio di Stato.
Architettura nazionale di cybersicurezza
Il D.L. 82/2021 definisce il sistema nazionale di sicurezza cibernetica che ha al suo vertice il Presidente del Consiglio dei ministri cui è attribuita l’alta direzione e la responsabilità generale delle “politiche di cybersicurezza” e a cui spetta l’adozione della relativa strategia nazionale e la nomina e la revoca del direttore generale e del vice direttore generale della nuova Agenzia per la cybersicurezza nazionale.
Presso la Presidenza del Consiglio dei ministri è istituito il Comitato interministeriale per la cybersicurezza (CIC), organismo con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.
Competenze del Presidente del Consiglio dei ministri
Il Presidente del Consiglio dei ministri è l’autorità al vertice dell’architettura della sicurezza cibernetica, in quanto è a lui attribuita in via esclusiva l’alta direzione e la responsabilità generale delle politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.
Inoltre, al Presidente del Consiglio spetta, sempre in via esclusiva: l’adozione della strategia nazionale di cybersicurezza, sentito il Comitato interministeriale per la cybersicurezza (CIC); la nomina e la revoca del direttore generale e del vice direttore generale della nuova Agenzia per la cybersicurezza nazionale, previa informativa al presidente del COPASIR.
Autorità delegata per la cybersicurezza
Si prevede che il Presidente del Consiglio dei ministri possa delegare all’Autorità delegata per il sistema di informazione per la sicurezza della Repubblica (di cui all’articolo 3 della legge n. 124 del 2007), ove istituita, le funzioni che non sono a lui attribuite in via esclusiva.
Comitato interministeriale per la cybersicurezza
Si istituisce, presso la Presidenza del Consiglio dei ministri, il Comitato interministeriale per la cybersicurezza (CIC), organismo con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.
Agenzia per la cybersicurezza nazionale
Si istituisce l'Agenzia per la cybersicurezza nazionale a tutela degli interessi nazionali nel campo della cybersicurezza, nonché della sicurezza nazionale nello spazio cibernetico. L’istituzione dell’Agenzia è strumentale all’esercizio delle competenze che il decreto-legge assegna al Presidente del Consiglio dei ministri e all’Autorità delegata, ove istituita.
Per lo svolgimento dei suoi compiti istituzionali, è specificato che l’Agenzia può richiedere, anche sulla base di apposite convenzioni e nel rispetto degli ambiti di rispettiva competenza, la collaborazione di altri organi dello Stato, di altre amministrazioni, delle forze di polizia o di enti pubblici.
Il decreto stabilisce che l’Agenzia ha personalità giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria.
L’Agenzia ha sede in Roma.
Gli organi dell’Agenzia sono costituiti dal direttore generale, che rappresenta l’organo di gestione, e dal collegio dei revisori dei conti, quale organo di controllo interno.
Il direttore generale è il legale rappresentante dell'Agenzia ed è il diretto referente del Presidente del Consiglio dei ministri e dell’Autorità delegata.
Il direttore dell’Agenzia è nominato dal Presidente del Consiglio dei Ministri.
L’incarico ha una durata massima di 4 anni e può essere rinnovato per un massimo di ulteriori 4 anni.
Per quanto riguarda il personale, va assicurato un trattamento economico pari a quello in godimento da parte dei dipendenti della Banca d'Italia, in base alla “equiparabilità delle funzioni svolte e del livello di responsabilità rivestito”.
La dotazione organica dell’Agenzia, in sede di prima applicazione, è stabilito dal decreto in un massimo di 300 unità.
Infine, si dispone un obbligo del segreto da parte del personale che presta comunque la propria opera alle dipendenze o in favore dell'Agenzia al rispetto del segreto su ciò di cui sia venuto a conoscenza nell'esercizio o a causa delle proprie funzioni, anche dopo la cessazione di tale attività.
Funzioni dell'Agenzia
Essa è qualificata quale Autorità nazionale, ai fini del complesso di relazioni e funzioni disegnato dalle norme europee ed interne, incluse quelle di certificazione della cybersicurezza.
In tale quadro, predispone in primo luogo la strategia nazionale di cybersicurezza; assume compiti finora attribuiti a diversi soggetti quali il Ministero dello sviluppo economico; la Presidenza del Consiglio; il Dipartimento delle informazioni e della sicurezza; l’Agenzia per l’Italia digitale; promuove iniziative per lo sviluppo di competenze e capacità.
In particolare, tra l'altro:
l'Agenzia è Autorità nazionale per la cybersicurezza. Le spetta il coordinamento tra i soggetti pubblici coinvolti nella cybersicurezza a livello nazionale;
"predispone" la strategia nazionale di cybersicurezza ed è intesa alla tutela della sicurezza delle reti e dei sistemi di interesse nazionale;
svolge ogni necessaria attività di supporto al funzionamento del "Nucleo per la cybersicurezza", del quale il decreto-legge prevede l'istituzione;
è Autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, per le finalità di cui al decreto legislativo n. 65 del 2018, a tutela dell'unità giuridica dell'ordinamento ed è competente all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto legislativo;
è Autorità nazionale di certificazione della cybersicurezza;
assume tutte le funzioni in materia di cybersicurezza già attribuite dalle disposizioni vigenti al Ministero dello sviluppo economico;
partecipa (per gli ambiti di competenza) al gruppo di coordinamento istituito dalle disposizioni attuative del decreto-legge n. 21 del 2012, recante norme in materia di poteri speciali sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell'energia, dei trasporti e delle comunicazioni;
assume le funzioni in materia di perimetro di sicurezza nazionale cibernetica attribuite alla Presidenza del Consiglio;
sviluppa capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici;
coordina, "in raccordo" con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza;
sostiene (negli ambiti di competenza) lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche;
Nucleo per la cybersicurezza
Si dispone la costituzione, presso l'Agenzia, di un Nucleo per la cybersicurezza.
Esso è previsto in via permanente, quale supporto del Presidente del Consiglio riguardo alle tematiche della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l'attivazione delle procedure di allertamento.