La Strategia Nazionale di Cybersicurezza entra nel vivo: cos’è e cosa prevede per le PMI

Nello scorso mese di maggio è stata presentata a Palazzo Chigi la Strategia Nazionale di Cybersicurezza, a cura dell’Agenzia per la Cybersicurezza Nazionale (ACN), già soggetto responsabile per l’attuazione dei progetti in materia di sicurezza informatica previsti dal PNRR.

È stato lo stesso Mario Draghi, a capo del Governo che ha approvato il provvedimento, a motivare la ragione per cui tale strategia va ad assumere un ruolo fondamentale per la crescita dei settori pubblico e privato del nostro paese:

“Le nuove forme di competizione strategica che caratterizzano lo scenario geopolitico impongono all’Italia di proseguire e, dove possibile, incrementare le iniziative in materia di cybersicurezza. Dobbiamo tenere fede agli impegni assunti nell’ambito delle organizzazioni internazionali a cui l’Italia partecipa, anche tenuto conto dell’elevata qualità e dei massicci investimenti realizzati dai principali alleati e partner internazionali. È dunque necessaria una puntuale rivisitazione nella concezione e nella visione strategica dell’architettura nazionale di cybersicurezza”.

Alla luce di quella che si prospetta come una notizia molto promettente, vediamo cos’è e cosa prevede la nuova Strategia Nazionale di Cybersicurezza, per comprendere gli aspetti che consentiranno anche alle PMI di avvalersi dei vantaggi infrastrutturali che, dopo anni di incertezze, il nostro Paese pare finalmente intenzionato a realizzare.

La cybersicurezza è un argomento ormai cruciale per la sopravvivenza delle aziende e l’azione di un soggetto trust come lo Stato risulta assolutamente fondamentale, anche per coordinare l’ecosistema di attori che gravita attorno ad un business in crescita esponenziale.

La Strategia Nazionale di Cybersicurezza: cos’è e quali sfide intende affrontare

La Strategia Nazionale di Cybersicurezza, realizzata dall’ACN sotto la direzione generale di Roberto Baldoni, prevede un piano di implementazione con 82 misure da attuare entro il 2026, offrendo sin dalla prima lettura una concretezza programmatica senza precedenti, che nasce per offrire una risposta concreta ad un quadro di rischi che il documento strategico riassume così in tre macrocategorie:

• Attacchi cyber dovuti a cybercriminali, attivisti o a campagne statuali coordinate, che sfruttano errori software, errate configurazioni, debolezze nei protocolli e/o umane, per sottrarre dati o arrecare danni ai sistemi, come nel caso delle campagne ransomware, le quali hanno un impatto sull’erogazione dei servizi, anche essenziali di un Paese, sul suo PIL e sulla sua reputazione;
• Tecnologie impiegate, le quali sono sviluppate e prodotte da grandi realtà aziendali, talvolta controllate o, comunque, influenzate nel loro operato dai Governi in cui hanno sede, con conseguenti possibili ingerenze nella catena degli approvvigionamenti, sia in termini di disponibilità sul mercato delle relative componenti, sia di affidabilità delle stesse;
• Diffusione, attraverso lo spazio cibernetico, di fake news, deepfake e campagne di disinformazione che tendono a confondere e destabilizzare i cittadini di un Paese immergendoli in uno spazio informativo estremamente dinamico e orizzontale, caratterizzato da un insieme pressoché infinito di sorgenti di notizie che polarizzano le opinioni cambiando il modo in cui percepiamo la realtà.

Lo scenario di crescente minaccia, facilmente riscontrabile nella cronaca quotidiana, in cui gli attacchi alle aziende pubbliche e private non fanno quasi più notizia, ha portato l’ACN a rilevare quattro considerazioni fondamentali:

• Rientra tra i doveri dello Stato la definizione di adeguate strategie di cybersicurezza volte a pianificare, coordinare e attuare misure tese a rendere il Paese sicuro e resiliente anche nel dominio digitale, assicurando, al contempo, la fiducia dei cittadini nella possibilità di sfruttarne i relativi vantaggi competitivi, nella piena tutela dei diritti e delle libertà fondamentali;
• La cybersicurezza, che è divenuta una questione di importanza strategica, deve porsi a fondamento del processo di digitalizzazione del Paese, quale elemento imprescindibile della trasformazione digitale, anche nell’ottica di conseguire l’autonomia nazionale strategica nel settore;
• La stessa deve poi essere percepita non come un costo, ma come un investimento e un fattore abilitante per lo sviluppo dell’economia e dell’industria nazionale, al fine di accrescere la competitività del Sistema-Paese a livello globale;
• La messa in sicurezza di infrastrutture, sistemi e informazioni dal punto di vista tecnico deve essere accompagnata da un progresso culturale ad ogni livello della società, verso un approccio “security-oriented”, tassello indispensabile per tutelare il nostro sistema valoriale e democratico.

In sede di premessa, la Strategia Nazionale di Cybersicurezza prevede cinque sfide da affrontare:

• Assicurare una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo;
• Autonomia strategica nazionale ed europea nel settore del digitale;
• Anticipare l’evoluzione della minaccia cyber;
• Gestione di crisi cibernetiche;
• Contrastare la disinformazione online nel più ampio contesto della cosiddetta minaccia ibrida.

La risposta a queste sfide fondamentali è prevista attraverso tre obiettivi fondamentali, utili a declinare concretamente la visione strategica: protezione, risposta e sviluppo.

Da questi obiettivi derivano le misure del piano di implementazione, che definisce in prima battuta i soggetti responsabili per la loro attuazione. Li riportiamo in sintesi, con parziali estratti dal testo del documento strategico.

