Cyber-security

Strategia nazionale di Cybersicurezza: il Piano 2022-2026

Si tratta di 82 misure che ruotano attorno a tre obiettivi fondamentali: protezione, risposta e  sviluppo. Non mancano interventi per facilitare la cooperazione fra istituzioni, operatori privati e società civile nonché misure per favorire la formazione e la cultura della sicurezza.

 

 

L’Agenzia per la cybersicurezza nazionale (ACN), compie ulteriori passi in avanti per l'implementazione della Strategia nazionale di Cybersicurezza, proponendo il Piano 2022-2026 costituito da 82 misure da mettere in campo che coinvolgono attori istituzionali, operatori privati e società civile. Il Piano mostra tutta la complessità del tema, la sua importanza vitale per il sistema-Paese e la necessità di cooperare per raggiungere gli obbiettivi fissati e un vantaggio competitivo per istituzioni, imprese e singoli individui.

 

Il Piano 2022-2026 dell’Agenzia per la cybersicurezza nazionale e CTS

L’Agenzia per la cybersicurezza nazionale (ACN), autorità governativa istituita con il D.L. 82/2021 a tutela degli interessi nazionali nel cyberspazio, ha predisposto un Piano strategico da implementare nei prossimi quattro anni per incrementare la Strategia Nazionale in tema di sicurezza informatica.
Un passaggio fondamentale questo, sottolineato anche dal Presidente del Consiglio Mario Draghi che afferma:

"Le nuove forme di competizione strategica che caratterizzano lo scenario geopolitico impongono all’Italia di proseguire e, dove possibile, incrementare le iniziative in materia di cybersicurezza.
È nostra intenzione intensificare i progetti di sviluppo tecnologico per arrivare a disporre di un adeguato livello di autonomia strategica nel settore e quindi garantire la nostra sovranità digitale. Per farlo, sarà cruciale stanziare fondi adeguati, con continuità."

Il Piano consiste in 82 iniziative, che andranno realizzate fino al 2026, che ruotano attorno a tre obiettivi fondamentali:

  • Protezione, e dunque scrutinio tecnologico, quadro giuridico, situational awareness, cyber resilienza della PA, infrastrutture nazionali, crittografia, contrasto alla disinformazione (fake news).
  • Risposta, che si sostanzia in gestione delle crisi, servizi cyber nazionali, esercitazioni cyber, contrasto al cybercrime, capacità di deterrenza.
  • Sviluppo, attraverso il Centro nazionale di coordinamento, lo sviluppo di tecnologia nazionale ed europea, il Parco nazionale della cybersicurezza, la sicurezza informatica come fattore di competitività, la digitalizzazione sicura del sistema-Paese.

Ai tre obiettivi vengono poi affiancati fattori abilitanti quali cooperazione tra istituzioni, operatori privati e società civile, e ovviamente formazione per la diffusione della cultura della sicurezza.
Per dare maggiore forza alle misure previste, e piena operatività alla ACN, è stato nominato il Comitato Tecnico Scientifico.
Il Direttore Generale dell’ACN guiderà il gruppo dei nove membri del Comitato, formato da:

  • quattro rappresentanti dell’industria;
  • quattro delegati del mondo accademico;
  • un rappresentante delle associazioni del settore della sicurezza delle aziende strategiche del Paese.

Il CTS ha compiti sia consultivi sia di iniziativa, stimolando la collaborazione con il settore produttivo e il sistema universitario, avendo come fine ultimo quello di realizzare le misure previste e raggiungere gli obiettivi fissati dalla Strategia Nazionale per la Cybersicurezza 2022-2026.

 

Protezione

Le 82 misure coinvolgono a vario titolo e in diversa misura gli attori istituzionali, l'università e i centri di ricerca, gli operatori privati, le associazioni datoriali e la società civile.
Vediamo dunque, divise per obbiettivi, le misure che coinvolgono maggiormente le imprese nella loro implementazione.

Tra le 24 misure dedicate all'obiettivo della Protezione, segnaliamo:

  • Misura #5. Supportare lo sviluppo, valutandone l’adeguatezza in termini di sicurezza nazionale, degli schemi di certificazione in materia di cybersicurezza e, in collaborazione con il settore privato, promuoverne l’adozione e l’utilizzo da parte dei fornitori di servizi e delle imprese italiane, favorendo lo sviluppo del tessuto imprenditoriale nazionale specializzato al fine di conseguire un vantaggio competitivo sul mercato.
  • Misura #11. Porre in essere iniziative di sensibilizzazione per favorire l’applicazione del “Framework Nazionale per la Cybersecurity e la Data Protection” e dei “Controlli essenziali di cybersecurity”, opportunamente aggiornati in linea con il quadro della minaccia, da parte della PA, delle imprese e delle PMI.
  • Misura #21. Promuovere lo sviluppo e l’implementazione di un servizio nazionale di gestione delle copie dei backup “a freddo”, al fine di offrire, alle Pubbliche Amministrazioni e operatori privati, un’infrastruttura con alti livelli di resilienza a supporto di una pronta riattivazione di sistemi e servizi a seguito di guasti o incidenti.
  • Misura #22. Promuovere l’uso della crittografia in ambito non classificato, quale impostazione predefinita e comunque fin dalla fase di progettazione di reti, applicazioni e servizi, in conformità ai principi della sicurezza e della tutela della vita privata, nel rispetto dei principi stabiliti dalla normativa nazionale ed europea.

 

Risposta

Tra le 21 misure che riguardano l'obiettivo di Risposta, segnaliamo:

  • Misura #28. Sviluppare ulteriormente le capacità per assicurare una pronta attività di comunicazione istituzionale in caso di incidenti cyber rilevanti o di crisi cibernetica, nonché ogni qual volta si renda necessario svolgere azioni di sensibilizzazione nei confronti della popolazione civile.
  • Misura #30. Realizzare un sistema di raccolta e analisi HyperSOC per aggregare, correlare ed analizzare eventi di sicurezza di interesse al fine di individuare precocemente eventuali “pattern” di attacco complessi, nonché abilitare una gestione del rischio cyber in chiave preventiva e integrata tra molteplici sorgenti dati, sfruttando anche infrastrutture di High Performance Computing e tecnologie di Intelligenza Artificiale e il machine learning.
  • Misura #33. Accrescere le capacità di risposta e ripristino a seguito di crisi cibernetiche implementando una rete di CERT settoriali integrata con lo CSIRT Italia, nonché un piano nazionale di gestione crisi che definisca procedure, processi e strumenti da utilizzare in coordinamento con gli operatori pubblici e privati, con l’obiettivo di assicurare la continuità operativa delle reti, dei sistemi informativi e dei servizi informatici.

 

Sviluppo

Tra le 13 misure per l'obbiettivo Sviluppo, quelle che coinvolgono direttamente gli operatori privati sono le seguenti:

  • Misura #46. Realizzare e promuovere la partecipazione a progetti volti a supportare lo sviluppo di capacità, tecnologie e infrastrutture di cybersicurezza, mediante l’accesso ai pertinenti programmi di finanziamento dell’UE, assicurando il coinvolgimento del mondo industriale, accademico, della ricerca e della società civile, nonché favorendo sinergie con analoghe progettualità attive a livello nazionale.
  • Misura #47. Supportare l’operatività dei Digital Innovation Hub e favorirne le sinergie con il Centro nazionale di coordinamento, con i Centri di competenza ad alta specializzazione e con i Cluster tecnologici, per agevolare il trasferimento tecnologico verso le PMI.
  • Misura #48. Sviluppare tecnologia nazionale ed europea, specie nei segmenti più innovativi e sensibili (ad es. cloud ed edge computing, tecnologie basate su blockchain, spazio, ecc.), attraverso l’avvio di dedicate progettualità.
  • Misura #49. Realizzare un “parco nazionale della cybersicurezza” che ospiti le infrastrutture necessarie allo svolgimento di attività di ricerca e sviluppo nell’ambito della cybersecurity e delle tecnologie digitali, dotato di una struttura “diffusa”, con ramificazioni distribuite sull’intero territorio nazionale.
  • Misura #52. Incoraggiare la creazione di Product Security Incident Response Team (PSIRT) da parte degli operatori privati, per accrescere le loro capacità di gestire le vulnerabilità di prodotti ICT e per contribuire all’adozione di policy di divulgazione coordinata di vulnerabilità e alla relativa implementazione.
  • Misura #54. Favorire la ricerca e lo sviluppo, specialmente nelle nuove tecnologie, promuovendo l’inclusione dei principi di cybersicurezza e supportando, anche mediante finanziamenti, investimenti pubblici e privati e meccanismi di semplificazione, progetti di sicurezza cibernetica da parte del settore privato – con particolare riferimento alle startup e alle PMI innovative – e dei Centri di competenza e di ricerca attivi sul territorio nazionale.

