lunedì 28 giugno 2021

Agenzia per la cybersicurezza nazionale

Il DL 82 del 2021 istituisce la "Agenzia per la cybersicurezza nazionale". 

NB: trattandosi di un DL, il suo recepimento in Legge potrà comportare alcune modifiche al testo che commento nel seguito.

Innanzi tutto va specificato cosa si intende per "cybersicurezza" (e qui apprezzo il fatto che non si usa più lo scorretto "sicurezza cibernetica", anche se il termine "cibernetico" è comunque, e sempre scorrettamente, usato in altre parti del DL). Copio e incollo: l'insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l'integrità, e garantendone altresì la resilienza".

Mi chiedo perché qui usino "confidenzialità", quando nella PA si parla in altre norme, di "riservatezza". Non ho una risposta e spero qualcuno me la possa fornire.

Poi, istigato da Chiara Ponti (degli Idraulici della privacy), osservo che la definizione tratta di "minacce informatiche", senza però esplicitare cosa si intende con questa espressione. Io sicuramente includerei le minacce da e a sistemi informatici (p.e. virus, tentativi di intrusioni da esterni via rete Internet). Includerei anche le minacce originate da errori (p.e. il blocco perché lo spazio per i log è esaurito perché configurato o monitorato male). Escluderei invece quelle fisiche (incendi, danneggiamenti, guasti), ma includerei quelle derivate dalle minacce fisiche (p.e. la lettura da dispositivi di memoria dismessi o l'accesso a file su pc rubati). Sicuramente sono escluse le minacce alle informazioni su supporto cartaceo o quelle trasmesse oralmente, ma sono incluse le minacce rivolte ai sistemi IT "senza informazioni" o "con solo informazioni di configurazione", come molti dispositivi IoT e molti sistemi di controllo industriale e di domotica.

Poi il provvedimento si fa di difficile lettura a causa dei molti riferimenti verso altre norme. Provo a sintetizzare alcuni punti e a commentarli, ricordando che io sono interessato principalmente agli impatti verso le "normali organizzazioni" e non all'organizzazione complessiva della PA.
- L'Agenzia diventa il "punto di contatto unico" previsto dal D. Lgs. 65/2018 (Direttiva NIS).
- L'Agenzia sarà la "Autorità nazionale di certificazione della cybersicurezza" secondo quanto previsto dal Cybersecurity Act (Regolamento UE 2019/881). Questo è molto importante per le future attività di certificazione di prodotti e servizi informatici.
- L'Agenzia incorpora il CVCN (Centro di valutazione e certificazione nazionale, parte del MiSE), istituito dal DL 105/2019 (cosiddetto "Perimetro di sicurezza nazionale cibernetica") e le relative attività di ispezione e verifica.
- Come autorità di certificazione, accredita le appropriate strutture del Ministero della difesa e del Ministero dell'interno quali organismi di valutazione della conformità per i sistemi di rispettiva competenza. Al momento sono un po' confuso su chi fa cosa, ma capirò meglio quando saranno attivati gli schemi di certificazione. Le ultime notizie, però, suggeriscono che dovremo aspettare ancora qualche anno.
- Accentra le attività di definizione delle misure di sicurezza che devono adottare gli operatori di telecomunicazione e le relative attività di verifica, previste dal D. Lgs. 259 del 2003 (Codice delle comunicazioni elettroniche) e in precedenza attribuite al MiSE.
- Assume le funzioni attribuite alla Presidenza del Consiglio dei ministri e al DIS dal Perimetro nazionale e dal DPCM di attuazione e (cose relative al settore spazio e aerospazio). Importante, mi sembra, è il fatto che quindi sia responsabile dell'elencazione dei soggetti inclusi nel perimetro e della raccolta delle descrizioni dei sistemi e delle valutazioni del rischio di tali soggetti.
- Assume le funzioni attribuite ad AgID in materia di sicurezza informatica. Pertanto le PA dovranno monitorare le indicazioni fornite dall'Agenzia in questo ambito.
- Diventa punto di riferimento per numerose attività. Leggerle tutte richiede molta attenzione e dovremo soprattutto vederne in futuro gli impatti. Per certo dovremo monitorare le attività dell'Agenzia.
- Incorpora il CSIRT Italia, già istituito da più di un anno.

Concludo dicendo che il DL è pieno di ulteriori disposizioni, ma azzardo dicendo che la sua vera portata la vedremo dispiegarsi nei prossimi mesi, in termini di messa a disposizione di indicazioni utili per tutti gli operatori e di supporto.

Nessun commento:

Posta un commento