L’Agenzia, tramite il Servizio Autorità e Sanzioni, svolge le attività regolatorie e attuative della vigente disciplina in materia di cybersicurezza, sia di derivazione comunitaria che nazionale, garantendone il rispetto anche attraverso l’esercizio dei poteri sanzionatori. In tale contesto, sono assicurate le funzioni di punto di contatto unico e di autorità competente NIS (Direttiva UE 2016/1148 – D.Lgs. 65/2018). Il Servizio, inoltre, coordina le attività esercitative che simulano eventi e crisi di natura cibernetica.
Attività regolamentare
Cura tutte le attività di regolamentazione e attuazione della disciplina cyber, ivi incluso il rapporto con i soggetti vigilati e con le amministrazioni coinvolte. Ciò ricomprende:
- il Perimetro di sicurezza nazionale cibernetica (PSNC – D.L. 105/2019), anche supportando le attività del Tavolo Perimetro;
- il Codice delle comunicazioni elettroniche (D.Lgs. 207/2021) in relazione all’integrità delle reti di telecomunicazione;
- il decreto NIS (D.Lgs. 65/2018), curando anche le attività del Comitato tecnico di raccordo, e il recepimento della Direttiva NIS2 (Direttiva UE 2022/2555);
- il Codice dell’amministrazione digitale (CAD) per i profili attinenti alla cybersicurezza (articoli 51 e 71 del D.Lgs. 82/2005);
- il Regolamento discendente dalla Strategia Cloud Italia e dall’articolo 33-septies del D.L. 179/2012 (Determinazione AgID 628/2021).
Proiezione europea
D’intesa con le articolazioni che seguono le attività internazionali in materia di cybersicurezza, segue i lavori del Gruppo di Cooperazione NIS (NISCG – NIS Cooperation Group) e del European Competent Authorities for Secure Electronic Communications (ECASEC), consessi nei quali si confronta e coopera con le omologhe strutture degli altri Stati membri.
Inoltre, con riferimento al contesto delle crisi di natura cibernetica, il Servizio svolge la funzione di punto di contatto nazionale cyber per il meccanismo integrato di risposta politica alle crisi (IPCR – Integrated political crises response) del Consiglio e partecipa alla rete europea Cyber Crises Liaison Organisation Network (UE CyCLONe).
Esercitazioni
Assicura la preparazione e organizzazione delle esercitazioni nazionali e internazionali in materia di cybersicurezza, anche nell’ambito dei relativi meccanismi europei, internazionali, OSCE, ONU e NATO di gestione crisi. In tale contesto, sono assicurati i raccordi con il Nucleo interministeriale situazione e pianificazione (NISP) tecnico e con la Commissione interministeriale tecnica di difesa civile (CITDC).
Ciò ricomprende la pianificazione e/o partecipazione a BlueOLEx (CyCLONe), Cyber Europe, CySOPEx (CyCLONe) e CyberSOPEx (Rete CSIRT), oltre che alle esercitazioni ricomprese nel programma congiunto NATO-UE Parallel and Coordinated Exercise (PACE).