Continua il processo di digitalizzazione della Pubblica Amministrazione, e di conseguenza, crescono gli standard di sicurezza necessari a fronteggiare i numerosi attacchi cyber che, sempre più di frequente, mettono a rischio la sicurezza dei dati di milioni di cittadini.
Già da qualche anno il legislatore ha introdotto numerose norme in materia di Cybersicurezza, tra cui quelle che hanno portato alla nascita e allo sviluppo del Perimetro di sicurezza nazionale cibernetica e della sua disciplina, un iter iniziato con il d.l. 105/2019 e recentemente terminato con il d.lgs. 82/2021, modificato con l. 109 del 4 agosto 2021.
Nonostante il completamento della disciplina sul PSNC, il percorso intrapreso dal legislatore, tra nuovi testi normativi e istituzione di particolari strutture dedicate alla cybersicurezza nazionale, non si è mai arrestato, anzi l’impegno delle istituzioni nazionali ed europee sul tema sta diventando sempre più intenso.
Per mettere finalmente in pratica quanto previsto dalle norme in materia, la sicurezza cibernetica è stata compresa tra i progetti finanziati dal Piano nazionale di ripresa e resilienza (PNRR), trasmesso dal Governo alla Commissione europea il 30 aprile 2021; il PNRR prevede al riguardo un piano di investimenti e riforme finalizzati allo scopo di mettere l’Italia nel gruppo di testa in Europa entro il 2026 (cd. Italia Digitale 2026).
All’investimento, volto alla creazione ed al rafforzamento delle infrastrutture legate alla protezione cibernetica del Paese e alla completa attuazione della disciplina prevista dal PSNC, sono destinati circa 620 milioni di euro di cui: 241 per la creazione di una infrastruttura per la cybersicurezza; 231 per il rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica PNSC; 15 per il rafforzamento delle capacità nazionali di difesa informatica presso il ministero dell’Interno, Difesa, Guardia di Finanza, Giustizia e Consiglio di Stato.
Importanti novità riguardano anche le organizzazioni incaricate di attuare la disciplina sulla sicurezza cibernetica e di svolgere le funzioni previste dalla stessa, tra le quali l’Agenzia Nazionale per la Cybersicurezza: dopo l’emanazione del d.l. 82/2021, convertito con L. 109/2021, con cui sono state definite nel dettaglio le sue funzioni e i suoi poteri di controllo, negli ultimi mesi del 2021 sono state messe in atto le operazioni necessarie alla sua messa in opera, tra cui la nomina del direttore generale (prof. Roberto Baldoni) e del vice direttore generale (dott.ssa Nunzia Ciardi), l’emanazione dei regolamenti interni, nonché il recente avvio della collaborazione con l’Autorità Garante per la privacy per lo scambio di informazioni e la promozione di buone pratiche di sicurezza cibernetica.
L’Agenzia Nazionale per la Cybersicurezza svolge inoltre un ruolo fondamentale riguardo il percorso di adozione del cloud da parte delle amministrazioni italiane: lo scorso 18 gennaio 2022, infatti l’Agenzia ha predisposto, in collaborazione con il Dipartimento per la trasformazione digitale, gli atti che definiscono le modalità per la classificazione dei dati e dei servizi pubblici e i requisiti per le tipologie di qualificazione dei servizi cloud della PA.
Infine, entro febbraio 2022 è previsto l’assorbimento da parte dell’Agenzia Nazionale per la Cybersicurezza delle funzioni già svolte da AgID e dal Ministero per lo Sviluppo Economico.
Tra le più importanti funzioni che verranno trasferite vi sono quelle svolte dal CERT-PA, cioè la struttura responsabile per la conduzione e gestione delle attività operative e per il monitoraggio dello spazio cibernetico delle Pubbliche Amministrazioni.
Le ultime introduzioni normative non potevano non investire le procedure di acquisto di servizi ICT per la PA: in particolare l’art. 53 del d.l. 77/2021 (c.d. “Semplificazioni-bis”), rubricato “semplificazione degli acquisti di beni e servizi informatici strumentali alla realizzazione del PNRR e in materia di procedure di e-procurement e acquisto di beni e servizi informatici”, prevede la semplificazione e l’accelerazione dei processi di approvvigionamento attraverso la creazione di una “white list” di fornitori certificati, la creazione di un percorso di “fast track”, adottando un approccio semplificato per gli acquisti in ambito PNRR, e la creazione di un servizio che consenta una selezione/comparazione veloce e intuitiva tra i fornitori certificati.
Ci troviamo dunque in un periodo particolarmente ricco di novità in tema di sicurezza cibernetica, in cui è fondamentale approfondire le conoscenze tecniche e normative in materia, in modo da poter seguire “dal vivo” la messa in atto delle stesse, soprattutto in vista delle prossime scadenze previste dal PNRR.
