Questa settimana il focus sarà sul tema più caldo in materia di cyber-spazio che ha concentrato l’attenzione dei commentatori italiani negli ultimi giorni: il DPCM 17 febbraio 2017. La direttiva, pubblicata il 13 aprile (GU n.87) ma emanata il 17 febbraio scorso, reca “indirizzi per la protezione cibernetica e la sicurezza informatica nazionali” e costituisce il primo tentativo di riorganizzazione della infrastruttura di cyber-sicurezza nazionale dopo il DPCM 24 gennaio 2013 (Governo Monti), all’interno della seconda fase del piano nazionale di ammodernamento della suddetta. Molti commentatori (Soi, Caligiuri, Giustozzi, Mele) hanno sottolineato l’importanza della nuova normativa cyber individuandone (riprendendo l’analisi di Mario Caligiuri, direttore del Master in Intelligence dell’Università della Calabria) due generici punti di novità:
- La semplificazione e razionalizzazione della catena di comando, grazie alla nuova configurazione istituzionale che il decreto introduce.
- L’importanza data ad un nuovo approccio nazionale per affrontare quello che è il futuro dominio principale dei conflitti, quello cyber.
Dal punto di vista organizzativo-istituzionale, Stefano Mele (avvocato che si occupa di Diritto delle tecnologie, Privacy, Sicurezza delle informazioni e Intelligence presso Carnelutti Studio Legale Associato e voce autorevole a livello nazionale in ambito cibernetico) evidenzia tre novità essenziali nel nuovo DPCM:
- Il “ruolo sempre più centrale e preponderante che il Dipartimento delle Informazioni per la Sicurezza (DIS) acquisisce nel settore della sicurezza cibernetica”. Il DPCM infatti prevede che il DIS sia il nucleo delle azioni di prevenzione, contrasto e risposta in caso di crisi cibernetica, eleggendolo a centro operativo in ambito cyber, in un’ottica sia di azione diretta che di coordinamento (ad es. con il settore privato). Inoltre il Direttore Generale del DIS (oggi è Alessandro Pansa) presiede il c.d. CISR tecnico, svolgendo attività di segretario per il CISR (Comitato Interministeriale per la Sicurezza della Repubblica), di cui si parlerà a breve.
- Il passaggio di competenze (vero e proprio “trasloco”) dal Nucleo per la Sicurezza Informatica, precedentemente parte dell’Ufficio del Consigliere Militare del Presidente del Consiglio, al DIS (diventando così Nucleo Sicurezza Cibernetica), che quindi ottiene gli assets e il know-how tecnico per espletare il nuovo ruolo di cui al punto precedente. In particolare il NSC, oltre alle attività di prevenzione e preparazione per eventuali situazione di crisi e di attivazione delle procedure di allertamento, si avvale, per gli aspetti tecnici di risposta, del Computer Emergency Response Team (CERT) nazionale (Ministero per lo Sviluppo Economico) e del CERT PA (Agenzia per l’Italia Digitale).
- La specifica menzione di un “centro di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità su prodotti, apparati e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture critiche”.
Due novità ulteriori degne di nota sono:
- La nuova configurazione del CISR, “rafforzato nel suo ruolo e nei suoi poteri” e a cui “viene assegnata la facoltà di emanare direttive al fine di innalzare il livello della sicurezza informatica del Paese”. Si viene così a creare una catena di comando in cui i centri di potere sono il CISR sul piano politico-decisionale, mentre il DIS con il NSC e i suoi CERT su quello tecnico-operativo.
- Il modello cooperativo con cui tutte le istituzioni nominate fin qui sono formate e interagiscono. Senza entrare nello specifico, le 3 istituzioni (CISR, DIS, NSC) sono, in vari modi, formate da personale proveniente dai settori principali della Repubblica deputati alla sicurezza, l’Esecutivo (Ministeri e Protezione Civile), l’Intelligence (AISI e AISE) e, in aggiunta, da una rappresentanza dell’Agenzia per l’Italia Digitale, l’agenzia pubblica italiana istituita dal governo Monti al fine di perseguire il massimo livello di innovazione tecnologica nell’organizzazione e nello sviluppo della pubblica amministrazione. In conclusione, in tutti i settori che il DIS ritenesse importanti, la cooperazione è svolta, anche, con il settore privato, nell’ottica di una PPP (partnership privata-pubblica).
Il nuovo DPCM Gentiloni è, quindi, un’importante passo avanti nella messa in sicurezza del Sistema Paese dal punto di vista cibernetico. Si attende, con queste premesse, un aggiornamento del Piano e del Quadro Strategico, oramai risalenti a fine 2013.
Lorenzo Termine