Alla scoperta dell’Agenzia per la cybersicurezza nazionale

L’Acn è l’ agenzia/autorità nazionale per la cybersicurezza istituita con il Decreto legge 14 giugno 2021, n. 82, a tutela degli interessi nazionali nel cyberspazio.

Più precisamente, garantisce l’implementazione della strategia nazionale di cybersicurezza adottata dal Presidente del Consiglio, promuove un quadro normativo coerente nel settore, ed esercita funzioni ispettive e sanzionatorie. Sviluppa collaborazioni a livello internazionale con agenzie omologhe. Assicura il coordinamento tra i soggetti pubblici e la realizzazione di azioni pubblico-private volte a garantire la sicurezza e la resilienza cibernetica per lo sviluppo digitale del Paese.

Vision, obiettivi, struttura e gruppi di lavoro

La vision che ispira la sua nascita è: Assicurare la prosperità economica e la sicurezza del Paese nel contesto della trasformazione digitale, attraverso un processo multidimensionale di gestione del rischio cibernetico e di quello tecnologico, lavorando per prevenire e mitigare il maggior numero di attacchi cibernetici, e per diminuire la dipendenza nazionale da tecnologia extra UE.

L’Acn ha tre obiettivi strategici da perseguire:

1. Supporta i soggetti pubblici e privati nazionali, che erogano servizi essenziali, nella prevenzione e mitigazione degli incidenti, nonché ai fini del ripristino dei sistemi;
2. Persegue l’autonomia strategica nazionale ed europea nel settore del digitale, in sinergia con il sistema produttivo e il mondo della ricerca;
3. Favorisce percorsi formativi per lo sviluppo della forza lavoro e promuove campagne di sensibilizzazione e diffusione della cultura della cybersicurezza.

La struttura organizzativa è stata dettagliata nel DPCM n.223 del 9 dicembre 2021 e include:

• il Computer security incident response team nazionale (Csirt Italia),
• il Centro di valutazione e certificazione nazionale per lo scrutinio tecnologico degli asset digitali strategici nazionali;
• il Centro nazionale di coordinamento per la cybersicurezza con i suoi programmi di sviluppo tecnologico europei e i progetti di cybersicurezza del Pnrr atti a migliorare le capacità nazionali nel settore.

L’ACN siede nei gruppi interministeriali di: 

• Nucleo interministeriale situazione e pianificazione (supporta la Presidenza del Consiglio dei Ministri in situazioni di crisi, contribuendo, dunque, per i profili inerenti la cybersicurezza e le crisi di cybersicurezza.)
• Gruppo di coordinamento per l’esercizio dei poteri speciali (cosiddetto “Golden power”)
• Cic – Comitato interministeriale per la cybersicurezza
• Cisr – Comitato interministeriale per la sicurezza della Repubblica

E, a livello europeo (ma non solo), nel Consiglio di amministrazione di Enisa, nonché nel Governing board del Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca (Eccc – European cybersecurity competence centre), previsto dal Regolamento UE 2021/887. L’Agenzia contribuisce ai lavori in materia di cybersicurezza che si svolgono nell’ambito della cooperazione multilaterale promossa dalla Nato, dall’Organizzazione per la sicurezza e la cooperazione in Europa-Osce (Informal working group on cyber), dalle Nazioni Unite e dal G7.

Le quattro articolazioni dell’Acn

Csirt Italia –  Computer security incident – response team – Italia

Il Csirt Italia è il punto di riferimento per le notifiche di incidente ai danni di tutte le infrastrutture digitali della pubblica amministrazione e private, in particolare per le notifiche definite ai sensi di legge per i soggetti inclusi nel perimetro di sicurezza nazionale cibernetica o per gli operatori di servizi essenziali individuati dalla Nis.

Cvcn – Centro di valutazione e certificazione nazionale

Il Cvcn avrà il compito di effettuare le verifiche preliminari sui procedimenti di affidamento, e potrà imporre condizioni e test volti all’analisi di sicurezza di hardware o software su alcuni componenti della fornitura che possono risultare particolarmente sensibili se compromessi da un attacco cyber.

Cts – Comitato tecnico scientifico

Al Comitato potranno essere sottoposte questioni in materia di sviluppo di competenze, innovazione, partecipazione a programmi e progetti di cybersicurezza nazionali e internazionali, comunicazione e promozione della consapevolezza in materia di cybersicurezza, formazione e qualificazione delle risorse umane, nonché questioni afferenti al Centro nazionale di coordinamento in cybersecurity.

Ncc- Centro nazionale di coordinamento

La Rete dei Centri nazionali di coordinamento (Ncc) è costituita da 27 Centri, uno per Stato membro. Il loro scopo è rafforzare l’eccellenza della ricerca e la competitività dell’Unione nel campo della cybersecurity. Centri nazionali di coordinamento sono enti del settore pubblico, o per lo più di proprietà dello Stato, o che svolgono funzioni di pubblica amministrazione. Hanno la capacità di supportare il Centro europeo di competenza per la cybersecurity (Eccc) e la rete nell’adempimento della loro missione. L’agenzia per la cybersicurezza nazionale è il Centro nazionale di coordinamento per l’Italia.

Acn e Cloud

L’agenzia ha assunto un ruolo centrale per la Pa soprattutto per il tema cloud per due motivi: il primo è che la Pa è sempre più sotto attacco cybernetico. Il secondo è che l’Agenzia dal 19 gennaio 2023 si occupa della qualificazione dei servizi cloud per la Pubblica amministrazione subentrando all’Agenzia per l’Italia digitale (AgId) diventando quindi il riferimento per il catalogo dei servizi Cloud per la Pa qualificati a cui le Pa devono attingere nell’ambito degli Avvisi 1.2 “Abilitazioni al cloud per le Pa locali” per un valore di un miliardi di euro.

Acn è quindi l’agenzia di riferimento per la cybersec nazionale, sia per la spinta alla creazione di startup in questo ambito,  che per gli incidenti nazionali e in particolare della Pa, sia per il collegamento tra privato e pubblico su questo tema, sia per la cinghia di trasmissione tra vari enti italiani ed europei.

Fondamentale è anche il suo ruolo di riferimento per l’attuazione delle 82 misure della Strategia sulla cybersicurezza nazionale e gli avvisi relativi alla cybersicurezza del Pnrr. Attualmente è attivo l’ Avviso pubblico per la selezione di operatori impegnati in attività di supporto alla creazione e sviluppo di startup, finalizzato alla sottoscrizione di accordi di collaborazione con l’Agenzia per la cybersicurezza nazionale per la definizione e implementazione di programmi di incubazione e/o accelerazione rivolti a startup.