È stato pubblicato sulla Gazzetta Ufficiale dello scorso 14 giugno il Decreto-Legge n. 82/2021 (il “Decreto”) recante “disposizioni urgenti in materia di cyber-sicurezza, definizione dell’architettura nazionale di cyber-sicurezza e istituzione dell’Agenzia per la cyber-sicurezza nazionale”.

Con il termine “Cyber-sicurezza” si intende “l’insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità e garantendone altresì la resilienza” (art. 1, comma 1, lett. a).

Il Comitato interministeriale per la cyber-sicurezza

Il Decreto, che si compone di 19 articoli, istituzionalizza, tra le altre, il “Comitato interministeriale per la cyber-sicurezza” (il “CIC”). Il CICsvolge funzioni di consulenza, proposta e vigilanza in materia di politiche di cyber-sicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico. Inoltre, il CIC ha i seguenti compiti:

• proporre al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cyber-sicurezza nazionale;
• esercitare l’alta sorveglianza sull’attuazione della strategia nazionale di cyber-sicurezza;
• promuovere l’adozione delle iniziative necessarie per (i) favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cyber-sicurezza, nonché la condivisione delle informazioni e (ii) l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cyber-sicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cyber-sicurezza;
• esprimere il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cyber-sicurezza nazionale.

L’Agenzia per la cyber-sicurezza nazionale

Tra le novità principali del Decreto vi è, altresì, l’istituzione dell’”Agenzia per la cyber-sicurezza nazionale” (l’”ANC” o l’”Agenzia”). Il Decreto specifica le sue funzioni chiarendone la composizione e l’organizzazione. Con apposito regolamento, da approvarsi entro 120 giorni dall’entrata in vigore del Decreto, infatti, dovrà essere definito il funzionamento dell’Agenzia composta da otto uffici di livello dirigenziale generale e da trenta articolazioni di livello dirigenziale non generale nell’ambito delle risorse disponibili (art. 12, comma 1).

L’Agenzia rappresenta il principale Ente in materia di cyber-sicurezza che esercita funzioni di autorità nazionale in materia e accentra le numerose competenze sin d’ora attribuite ad altri organi tra cui quelle del Ministero dello Sviluppo Economico. Tra i suoi compiti vi rientrano:

• la tutela degli interessi nazionali e delle funzioni essenziali dello Stato da minacce informatiche;
• lo sviluppo di capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici;
• l’innalzamento della sicurezza dei sistemi di “Information and Communications Technology” (“ICT”) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali e dei fornitori di servizi digitali;
• il supporto allo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo, mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
• l’assunzione delle funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi, e della sicurezza delle reti di comunicazione elettronica.

Il Nucleo per la cyber-sicurezza

L’Agenzia è affiancata dal “Nucleo per la cyber-sicurezza” che ha il compito di supportare il Presidente del Consiglio dei Ministri, per gli aspetti relativi alla prevenzione e alla preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento. Tra i principali compiti affidati a tale organo rientrano:

• la formulazione di proposte di iniziative in materia di cyber-sicurezza del Paese;
• la promozione, la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati;
• lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese ed essere coinvolto nelle crisi che interessano la cyber-sicurezza.

◊◊◊◊

Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei Ministri ha il compito di trasmettere al Parlamento una relazione sull’attività svolta dall’Agenzia nell’anno precedente e la stessa, in qualità di Centro nazionale di coordinamento italiano, nello svolgimento delle proprie attività si interfaccerà con il “Centro europeo di competenza per la cyber-sicurezza nell’ambito industriale, tecnologico e della ricerca“, concorrendo ad aumentare l’autonomia strategica europea nel settore.

Altri insights correlati:

• Lavoro agile e protezione dei dati personali (Top Legal Focus Privacy & Data Protection, febbraio 2021 – Vittorio De Luca, Elena Cannone)
• Data Breach: Le Linee Guida dei Garanti Europei per la gestione delle violazioni dei dati