Come procede l’implementazione del Pnrr per quanto riguarda gli investimenti seguiti dall’Agenzia per la cybersicurezza nazionale?
Utilizzando i fondi del Pnrr, 623 milioni di euro totali, di cui ne abbiamo impegnati circa la metà, abbiamo già raggiunto i primi obiettivi relativi: ai servizi nazionali dicybersecurity; all’avvio della rete dei laboratori discreeninge certificazione; all’attivazione di un’unità centrale di audit per le misure di sicurezza previste dalla normativa sul Perimetro di sicurezza nazionale cibernetica (Psnc) e dalla direttiva Nis; al potenziamento delle strutture di sicurezza. Entro dicembre 2024, queste azioni arriveranno a conclusione con diverse iniziative come, per esempio, il sostegno al potenziamento delle strutture di sicurezza T2, il dispiego integrale dei servizi nazionali di cybersecurity, il completamento della rete dei laboratori e dei centri di valutazione e certificazione della cybersecurity, nonché la piena operatività dell’unità di audit per le misure di sicurezza Psnc e Nis con il completamento di almeno 30 ispezioni.
All’interno dell’Agenzia per la cybersicurezza nazionale si trova il Centro di valutazione e certificazione nazionale, piattaforma rivolta ai soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica per le forniture di beni, sistemi e servizi Ict. Come assicurare sicurezza e tempestività assieme?
Il Cvcn è attivo dal 1° luglio 2022 e ha già ricevuto diverse centinaia di notifiche da parte dei soggetti inclusi nel Perimetro. La procedura per lo scrutinio tecnologico dei prodotti oggetto di notifica è stata studiata per ridurre al minimo l’impatto sui processi di acquisto effettuati dai soggetti interessati. Le analisi preliminari che vengono svolte nella prima fase della procedura, prima ancora che si avvii il processo formale di gara e acquisto (in particolare, l’analisi del rischio), permettono di calibrare correttamente il tipo e la severità dei test da condurre sulle forniture successivamente selezionate. Il tema dei tempi richiesti per la valutazione e la gestione di situazioni particolari – quali emergenze, guasti, contratti quadro con fornitura non perfettamente definita etc. – è stato affrontato in numerose interlocuzioni attivate dalle parti coinvolte. Le analisi condotte e le soluzioni elaborate sono pubblicate all’interno del portale del Cvcn, nell’apposita sezione delle Faq, la cui consultazione è riservata ai soggetti del Perimetro. Una volta consolidati i processi di valutazione e certificazione, inclusa la partecipazione attiva dei Laboratori di prova in fase di accreditamento, sarà possibile un affinamento delle procedure sotto il profilo tecnico e organizzativo, come previsto dalla normativa, per migliorarne ulteriormente l’efficacia e l’efficienza. In sintesi, il bilanciamento tra i tempi necessari per garantire un adeguato scrutinio di sicurezza per le forniture IT e la tempestività dei processi impiegati, è sempre stato elemento cardine per la regolamentazione del Cvcn e per il suo mandato.
Parlando di 5G e dei fornitori extra-Ue, crede che il Perimetro di sicurezza nazionale cibernetica e il Centro di valutazione e certificazione nazionale siano sufficienti ad assicurare la sicurezza del Paese e a rassicurare i nostri alleati e partner?
Perimetro e Cvcn non sono gli unici strumenti disponibili in materia. La normativa Golden Power (D.L. 21 del 15 marzo 2012) è quella che si può definire un presidio primario. Il Golden Power è infatti un potere speciale che il governo può esercitare per bloccare, o sottoporre a vincoli, operazioni riguardanti asset considerati strategici, qualora sussistano minacce di grave pregiudizio per gli interessi essenziali della difesa e della sicurezza nazionale – compresi i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G – anche con riferimento ai settori dell’energia, dei trasporti, delle comunicazioni e in quelli ad alta intensità tecnologica. In tale contesto, le valutazioni effettuate dal Gruppo di coordinamento Golden Power (tavolo cui l’Agenzia per la cybersicurezza nazionale partecipa per le materie di competenza), in uno con le speciali misure organizzative e tecniche previste per i soggetti del Perimetro e le attività di scrutinio in capo al Cvcn, assicurano una elevata capacità di monitoraggio nel settore critico delle reti mobili di nuova generazione.
Nelle scorse settimane lei ha dichiarato che si deve “correre” per aumentare il personale dell’Agenzia per la cybersicurezza nazionale fino a 300 unità. A che punto siete?
Siamo arrivati a 180 unità di personale in servizio. Sono abbastanza fiducioso che entro la fine dell’anno arriveremo alle 300 unità previste. A breve comincerà lo scrutinio di 60 giovani diplomati che hanno superato una prima selezione. Tra di loro ci sono tecnici di laboratorio, esperti di hardware e software.
Continua a leggere l’intervista su Formiche.net.