E’ ufficiale. Dal 18 maggio, l’Italia ha una Strategia Nazionale di Cybersicurezza per il quinquennio 2022-2026, accompagnata dal collegato Piano di Implementazione. Un documento atteso, presentato a Palazzo Chigi dai due volti autorevoli in materia cyber (il sottosegretario Franco Gabrielli con delega per la sicurezza e Roberto Baldoni, direttore dell’Agenzia per la Cybersicurezza Nazionale) e approvato dal Comitato Interministeriale per la Cybersicurezza (Cic).
Spetta a loro gestire una pluralità di sfide e obiettivi legati alle minacce cyber, che quotidianamente colpiscono aziende, cittadini e istituzioni (gli attacchi DDoS delle ultime settimane sono solo un di cui), “siano esse volte ad ottenere profitti illeciti (cyber-crime), generare vantaggio informativo per fini di competizione geopolitica (cyber-espionage), diffondere narrative divisive e polarizzanti in aderenza a specifiche ideologie o motivazioni politiche” puntualizza la Strategia mettendo l’accento sulla dimensione globale che il cybercrime ha raggiunto a livello mondiale. “Nessuna organizzazione, pur tecnologicamente equipaggiata e proceduralmente preparata, può ambire a eliminare del tutto le minacce che promanano dallo spazio cibernetico”. Per fronteggiarle serve agire secondo un approccio che includa l’adozione di misure di prevenzione e mitigazione del rischio volte a innalzare la resilienza delle infrastrutture digitali.
La premessa è questa. “Se, da una parte, è l’incessante evoluzione delle moderne tecnologie a rendere più conveniente la “migrazione” verso il digitale, dall’altra, solo la resilienza e la sicurezza delle reti e dei sistemi su cui tali servizi si basano possono garantire, nell’immediato, la sicurezza per la nostra comunità e, in prospettiva, lo sviluppo economico e il benessere dello Stato”. Dove per moderne e emergenti tecnologie il documento annovera reti e protocolli di comunicazione di ultima generazione (5G/6G), blockchain, intelligenza artificiale (AI), quantum computing, High Performance Computing (Hpc), Internet of Things (IoT), robotica, strumenti crittografici evoluti. Una complessità che alza il livello di rischio.
Da qui gli obiettivi della Strategia Nazionale, i quattro pilastri tecnico-operativi su cui poggia.
Il primo è il rafforzamento della resilienza e della cybersicurezza nella transizione digitale del sistema Paese sia per la pubblica amministrazione sia per le aziende produttive private (1). Seguono il conseguimento dell’autonomia strategica nazionale ed europea nella dimensione cibernetica con la prevenzione e il contrasto delle attività criminali (2), la capacità di anticipare l’evoluzione della minaccia cyber, con azioni di difesa e la sicurezza del Paese; (3) la gestione tempestiva delle crisi cibernetiche correnti (4). Senza dimenticare la necessità di arginare la disinformazione online, in uno scenario di minacce sempre più ibrido.
Ecco lo stralcio del documento che dettaglia i quattro punti:
1- rientra tra i doveri dello Stato la definizione di adeguate strategie di cybersicurezza volte a pianificare, coordinare e attuare misure tese a rendere il Paese sicuro e resiliente anche nel dominio digitale, assicurando, al contempo, la fiducia dei cittadini nella possibilità di sfruttarne i relativi vantaggi competitivi, nella piena tutela dei diritti e delle libertà fondamentali;
2 – la cybersicurezza, che è divenuta una questione di importanza strategica, deve porsi a fondamento del processo di digitalizzazione del Paese, quale elemento imprescindibile della trasformazione digitale, anche nell’ottica di conseguire l’autonomia nazionale strategica nel settore;
3 – la stessa deve poi essere percepita non come un costo, ma come un investimento e un fattore abilitante per lo sviluppo dell’economia e dell’industria nazionale, al fine di accrescere la competitività del Sistema-Paese a livello globale;
4 – la messa in sicurezza di infrastrutture, sistemi e informazioni dal punto di vista tecnico deve essere accompagnata da un progresso culturale ad ogni livello della società, verso un approccio “security-oriented”, tassello indispensabile per tutelare il nostro sistema valoriale e democratico.
Per rendere operativa la Strategia si procederà grazie al Piano di implementazione che si articola in 82 misure coinvolgendo una pluralità di attori, pubblici e privati, consapevoli della pervasività del digitale e delle minacce che possono essere innescate.
Tra le misure il rafforzamento e l’adozione di schemi di verificazione europea, lo sviluppo di centri di valutazione ministeriali per la conformità in materia di cybersicurezza in collaborazione con il settore privato (favorendo lo sviluppo del tessuto imprenditoriale), la pubblicazione di linee guida nella prospettiva della transizione al cloud che favorisca una gestione continuativa e automatizzata del rischio cyber, la definizione di un piano di gestione della crisi con procedure, processi e strumenti da utilizzare in coordinamento con gli operatori pubblici e privati, con l’obiettivo di assicurare la continuità operativa delle reti, dei sistemi informativi e dei servizi informatici.
Il modello definito è quello di una difesa preventiva del rischio cyber, e non semplicemente reattiva al verificarsi delle minacce, che poggia sulla necessità per l’Italia di costruirsi una autonomia tecnologica in ambito digitale, che passa anche dalla creazione del cloud nazionale e tocca temi quali la sovranità dei dati. Insomma, la creazione di un ecosistema di sicurezza cibernetica “pretende” una collaborazione pubblico-privato allargata, più volte ribadita nel documento, e indica una comunanza di intenti. Di cui c’è sempre più consapevolezza anche nella società civile.
© RIPRODUZIONE RISERVATA