Il D.L. 82/2021 – contenente disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale – è stato pubblicato nella GU n. 140 del 14 giugno; entrerà in vigore il 29 giugno 2021.
Scopo del provvedimento è quello di fronteggiare il rischio cibernetico che oggi rappresenta uno dei principali rischi per la sicurezza nazionale.
L’impatto delle nuove tecnologie sulla società richiede uno sforzo aggiuntivo da parte degli enti governativi allo scopo di salvaguardare non solo il patrimonio informativo degli utenti in rete, ma anche quello di implementare la competitività dell’imprese. La cybersecurity, infatti, rappresenta un elemento indefettibile per lo sviluppo dell’economia rappresentando un fattore fondamentale per lo sviluppo e la crescita del paese.
La strategia governativa passa attraverso l’individuazione di una nuova governance che avrà il compito di individuare piani d’azione e decisioni per la sicurezza cibernetica.
Presso la Presidenza del Consiglio dei Ministri verrà istituito il Comitato interministeriale per la cybersicurezza con funzioni di consulenza, proposta e deliberazione ai fini della tutela della sicurezza nazionale nello spazio cibernetico. Il Comitato avrà, quindi, il compito di affiancare l’opera del Consiglio dei Ministri nelle scelte strategiche, ma anche quello di suggerire all’esecutivo le azioni da intraprendere nell’attuazione di politiche tese a garantire la sicurezza nazionale.
Oltre al Comitato interministeriale per la Cybersecurity il decreto all’art. 8 prevede l’istituzione del Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, per la cura degli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento. Tale ente sarà istituito presso l’Agenzia per la cybersicurezza la quale costituisce la principale novità del Decreto in esame.
L’art. 7 del D.L. 82/2021 istituisce, infatti, l’Agenzia Nazionale per la Cybersecurity la quale avrà natura giuridica di diritto pubblico.
L’Agenzia diventerà l’Autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti dei sistemi informativi, per le finalità di cui al decreto legislativo NIS, a tutela dell’unità giuridica dell’ordinamento e sarà l’ente competente per gli accertamenti ispettivi e per le irrogazioni delle sanzioni previste nel decreto attuativo della direttiva europea. L’agenzia diventerà altresì l’Ente deputato al rilascio delle certificazioni come previsto dal Regolamento Europeo 2019/881 (c.d. Cyber Act) il quale prevede l’obbligo per gli Stati membri di nominare un’autorità nazionale di certificazione con l’attribuzione di un pacchetto di poteri minimi tra cui rientrano quelli istruttori, ispettivi e sanzionatori (Art. 58 Reg. Cyber Act).
Il Decreto, poi, individua l’Agenzia come principale Ente in materia di cybersecurity al quale passano le numerose competenze prima attribuite ad altri organi e in particolare quelle che erano state attribuite a:
- al Ministero dello Sviluppo Economico in materia di sicurezza cibernetica;
- alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica;
- al DIS (Dipartimento delle informazioni per la sicurezza);
- all’Agenzia dell’Italia digitale.
Tra i compiti spettanti al nuovo ente pubblico quelli di:
- stilare il piano annuale di cybersecurity nazionale;
- sviluppare politiche di prevenzione, analisi e monitoraggio dei pericoli;
- partecipare all’esercitazioni nazionali e internazionali per migliorare e comprovare l’adeguatezza delle misure;
- promuovere un quadro giuridico e normativo anche in riferimento all’evoluzione legislativa internazionale con poteri di esprimere pareri vincolanti;
- coordinare, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale nella materia della cybersicurezza;
- collaborare con il mondo accademico, di ricerca e del sistema produttivo nazionale, al fine di promuovere iniziative per lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche. A tale scopo il decreto individua la potestà per l’Agenzia di chiudere accordi con le altre istituzioni e con il settore privato;
- collaborare con il Garante per la protezione dei dati personali in relazione agli incidenti di sicurezza che comportano data breach, ma anche per addivenire alla chiusura di accordi operativi tra le due Autorità.
Per quanto attiene la sua composizione l’Agenzia sarà dotata di un organico con comprovate capacità in materia di cybersicurezza da selezionare mediante concorso pubblico. L’Organizzazione potrà anche avvalersi di esperti della materia tramite incarichi, a tempo determinato, di soggetti in possesso di alta e particolare specializzazione, per lo svolgimento di attività assolutamente necessarie all’operatività dell’Agenzia o per specifiche progettualità da portare a termine in un arco di tempo prefissato. La direzione dell’Agenzia sarà affidata ad un dirigente di prima fascia il cui mandato avrà una durata di quattro anni.