Formazione e cooperazione

Veniamo ai fattori abilitanti, con 23 misure, e segnaliamo:

  • Misura #60. Attivare Istituti Tecnici Superiori (ITS) con percorsi di cybersecurity, contribuendo a sostenere le specializzazioni produttive della manifattura locale. I programmi e le attività prevederanno una significativa docenza aziendale (50%) e un tirocinio (almeno 30% del tempo).
  • Misura #61. Sviluppare un sistema nazionale di certificazione dell’apprendimento e dell’acquisizione di specifiche professionalità, non solo tecniche, sia a livello di istruzione secondaria di secondo grado, sia a livello universitario e professionale.
  • Misura #63. Dispiegare fondi da dedicare alla formazione professionale nei settori pubblico e privato, al fine di agevolare il passaggio dal mondo scolastico a quello del lavoro e conseguire, così, una sovranità nazionale digitale delle competenze.
  • Misura #66. Prevedere meccanismi per agevolare la transizione di studenti e neolaureati, con competenze in cybersecurity, verso il mondo del lavoro, mediante programmi di alternanza scuola-lavoro e di inserimento quali stage e apprendistato, nonché incentivi all’assunzione di personale “junior”, favorendo altresì la riqualificazione e la ricollocazione professionale di coloro che si trovano al di fuori del mercato del lavoro.
  • Misura #67. Prevedere programmi di scambio, a livello europeo e internazionale, per attività di istruzione universitaria e in ambito professionale, che promuovano anche una sempre maggiore inclusione della popolazione femminile.
  • Misura #70. Promuovere, per tutti i lavoratori pubblici e privati, inclusi quelli di livello apicale, il costante aggiornamento professionale, anche attraverso percorsi di formazione in materia di sicurezza cibernetica, pure nell’ottica di riqualificare la forza lavoro già in organico.
  • Misura #71. Avviare iniziative e campagne di sensibilizzazione volte a promuovere le competenze degli utenti e i comportamenti responsabili nello spazio cibernetico, contrastando la disattenzione digitale e accrescendo la consapevolezza sui rischi derivanti dall’uso delle tecnologie informatiche e su come proteggere la propria privacy online.
  • Misura #73. Predisporre e implementare un’autonoma strategia nazionale, con relativo piano d’azione, dedicata alla protezione online dei minori dai crimini informatici, che contempli iniziative come la realizzazione di campagne di sensibilizzazione indirizzate non solo ai minori, ma anche a genitori, tutori ed educatori.

Chiudiamo con la Misura #82 che promuove lo sviluppo, entro 12 mesi dall’adozione della strategia dell'ACN, apposite metriche e key performance indicator (KPI) per misurare:

  • livello di implementazione della strategia;
  • livello di maturità nel settore della cybersecurity;
  • partecipazione di particolari fasce della popolazione (ad es. Donne, giovani e disoccupati o inoccupati) in attività di sensibilizzazione, istruzione e formazione nel campo della sicurezza informatica, e la loro efficacia;
  • partecipazione di particolari fasce della popolazione (ad es. donne e giovani) nell’industria della sicurezza informatica;
  • iniziative e relativi investimenti, anche da parte dell’industria nazionale, in attività di ricerca e sviluppo nel campo della sicurezza informatica;
  • totale degli investimenti in sicurezza informatica da parte di soggetti pubblici e privati;
  • totale delle imprese nazionali coperte da polizza assicurativa contro gli incidenti informatici.

Come migliorare la sicurezza informatica in azienda

Prevenzione, Risposta, Sviluppo, Formazione e Cooperazione, queste le parole chiave per lo sviluppo della sicurezza informatica a livello nazionale identificate dall'Agenzia preposta, come abbiamo visto con un ambizioso Piano di iniziative che coinvolgono molteplici attori istituzionali, operatori privati e società civile.

Piano e iniziative che di fatto possono essere traslati, in dimensioni ridotte ma altrettanto fondamentali (visto che la sicurezza informatica ci mostra plasticamente quanto possiamo essere interconnessi), sulle singole organizzazioni e gli individui.

E allora in azienda pianificare, prevenire, anche attraverso la formazione, e reagire (prontamente) sono le azioni da mettere in campo fin da subito. A partire dalle polizze assicurative che offrono coperture per il Cyber Risk.

Occorre inoltre predisporre un piano di sicurezza informatica, attività favorita dall'individuazione delle adeguate coperture assicurative che comporta un'analisi delle vulnerabilità aziendali. E infine dotarsi di un supporto specialistico ad attacco avvenuto, per tutelare la business continuity e contenere i danni, come il Servizio di Gestione Emergenze Informatiche – GEI, che fornisce gli interventi necessari in caso di incidente o attacco informatico, 7 giorni su 7.

Attrezzarsi in maniera opportuna ed adeguata per tutelare la propria sicurezza informatica, come visto tutela il prosieguo dell'attività aziendale, protegge dalle eventuali conseguenze legali e dunque anche finanziarie, costituisce un vantaggio competitivo che con il passare del tempo si fa sempre più rilevante.

Per un approfondimento qui la Strategia nazionale di Cybersicurezza 2022-2026

COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI