Agenzia per la cybersicurezza: come funziona

• Legge cybersicurezza
• Natura giuridica dell'Agenzia
• Organi dell'Agenzia
• Funzioni dell'A.C.N
• Strutture interne dell'A.C.N
• Contabilità e finanza
• Personale dell'Agenzia

Legge cybersicurezza

[Torna su]

In vigore dal 5 agosto la nuova legge sulla cybersicurezza. Il testo della l. n. 109/2021 di conversione, con modificazioni, del dl 82/2021 (sotto allegato) è approdato il 4 agosto in Gazzetta Ufficiale dopo aver ricevuto l'ok dal Senato nei giorni precedenti.

Il provvedimento è finalizzato a promuovere la cultura della sicurezza cibernetica, ma soprattutto la consapevolezza del settore pubblico, privato e di tutta la società civile sui rischi e le minacce cyber. Ruolo centrale quello attribuito all'Agenzia per la cybersicurezza.

In sede di conversione sono state apportate alcune modifiche al testo del decreto n. 82/2021, che si appresta a diventare legge. Vediamo quali sono gli aspetti più importanti da segnalare del provvedimento in sede di conversione (sotto allegato).

Cybersicurezza e resilienza nazionale

Le prime modifiche che saltano all'occhio del testo convertito sono le definizioni aggiornate dei seguenti termini:

• cybersicurezza: "insieme delle attività, ferme restando le attribuzioni di cui alla legge 3 agosto 2007, n.124, e gli obblighi derivanti da trattati internazionali, necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l'integrità e garantendone la resilienza, anche ai fini della tutela della sicurezza nazionale e dell'interesse nazionale nello spazio cibernetico";
• resilienza nazionale dello spazio cybernetico: "attività volte a prevenire un pregiudizio per la sicurezza nazionale come definito dall'articolo 1, comma 1, lettera f), del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio2020, n. 131."

Natura giuridica dell'Agenzia

[Torna su]

L'Agenzia per la cybersicurezza nazionale, con sede in Roma, è istituita per tutelare gli interessi nazionali nell'ambito della sicurezza cibernetica e per la tutela della sicurezza nazionale nello spazio cibernetico. L'ACN ha personalità giuridica di diritto pubblico ed ha autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria, nei limiti stabiliti dal decreto.

Organi dell'Agenzia

[Torna su]

Organo dell'Agenzia è il Direttore generale, che non può restare in carica per più di 4 anni, rinnovabili al massimo per altri 4.

Il Direttore generale è il referente del Presidente del Consiglio dei ministri e dell'Autorità delegata, ove istituita, ed è gerarchicamente e funzionalmente sovraordinato al personale dell'Agenzia, in più ha la rappresentanza della stessa.

C'è poi il Collegio dei revisori dei conti, le cui funzioni, così come quelle di Direttore generale, sono previste e disciplinate da un regolamento che definisce anche l'organizzazione dell'Agenzia, articolata in uffici di livello dirigenziale generale e non generale nei limiti delle risorse disponibili.

Ruolo e funzioni del Presidente del Consiglio

Al Presidente del Consiglio spetta l'alta direzione e la responsabilità generale delle politiche di cybersicurezza e ai fini dell'attuazione della strategia nazionale, sentito il CIC, impartisce le direttive ed emana ogni disposizione necessaria per l'organizzazione e il funzionamento dell'Agenzia per la cybersicurezza nazionale. Entro il 30 giugno di ogni anno inoltre, come previsto in sede di conversione, il PdC deve trasmettere al COP ASIR una relazione sulle attività svolte all'Agenzia nell'anno precedente, negli ambiti che riguardano la tutela della sicurezza nazionale nello spazio cibernetico per quanto riguarda i profili di competenza del Comitato.

