La strategia Italiana di cybersicurezza: 82 misure, investimenti, obiettivi

La presentazione della Strategia nazionale di cybersicurezza 2022-2026 chiarisce investimenti, obiettivi e misure pratiche da attuare. Ecco i dettagli.

La Strategia nazionale di cybersicurezza 2022-2026 approvata il 18 maggio da parte del Comitato Interministeriale per la Cybersicurezza presieduto dal Presidente del Consiglio Mario Draghi, è stata presentata ufficialmente ieri a Palazzo Chigi dall’Autorità delegata per la sicurezza della Repubblica Franco Gabrielli e dal direttore dell’Agenzia per la cybersicurezza nazionale Roberto Baldoni. Alcuni contenuti erano già ampiamente noti, come lo stanziamento per la cybersicurezza dell’1,2% degli investimenti nazionali lordi.

I contenuti inediti divulgati riguardano invece le 82 misure che ruotano attorno ai quattro obietti principali esposti da Gabrielli: rafforzare la resilienza nella transizione digitale del sistema Paese; conseguire l'autonomia strategica in ambito cibernetico; anticipare l'evoluzione della minaccia e gestire le crisi; e non ultimo contrastare la disinformazione online.

Lo scenario di partenza

Gli esperti di cyber security denunciano da tempo la situazione che ieri Gabrielli ha ammesso con grande franchezza: “il Paese vive una condizione di deficit complessivo di sicurezza del dominio cibernetico, la maggior parte dei server non ha standard che garantiscano la sicurezza dei dati. Questo è un ritardo che pesa e con cui dobbiamo fare i conti".


La segnalazione per dire il vero riprende la denuncia che fece a inizio 2021 il Ministro per l'Innovazione tecnologica e la Transizione digitale Vittorio Colao, e a cui seguì la creazione dell'Agenzia per la Cybersicurezza Nazionale. Da allora è cambiato molto: i frequenti attacchi contro ospedali, Regioni, Comuni e ASL hanno fatto toccare con mano le conseguenze devastanti di un attacco cyber. E hanno fatto comprendere che il problema riguarda tutti.

Il conflitto ucraino ha poi innescato la paura di ripercussioni cyber che per adesso si sono manifestate in forma lieve, ma che potrebbero essere il preludio di qualcosa di molto più drammatico. Lo ha bene illustrato Gabrielli, quando ha affermato che “siamo di fronte ad attacchi simbolici e non a vere e proprie campagne. Occorre prepararsi a campagne che potranno portare a decine di incidenti”.

Un contesto complessivo stratificato e complesso, che evidentemente era quello che ci voleva per innescare quella presa di coscienza dei rischi che ha latitato troppo a lungo nei meandri delle istituzioni italiane. E che finalmente ha fatto maturare un minimo di consapevolezza verso quello che occorrerebbe per abbassare tali rischi – perché è ormai assodato che eliminarli è impossibile.

Sono argomenti su cui insistono da tempo il Clusit, vendor di cybersecurity come Trend Micro e Bitdefender, e molti altri. La buona notizia è che i messaggi diffusi dagli esperti cyber e per troppo tempo caduti nel vuoto sembrano assimilati, almeno nelle parti fondamentali: il Presidente Draghi, nella premessa del documento sulla Strategia, ha messo nero su bianco al punto 3 che la cybersicurezza “deve essere percepita non come un costo, ma come un investimento e un fattore abilitante per lo sviluppo dell'economia e dell'industria nazionale, al fine di accrescere la competitività del Sistema-Paese a livello globale”.

È indicativo anche il punto 2: “la cybersicurezza, che è divenuta una questione di importanza strategica, deve porsi a fondamento del processo di digitalizzazione del Paese, quale elemento imprescindibile della trasformazione digitale, anche nell’ottica di conseguire l’autonomia nazionale strategica nel settore”.


Queste, e altre dimostrazioni di grande importanza e coscienza espresse nel documento, per ora sono un’appassionante dichiarazione di intenti. La loro attuazione dovrà passare per una serie non indifferente di ostacoli, sia finanziari che culturali. Sotto l’aspetto finanziario, al momento di certo c’è un investimento per 623 milioni di euro, e il sopraccitato stanziamento per la cybersecurity di una quota percentuale pari all’1,2% degli investimenti nazionali lordi su base annuale. Insieme alla dichiarazione di Draghi, secondo cui per garantire la nostra sovranità digitale “sarà cruciale stanziare fondi adeguati, con continuità”.

