Firmato a gennaio, è stato appena pubblicato in Gazzetta Ufficiale il Decreto del Presidente del Consiglio del 24 gennaio 2013 contente gli indirizzi per la protezione cibernetica e la sicurezza informatica nazionale.
Dopo aver letto con (spero) molta attenzione il decreto ecco qui di seguito alcune mie veloci considerazioni.
Premessa, qualora ce ne fosse bisogno: non si tratta di una strategia. E’ ovvio, direte voi dopo aver letto il DPCM. Non per tutti lo è, rispondo io. La strategia deve ancora venire e se già è stata formulata, come qualcuno sostiene, essa deve ancora essere pubblicata.
Il decreto, come espressamente dichiarato, “definisce, in un contesto unitario e integrato, l’architettura nazionale relativamente alle infrastrutture critiche materiali ed immateriali con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali, indicando a tal fine i compiti affidati a ciascuna componente ed i meccanismi e le procedure da seguire ai fini della riduzione della vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi”. In altri termini si tratta di un atto normativo col quale si definiscono architettura istituzionale e procedure. Insomma, chi fa e che cosa.
Peraltro, già nell’ambito del Gruppo di studio per la sicurezza dell’utilizzo dello spazio cibernetico era emersa l’esigenza di un riordino dell’organizzazione degli uffici esistenti e delle relative competenze in ambito cyber ed è, nella sostanza, ciò che è stato fatto tramite il presente decreto.
Il modello adottato, se così si può dire, è quello classico, c.d. “integrato”. In cima alla piramide, con compiti di direzione politico-strategica, sono il Presidente del Consiglio ed i ministri del CISR ai quali spetta la formulazione del “quadro strategico nazionale per la sicurezza dello spazio cibernetico” e del “Piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali”. Leggendo le definizioni che di entrambi – quadro strategico e piano nazionale -vengono date nel decreto direi che si tratta, di fatto, della strategia di cyber-security.
A supporto del vertice politico-strategico, in via permanente, vengono collocati un “organismo collegiale di coordinamento” ed un Nucleo per la sicurezza cibernetica. Più precisamente, il primo opera a supporto del CISR, il secondo, istituito all’interno dell’Ufficio del Consigliere militare, opera a supporto del Presidente del Consiglio.
L’organismo collegiale, presieduto dal Direttore generale del DIS, dovrebbe essere il “CISR tecnico” di cui si accenna sia nella relazione annuale del COPASIR che in quella del Governo, istituito lo scorso anno con il DPCM 26 ottobre 2012, n.2.
Il Nucleo, invece, viene istituito con l’attuale provvedimento ed è, nel campo della prevenzione e della preparazione a crisi cibernetiche, lo strumento di raccordo ed integrazione tra le varie amministrazioni e gli uffici con competenza. E’ presieduto dal Consigliere militare ed è composto da rappresentanti delle principali amministrazioni, compresa la Protezione Civile. Ha a disposizione un’unità di allertamento che opera senza soluzione di continuità e tra i suoi compiti vi è quello di attivare il Tavolo interministeriale di crisi cibernetica nel caso in un evento cibernetico sia ritenuto tale da mettere in pericolo la sicurezza nazionale o richieda comunque un coordinamento interministeriale. Sarà poi compito del Tavolo, presieduto dal Consigliere militare, garantire il coordinamento nella gestione della crisi, avvalendosi anche dal CERT (che, peraltro, non mi risulta essere stato ancora istituito).
L’Intelligence, in linea con le proprie competenze ed attribuzioni, provvede ad assicurare la raccolta informativa, le analisi strategiche e le previsioni in materia di sicurezza cibernetica. Centrale il ruolo del DIS. Non solo, infatti, il suo Direttore presiede l’organismo collegiale di coordinamento, principale supporto del CISR e cinghia di trasmissione tra vertice politico-strategico e singole amministrazioni, ma all’interno della Scuola di formazione il decreto istituisce anche un comitato scientifico composto da esperti del mondo accademico, della pubblica amministrazione e del settore privato con il compito di “formulare ipotesi di intervento rivolte a migliorare gli standard ed i livelli di sicurezza dei sistemi e delle reti“.
Il DPCM, infine, contiene le definizioni di “spazio cibernetico“, “sicurezza cibernetica“, “minaccia cibernetica” ed “evento cibernetico“. Se non erro è la prima volta che tali termini vengono formalmente definiti all’interno di un testo legislativo italiano.