Funzioni dell'A.C.N

[Torna su]

L'Agenzia nazionale per la sicurezza cybernetica svolge le seguenti e importanti funzioni:

• assicura il coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza;
• promuove la realizzazione di azioni comuni per assicurare una cornice di sicurezza e resilienza cibernetiche per lo sviluppo della digitalizzazione, del sistema produttivo e delle P.A e per l'autonomia nazionale ed europea per quanto riguarda i prodotti e i processi informatici strategici per la tutela degli interessi nazionali nel settore;
• predispone la strategia nazionale di cybersicurezza;
• svolge attività di supporto per il funzionamento del Nucleo per la cybersicurezza;
• è Autorità nazionale competente e punto di contatto in materia di sicurezza delle reti e dei sistemi informativi, accerta le violazioni e irroga le sanzioni;
• nella veste di Autorità nazionale di certificazione della cybersicurezza assume le funzioni in materia di certificazione di sicurezza cibernetica, comprese quelle di accertamento delle violazioni e irrogazione delle sanzioni;
• assume le funzioni già attribuite in ambito cybernetico al Ministero dello sviluppo economico, alla Presidenza del Consiglio dei ministri, al Dis, all'Agenzia per l'Italia Digitale;
• provvede alla qualificazione dei servizi cloud per la pubblica amministrazione nel rispetto della disciplina dell'Unione europea;
• assume iniziative idonee a valorizzare la crittografia come strumento di cybersicurezza e sviluppa capacità di prevenzione, monitoraggio, rilevamento, analisi e risposta per scongiurare incidenti e attacchi alla sicurezza informatica;
• esprime pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza;
• cura i rapporti comunitari e internazionali con i competenti organismi, istituzioni ed enti;
• segue nelle sedi istituzionali competenti le tematiche di cybersicurezza;
• persegue obiettivi di eccellenza, anche attraverso l'elaborazione di progetti e iniziative;
• sostiene e coordina la partecipazione del nostro paese a progetti e iniziative europee e internazionali;
• comunica e promuove le tematiche della cybersicurezza;
• promuove la formazione, la crescita professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, potendosi avvalere, come previsto di conversione delle strutture formative e delle capacità della Presidenza del Consiglio dei ministri, del Ministero della difesae del Ministero dell'interno. Può inoltre predisporre attività di formazione per i giovani che aderiscono al servizio civile regolate sulla base di apposite convenzioni. In ogni caso, il servizio prestato è, a tutti gli effetti, riconosciuto come servizio civile;
• collabora con il Garante dei dati personali anche per quanto riguarda gli incidenti che comportano la violazione dei dati personali;
• è Centro nazionale di coordinamento con il compito d'interfacciarsi con il Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca.

In sede di conversione viene valorizzato il raccordo tra l'Agenzia e il Ministero della Difesa per quanto riguarda gli aspetti della ricerca militare e per quelli inerenti progetti e iniziative in collaborazione con la NATO e l'Agenzia europea per la difesa.

Prevista inoltre l'istituzione presso l'Agenzia, con funzioni di consulenza e di proposta, di un Comitato tecnico-scientifico, presieduto dal direttore generale della stessa Agenzia, o da un dirigente da lui delegato.

Strutture interne dell'A.C.N

[Torna su]

Fanno parte dell'Agenzia, per trasferimento o per nuova istituzione, il Centro di valutazione e certificazione nazionale, il CSIRT italiano, che diventa CSIRT Italia e il Nucleo per la cybersicurezza. Quest'ultimo, stituito ex novo a supporto del CdM, è presieduto dal direttore generale dell'Agenzia o, per sua delega dal vice direttore generale da lui designato. In sede di conversione si specifica che "ai componenti del Nucleo non spettano compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati." Al Nucleo il compito di promuovere la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica di amministrazioni e operatori privati interessati e l'elaborazione delle procedure di coordinamento interministeriale, in raccordo con le pianificazioni di difesa e protezione civile.

Contabilità e finanza

[Torna su]

L'Agenzia per la cybersicurezza è finanziata grazie a dotazioni proprie, risorse provenienti dall'UE e proventi patrimoniali e di gestione. Essa è dotata di un regolamento di contabilità, che ne garantisce l'autonomia contabile e gestionale.

Personale dell'Agenzia

[Torna su]

A un regolamento il compito di disciplinare il contingente di personale addetto all'Agenzia e tutti gli aspetti del rapporto di lavoro, prevedendo un trattamento economico pari a quello dei dipendenti della Banca d'Italia "sulla scorta della equiparabilità delle funzioni svolte e del livello di responsabilità rivestito."