Sul fronte culturale, è indicativo il punto 4 del documento citato: “la messa in sicurezza di infrastrutture, sistemi e informazioni dal punto di vista tecnico deve essere accompagnata da un progresso culturale ad ogni livello della società, verso un approccio ‘security-oriented’, tassello indispensabile per tutelare il nostro sistema valoriale e democratico”.

Per ora non resta che prendere atto di questo importante passo e monitorarne l’evoluzione, nella consapevolezza che il percorso verso la messa in sicurezza degli asset nazionali strategici e critici sarà lungo, articolato e tutt’altro che semplice da attuare. Soprattutto se la burocrazia alzerà barriere difficili da arginare per chi potrebbe fattivamente dare un supporto concreto all’applicazione delle buone idee.

Il piano del governo

La parte tecnica e sostanziosa del piano è contenuta in un secondo documento, dove sono elencate 82 misure. Due sono i temi comuni a molte di essere e di grande rilevanza. Il primo riguarda la volontà di attuare una stretta collaborazione fra pubblico e privato. Alla misura #5, per esempio, parla di “supportare lo sviluppo, valutandone l’adeguatezza in termini di sicurezza nazionale, degli schemi di certificazione in materia di cybersicurezza e, in collaborazione con il settore privato, promuoverne l’adozione e l’utilizzo da parte dei fornitori di servizi e delle imprese italiane, favorendo lo sviluppo del tessuto imprenditoriale nazionale specializzato al fine di conseguire un vantaggio competitivo sul mercato”.

Ritroviamo la questione nella misura #54: “Favorire la ricerca e lo sviluppo, specialmente nelle nuove tecnologie, promuovendo l’inclusione dei principi di cybersicurezza e supportando, anche mediante finanziamenti, investimenti pubblici e privati e meccanismi di semplificazione, progetti di sicurezza cibernetica da parte del settore privato – con particolare riferimento alle startup e alle PMI innovative – e dei Centri di competenza e di ricerca attivi sul territorio nazionale”.

Il ravvicinamento pubblico-privato riguarda anche la formazione, come sottolineato nella misura #53: “dispiegare fondi da dedicare alla formazione professionale nei settori pubblico e privato, al fine di agevolare il passaggio dal mondo scolastico a quello del lavoro e conseguire, così, una sovranità nazionale digitale delle competenze”.


Altro fattore chiave è la spinta europea verso un allineamento agli standard comunitari di security, come si legge alla misura #1: “Rafforzare il sistema di scrutinio tecnologico nazionale a supporto della sicurezza della supply chain e l’adozione di schemi di certificazione europea di cybersecurity, anche mediante l’accreditamento di laboratori di valutazione pubblico/privati”.

Oltre a rafforzare la security interna, un passo di questo tipo sarebbe funzionale ad altri scopi, fra cui poter “contribuire attivamente, in ambito di Unione europea, alla definizione di policy/regolamentazioni in materia di cybersicurezza” (misura #80), “contribuire attivamente, in ambito di Unione europea, all’individuazione delle priorità di ricerca e sviluppo per traguardare l’obiettivo dell’autonomia tecnologica UE in ambito digitale” (misura #81). Non ultimo, “rafforzare il ruolo dell’Italia all’interno dei consessi multilaterali impegnati in ambito di sicurezza cibernetica (quali Unione europea, NATO, G7, OSCE e Consiglio d’Europa) e il posizionamento strategico nazionale in Europa e nel mondo, promuovendo sinergie con i Paesi “like-minded” (misura #75).

Ci sono poi dettami pratici bene precisi riguardanti la Pubblica Amministrazione. Dovranno essere pubblicate chiare linee guida sulla cybersecurity che le amministrazioni dovranno seguire, riferimenti espliciti alla transizione al cloud (trattata anche nella misura #16 che fa riferimento alla Strategia Cloud Italia), alla gestione continuativa e automatizzata del rischio cyber e persino all’approccio Zero Trust (misura #10).

Nella misura #22 si raccomanda invece l’uso della crittografia, e nella #32 è interessante notare la promozione di “strumenti di simulazione, basati sull'Intelligenza Artificiale e il machine learning, per supportare le fasi di prevenzione, scoperta, risposta e predizione degli impatti di attacchi cyber di natura sistemica”.

Tutte le 82 misure sono elencate in dettaglio al link indicato e sono liberamente consultabili online.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale Mobile e IoT

Speciale

Threat Intelligence

Speciale

Cloud Security

Speciale

Cybertech Europe 2022

Speciale

Backup e protezione dei dati

Calendario Tutto

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter