Logo dell'Agenzia per la cybersicurezza nazionale
Agenzia per la cybersicurezza nazionale

Rafforzare la risposta coordinata alle crisi cibernetiche è essenziale per tutelare il Paese

Il Presidente del Consiglio dei ministri lo ha ribadito con una Direttiva
shield
data
07 Agosto 2023
tempo di lettura
4 minuti

La direttiva adottata dal Presidente del Consiglio dei ministri il 6 luglio 2023, e registrata dalla Corte dei conti il 26 luglio u.s., recante “Indirizzi di coordinamento e organizzazione volti a promuovere la gestione adeguata e coordinata delle minacce informatiche, degli incidenti e delle situazioni di crisi di natura cibernetica” rafforza il quadro di cooperazione tra le Pubbliche Amministrazioni e l’Agenzia per la Cybersicurezza Nazionale.

Partendo dalla premessa che il paese tutto deve raggiungere un “alto livello di cybersicurezza”, al fine di “conseguire una più elevata capacità di protezione e risposta di fronte a emergenze cibernetiche” il documento stabilisce le forme e le finalità della collaborazione con le amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, con esclusione degli organi dello Stato preposti alla prevenzione e accertamento dei reati, alla tutela dell’ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato, nonché degli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124.

Ambito di applicazione, finalità e linee di indirizzo della Direttiva sono esplicitate nel seguente modo:

“La presente direttiva si rivolge alle amministrazioni pubbliche di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, e fornisce indirizzi di coordinamento e organizzazione volti a promuovere la gestione adeguata e coordinata delle minacce informatiche, degli incidenti e delle situazioni di crisi di natura cibernetica, in coerenza con le finalità espresse in premessa.

Appare dunque evidente l'esigenza che l'attività di supporto dell'Agenzia, sviluppata in occasione di eventi e incidenti cibernetici, venga a dispiegarsi con la più ampia collaborazione da parte dei soggetti impattati, nel loro stesso interesse e in quello, più generale, della resilienza cibernetica del Paese, onde ridurre i rischi di possibili propagazioni di conseguenze lesive, ovvero del ripetersi di analoghi attacchi, in danno di ulteriori soggetti pubblici e privati.

Rischi, questi, che potrebbero acquisire una rilevanza sistemica sino a determinare un pregiudizio per la sicurezza nazionale.

Si richiamano, pertanto, le amministrazioni destinatarie ad operare garantendo:

  1. che l'Agenzia per la cybersicurezza nazionale nello svolgimento delle sue attività istituzionali e, in particolare, gli operatori del CSIRT Italia anche nel caso di intervento in situ a seguito di incidente, dispongano del pieno supporto dei soggetti impattati, anche nel caso in cui si avvalgano di società in house o comunque a controllo pubblico. Ciò anche allo scopo di acquisire una completa ed esaustiva conoscenza situazionale volta a consentire, in corrispondenza, peraltro, agli impegni collaborativi nel quadro unionale, ogni utile operazione di analisi e valutazione della minaccia, funzionali alle attività di prevenzione e gestione degli incidenti di cybersicurezza;
  2. conseguentemente, per tutto il tempo necessario al pieno esercizio delle proprie comhighlight: true,petenze, l'accesso ai locali, ai sistemi informativi e alle reti informatiche di pertinenza delle amministrazioni impattate, compatibilmente con i limiti e i vincoli derivanti dalle prerogative dell'autorità giudiziaria.

Si confida nella sensibilità di tutte le amministrazioni, ai fini della piena osservanza delle linee di indirizzo contenute nella presente direttiva”.

Oltre al titolo esplicativo, lo scopo della Direttiva, come si evince da quanto riportato sopra, è quello di assicurare la più ampia collaborazione all’Agenzia da parte delle pubbliche amministrazioni impattate da eventi e incidenti informatici per le attività di supporto svolte dalla stessa ACN, nel loro stesso interesse e in quello, più generale, della resilienza cibernetica del Paese, onde ridurre i rischi di possibili propagazioni di conseguenze lesive, ovvero del ripetersi di analoghi attacchi in danno di ulteriori soggetti pubblici e privati. Viene quindi, in sintesi, evidenziato che le conseguenze degli attacchi, se non gestite in modo coordinato ed efficace, potrebbero acquisire anche una rilevanza sistemica, sino a determinare un pregiudizio per la sicurezza nazionale.

Direttiva adottata dal Presidente del Consiglio dei ministri il 6 luglio 2023