Cybersécurité : décret publié au Journal Officiel

Le Journal Officiel du 14 juin dernier a vu la publication du Décret législatif n° 82/2021 (le « Décret ») relatif aux « dispositions urgentes en matière de cybersécurité, définition de l’architecture nationale de la cybersécurité et la création de l’Agence pour la cybersécurité nationale ».

Le terme « Cybersécurité » désigne « l’ensemble des activités nécessaires pour protéger des menaces informatiques les réseaux, les systèmes informatiques, les services informatiques et les communications électroniques, en assurant leur disponibilité, leur confidentialité et leur intégrité et en garantissant également leur résilience » (art. 1, alinéa 1, lettre a).

Le Comité interministériel pour la cybersécurité

Le Décret, composé de 19 clauses, institutionnalise notamment le « Comité interministériel pour la cybersécurité » (le « CIC »). Le CIC assure des fonctions de conseil, de proposition et de surveillance en matière de politiques de cybersécurité, également aux fins de la protection de la sécurité nationale dans l’espace cybernétique. En outre, le CIC a les tâches suivantes :

• proposer au Président du Conseil des ministres les orientations générales dans le cadre des politiques de cybersécurité nationale ;
• exercer une surveillance précise sur l’application de la stratégie nationale de cybersécurité ;
• promouvoir l’adoption des initiatives nécessaires pour (i) favoriser la collaboration efficace, au niveau national et international, entre les organismes institutionnels et les opérateurs privés concernés par la cybersécurité, ainsi que le partage des informations et (ii) l’adoption de meilleures pratiques et de mesures destinées à l’objectif de la cybersécurité et au développement industriel, technologique et scientifique en matière de cybersécurité ;
• exprimer son avis sur le bilan préventif et sur le bilan de l’Agence pour la cybersécurité nationale.

L’Agence pour la cybersécurité nationale

Parmi les principales nouveautés du Décret, on note également la création de « l’Agence pour la cybersécurité nationale » (« ANC » ou « Agence »). Le Décret précise ses fonctions, en clarifiant sa composition et son organisation. Avec un règlement approprié, qui doit être approuvé sous 120 jours après l’entrée en vigueur du Décret, il faut définir le fonctionnement de l’Agence composée de huit bureaux du niveau de la direction générale et de trente services de niveau de la direction non générale dans le cadre des ressources disponibles (art. 12, alinéa 1).

L’Agence représente l’entité principale en matière de cybersécurité qui exerce des fonctions d’autorité nationale en la matière et englobe les nombreuses compétences dès à présent attribuées aux autres organes, notamment celles du Ministère du Développement Economique. Ses tâches couvrent notamment :

• la protection des intérêts nationaux et des fonctions essentielles de l’État contre les menaces informatiques ;
• le développement de capacités nationales de prévention, de suivi, de détection et d’atténuation, pour faire face aux incidents de sécurité informatique et aux attaques informatiques ;
• l’élévation de la sécurité des systèmes de « Information and Communications Technology » (« ICT ») des sujets inclus dans le périmètre de sécurité nationale cybernétique, des administrations publiques, des opérateurs de services essentiels et des fournisseurs de services numériques ;
• le soutien au développement de compétences industrielles, technologiques et scientifiques, en promouvant des projets pour l’innovation et le développement, en essayant de stimuler en même temps la croissance d’une force de travail nationale solide dans le domaine de la cybersécurité dans l’optique de l’autonomie stratégique nationale dans le secteur ;
• l’acceptation de fonctions d’interlocuteur unique national pour les personnes publiques et privées en matière de mesures de sécurité et d’activités d’inspection dans le cadre du périmètre de la sécurité nationale cybernétique, de la sécurité des réseaux et des systèmes d’information, et de la sécurité des réseau de communication électronique.

Le Noyau pour la cybersécurité

L’Agence est accompagnée du « Noyau pour la cybersécurité » qui a pour tâche de supporter le Président du Conseil des Ministres, pour les aspects relatifs à la prévention et la préparation d’éventuelles situations de crise et pour l’activation des procédures d’alerte. Parmi les principales tâches confiées à cet organisme, no note :

• la formulation de propositions d’initiatives en matière de cybersécurité du pays ;
• la promotion, la programmation et la planification opérationnelle de la réponse à des situations de crise cybernétique par des administrations et des opérateurs privés ;
• le déroulement d’exercices interministériels, c’est-à-dire la participation nationale à des exercices internationaux qui concernent la simulation d’événements de nature cybernétique afin d’élever la résilience du pays et être impliqué dans les crises qui concernent la cybersécurité.

◊◊◊◊

Avant le 30 avril chaque année, le Président du Conseil des Ministres a pour tâche de transmettre au Parlement un rapport sur l’activité réalisée par l’Agence au cours de l’année précédente et celle-ci, en qualité de Centre national de coordination italien, s’interfacera dans l’exécution de ses activités avec le « Centre européen de compétence pour la cybersécurité dans le cadre industriel, technologique et de la recherche », concourant à accroître l’autonomie stratégique européenne dans le secteur.

Contenus corrélés :

• Travail agile et protection des données personnelles
• Violations de données personnelles : Les lignes directrices des autorités de contrôle européennes pour la gestion des violations de données personnelles