Nasce l'Agenzia nazionale per la Cybersecurity. E' stato approvato il decreto legge dal Consiglio dei ministri. Entro il 10 settembre verrà nominato il direttore generale della nuova struttura, "istituita a tutela degli interessi nazionali nel campo della cybersicurezza.
L'Agenzia opererà sotto la responsabilità
L'Agenzia sulla cybersecurity sarà incaricata, inoltre, di contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali.
Supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore; assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica.
Inoltre, il decreto istituisce il Comitato interministeriale per la cybersicurezza (CIC) e prevede specifici poteri di controllo da parte del Comitato parlamentare per la sicurezza della Repubblica (COPASIR). Infine, quale tempestivo adeguamento alla normativa europea, il Governo ha individuato l’Agenzia quale Centro nazionale di coordinamento italiano, che si interfaccerà con il “Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca” di recente istituzione, concorrendo ad aumentare l’autonomia strategica europea nel settore.
Le funzioni della nuova agenzia
Nella bozza del dl sulla Cybersecurity vengono definite le funzioni della nuova Agenzia che "è Autorità nazionale per la cybersicurezza e, in relazione a tale ruolo, assicura, nel rispetto delle competenze attribuite dalla normativa vigente ad altre amministrazioni, il coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e promuove la realizzazione di azioni comuni dirette ad assicurare la una cornice di sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonché per il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore".
Inoltre "predispone la strategia nazionale di cybersicurezza; svolge ogni necessaria attività di supporto al funzionamento del Nucleo per la cybersicurezza; è Autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, per le finalità di cui al decreto legislativo NIS, a tutela dell’unità giuridica dell’ordinamento, ed è competente all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative previste dal medesimo decreto". Inoltre "assume tutte le funzioni in materia di cybersicurezza già attribuite dalle disposizioni vigenti al Ministero dello sviluppo economico".
L'Agenzia, si legge nella bozza, "assume tutte le funzioni attribuite alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica" e "assume tutte le funzioni già attribuite al DIS dal decreto-legge perimetro e dai relativi provvedimenti attuativi e supporta il Presidente del Consiglio dei ministri ai fini dell’articolo 1, comma 19-bis, del decreto-legge perimetro".
L'Agenzia per la cybersecurity "provvede, sulla base delle attività di competenza del Nucleo per la cybersicurezza; assume tutte le funzioni in materia di cybersicurezza già attribuite all’Agenzia per l’Italia digitale dalle disposizioni vigenti; sviluppa capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici; partecipa alle esercitazioni nazionali e internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese".
Inoltre "cura e promuove la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale. A tal fine, l’Agenzia esprime pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza; coordina, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza".
"Nell’ambito dell’Unione europea e a livello internazionale, l’Agenzia cura i rapporti con i competenti organismi, istituzioni, ed enti, nonché segue nelle competenti sedi istituzionali le tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni. In tali casi, è comunque assicurato il raccordo con l’Agenzia al fine di garantire posizioni nazionali unitarie e coerenti con le politiche di cybersicurezza definite dal Presidente del Consiglio dei ministri".
L'Agenzia inoltre, si legge nella bozza del dl, "perseguendo obiettivi di eccellenza, supporta negli ambiti di competenza, mediante il coinvolgimento dell’accademia, della ricerca e del sistema produttivo nazionali, lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche. A tali fini, l’Agenzia può promuovere, sviluppare e finanziare specifici progetti ed iniziative, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca nel settore. L’Agenzia assicura le opportune sinergie con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza".
"Stipula accordi bilaterali e multilaterali, anche mediante il coinvolgimento del settore privato e industriale, con istituzioni, enti e organismi di altri Paesi per la partecipazione dell’Italia a programmi di cybersicurezza, assicurando le opportune sinergie con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza; promuove, sostiene e coordina la partecipazione italiana a progetti e iniziative dell’Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi. L’Agenzia assicura le opportune sinergie con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza".
"Svolge attività di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia; promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, anche attraverso l’assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati; per le finalità di cui al presente articolo, può costituire e partecipare a partenariati pubblico privato sul territorio nazionale, nonché, previa autorizzazione del Presidente del Consiglio dei ministri, a consorzi, fondazioni o società con soggetti pubblici e privati, italiani e stranieri".
L'Agenzia inoltre, si legge nella bozza del dl, "perseguendo obiettivi di eccellenza, supporta negli ambiti di competenza, mediante il coinvolgimento dell’accademia, della ricerca e del sistema produttivo nazionali, lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche. A tali fini, l’Agenzia può promuovere, sviluppare e finanziare specifici progetti ed iniziative, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca nel settore. L’Agenzia assicura le opportune sinergie con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza".
"Stipula accordi bilaterali e multilaterali, anche mediante il coinvolgimento del settore privato e industriale, con istituzioni, enti e organismi di altri Paesi per la partecipazione dell’Italia a programmi di cybersicurezza, assicurando le opportune sinergie con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza; promuove, sostiene e coordina la partecipazione italiana a progetti e iniziative dell’Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi. L’Agenzia assicura le opportune sinergie con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza".
"Svolge attività di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia; promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, anche attraverso l’assegnazione di borse distudio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati; per le finalità di cui al presente articolo, può costituire e partecipare a partenariati pubblico privato sul territorio nazionale, nonché, previa autorizzazione del Presidente del Consiglio dei ministri, a consorzi, fondazioni o società con soggetti pubblici e privati, italiani e stranieri".
Agenzia di Cybersecurity, organizzazione e stipendio dipendenti
"È istituita, a tutela degli interessi nazionali nel campo della cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico, l’Agenzia per la cybersicurezza nazionale (ACN), denominata ai fini del presente decreto 'Agenzia', con sede in Roma". Si legge nella bozza del dl sulla Cybersecurity.
"L’Agenzia ha personalità giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria. I regolamenti previsti dal presente decreto possono recare disposizioni anche in deroga alle norme vigenti, in relazione all’assolvimento delle funzioni di tutela della sicurezza nazionale nello spazio cibernetico attribuite all’Agenzia stessa e tenuto conto delle attività svolte in raccordo con il Sistema di informazione per la sicurezza della Repubblica".
"Il Presidente del Consiglio dei ministri e l’Autorità delegata, ove istituita, si avvalgono dell’Agenzia per l’esercizio delle competenze di cui al presente decreto". Gli incarichi, si spiega, "del direttore generale e del vice direttore generale hanno la durata massima di quattro anni e sono rinnovabili, con successivi provvedimenti, per una durata complessiva massima di ulteriori quatto anni. Il direttore generale dell’Agenzia è il diretto referente del Presidente del Consiglio dei ministri e dell’Autorità delegata". L’Agenzia "può richiedere la collaborazione di altri organi dello Stato, di altre amministrazioni, delle forze di polizia o di enti pubblici per lo svolgimento dei suoi compiti istituzionali". Infine, il Copasir "può chiedere l’audizione del direttore generale dell’Agenzia su questioni di propria competenza".
"Con apposito regolamento è dettata, anche in deroga alle vigenti disposizioni di legge e nel rispetto dei criteri di cui al presente decreto, la disciplina del contingente di personale addetto all’Agenzia" prevede la bozza del decreto. "Il regolamento definisce l’ordinamento e il reclutamento del personale, e il relativo trattamento economico e previdenziale, prevedendo, in particolare, per il personale dell’Agenzia un trattamento economico pari a quello in godimento da parte dei dipendenti della Banca d’Italia, sulla scorta della equiparabilità delle funzioni svolte e del livello di responsabilità rivestito".