Strategia Nazionale di Cybersicurezza – Obiettivo protezione

Comprende la protezione degli asset strategici nazionali, attraverso un approccio sistemico orientato alla gestione e mitigazione del rischio, formato sia da un quadro normativo che da misure, strumenti e controlli che possono abilitare una transizione digitale resiliente del Paese.

Di particolare importanza è lo sviluppo di strategie e iniziative per la verifica e valutazione della sicurezza delle infrastrutture ICT, ivi inclusi gli aspetti di approvvigionamento e supply-chain a impatto nazionale. Tale area rimane principalmente in capo al CVCN (Centro di Valutazione e Certificazione Nazionale) in forza all’ACN e prevede l’istituzione di Laboratori Accreditati di Prova pubblici e privati, che verranno istituiti mediante appositi bandi, per sviluppare capacità nazionali di valutazione delle vulnerabilità di tecnologie avanzate a servizio degli asset più critici del Paese.

Strategia Nazionale di Cybersicurezza – Obiettivo risposta

Comprende la risposta alle minacce, agli incidenti e alle crisi cyber nazionali, attraverso l’impiego di elevate capacità nazionali di monitoraggio, rilevamento, analisi e risposta e l’attivazione di processi che coinvolgano tutti gli attori facenti parte dell’ecosistema di cybersicurezza nazionale. Una risposta quanto più tempestiva e risolutiva deve, infatti, necessariamente basarsi su un sistema di gestione crisi cibernetica nazionale – assicurato dal Nucleo per la Cybersicurezza (NCS) – e transnazionale, che sia fondato su procedure di collaborazione consolidate supportate da costanti flussi informativi ed elementi di conoscenza condivisi anche grazie a reti e infrastrutture nazionali e transnazionali, con il coinvolgimento delle Amministrazioni e degli operatori privati interessati.

In tale ambito dovranno altresì essere assicurati:

• Lo sviluppo di un sistema di coordinamento continuativo di tutte le Amministrazioni che compongono il NCS, che garantisca una tempestiva e sinergica gestione dei vari possibili scenari di crisi il periodico;
• L’aggiornamento delle procedure operative relative alle misure di risposta connesse ai vari scenari della minaccia cyber per le determinazioni del Presidente del Consiglio, ai sensi della vigente normativa nazionale, e per la conseguente corretta implementazione da parte dei soggetti interessati;
• Una pronta attività di comunicazione istituzionale in caso di incidenti cyber rilevanti o di crisi cibernetica, nonché ogni qual volta si renda necessario svolgere azioni di sensibilizzazione nei confronti della popolazione civile.

Strategia Nazionale di Cybersicurezza – Obiettivo sviluppo

Comprende lo sviluppo consapevole e sicuro delle tecnologie digitali, della ricerca e della competitività industriale, in grado di rispondere alle esigenze del mercato. La costellazione di centri di eccellenza e imprese che compongono, assieme all’accademia, il tessuto della ricerca e dello sviluppo è infatti un patrimonio essenziale per il nostro Paese con importanti potenzialità di espansione.

Numerosi sono gli strumenti e le iniziative avviate negli ultimi anni per supportare lo sviluppo delle capacità del sistema nazionale di ricerca, la trasformazione digitale e l’innovazione tecnologica, tra cui si annoverano, in particolare, quelli previsti dal PNRR, dalle ultime leggi di bilancio, e dal Piano Nazionale Impresa 4.0.

Previste nuove misure di sostegno per le aziende che intendono investire sulla propria sicurezza informatica

Tra le novità più interessanti della Strategia Nazionale per la Cybersicurezza vi sono le modalità di finanziamento, che prevedono, oltre a quanto già previsto per gli investimenti del PNRR, ulteriori fondi da destinare annualmente per raggiungere gli obiettivi di autonomia economica in ambito digitale, tra cui rientra il miglioramento dei livelli di cybersicurezza dei sistemi informativi nazionali, sia in ambito pubblico che in ambito privato.

Il documento approvato dal Governo Draghi prevede infatti che ogni anno la quota percentuale del 1.2% degli investimenti nazionali lordi venga destinato per sostenere le progettualità previste, facendo ricorso ad un adeguato programma di investimenti e leve finanziarie.

Oltre alle misure già in atto tra PNRR e altre risorse già in dotazione della PA, è infatti previsto che possano essere messi a disposizione ulteriori fondi previsti attraverso le leggi finanziarie, qualora venissero individuati degli specifici progetti di interesse.

Tali leve finanziarie potranno anche consistere in sgravi fiscali per le aziende o nell’introduzione di aree nazionali a tassazione agevolata per la costituzione, ad esempio, di un “parco nazionale della cybersicurezza” e dei relativi “hub” delocalizzati sull’intero territorio nazionale.

Ovviamente non si conoscono ancora i dettagli ma, stando alle premesse, le PMI potranno avvalersi di ulteriori risorse per la digitalizzazione delle proprie risorse, oltre a quelle attualmente previste dal Piano Industria 4.0 e dal Piano Transizione 4.0 che di fatto lo ha sostituito, con aliquote di credito di imposta ragionate a decrescere nel corso dei prossimi anni.

La sicurezza informatica sarà un argomento sempre più cruciale per la sopravvivenza del business delle nostre aziende e della correlata competitività del sistema Paese. La strategia stavolta pare esserci, così come la lista delle cose da fare e chi deve fare cosa. La stessa ACN, almeno nelle parole di Baldoni, pare avere le idee molto chiare anche in merito alla necessaria coralità che un progetto di tale portata comporta.

Se i vari stakeholder sapranno mettere concretamente in pratica le misure del Piano Nazionale di Cybersicurezza, per il nostro Paese si prefigura un’opportunità davvero epocale, che potrebbe fare scuola anche in altri ambiti del digitale, dove l’Italia accusa un sensibile ritardo rispetto alla media europea.