La Strategia Nazionale di Cybersicurezza: cos’è e cosa prevede

La Strategia Nazionale di Cybersicurezza entra nel vivo: cos’è e cosa prevede per le PMI

Data di pubblicazione: 23 Agosto 2022

Nello scorso mese di maggio è stata presentata a Palazzo Chigi la Strategia Nazionale di Cybersicurezza, a cura dell’Agenzia per la Cybersicurezza Nazionale (ACN), già soggetto responsabile per l’attuazione dei progetti in materia di sicurezza informatica previsti dal PNRR.

È stato lo stesso Mario Draghi, a capo del Governo che ha approvato il provvedimento, a motivare la ragione per cui tale strategia va ad assumere un ruolo fondamentale per la crescita dei settori pubblico e privato del nostro paese:

“Le nuove forme di competizione strategica che caratterizzano lo scenario geopolitico impongono all’Italia di proseguire e, dove possibile, incrementare le iniziative in materia di cybersicurezza. Dobbiamo tenere fede agli impegni assunti nell’ambito delle organizzazioni internazionali a cui l’Italia partecipa, anche tenuto conto dell’elevata qualità e dei massicci investimenti realizzati dai principali alleati e partner internazionali. È dunque necessaria una puntuale rivisitazione nella concezione e nella visione strategica dell’architettura nazionale di cybersicurezza”.

Alla luce di quella che si prospetta come una notizia molto promettente, vediamo cos’è e cosa prevede la nuova Strategia Nazionale di Cybersicurezza, per comprendere gli aspetti che consentiranno anche alle PMI di avvalersi dei vantaggi infrastrutturali che, dopo anni di incertezze, il nostro Paese pare finalmente intenzionato a realizzare.

La cybersicurezza è un argomento ormai cruciale per la sopravvivenza delle aziende e l’azione di un soggetto trust come lo Stato risulta assolutamente fondamentale, anche per coordinare l’ecosistema di attori che gravita attorno ad un business in crescita esponenziale.

Indice dei contenuti

La Strategia Nazionale di Cybersicurezza: cos’è e quali sfide intende affrontare

La Strategia Nazionale di Cybersicurezza, realizzata dall’ACN sotto la direzione generale di Roberto Baldoni, prevede un piano di implementazione con 82 misure da attuare entro il 2026, offrendo sin dalla prima lettura una concretezza programmatica senza precedenti, che nasce per offrire una risposta concreta ad un quadro di rischi che il documento strategico riassume così in tre macrocategorie:

Attacchi cyber dovuti a cybercriminali, attivisti o a campagne statuali coordinate, che sfruttano errori software, errate configurazioni, debolezze nei protocolli e/o umane, per sottrarre dati o arrecare danni ai sistemi, come nel caso delle campagne ransomware, le quali hanno un impatto sull’erogazione dei servizi, anche essenziali di un Paese, sul suo PIL e sulla sua reputazione;
Tecnologie impiegate, le quali sono sviluppate e prodotte da grandi realtà aziendali, talvolta controllate o, comunque, influenzate nel loro operato dai Governi in cui hanno sede, con conseguenti possibili ingerenze nella catena degli approvvigionamenti, sia in termini di disponibilità sul mercato delle relative componenti, sia di affidabilità delle stesse;
Diffusione, attraverso lo spazio cibernetico, di fake news, deepfake e campagne di disinformazione che tendono a confondere e destabilizzare i cittadini di un Paese immergendoli in uno spazio informativo estremamente dinamico e orizzontale, caratterizzato da un insieme pressoché infinito di sorgenti di notizie che polarizzano le opinioni cambiando il modo in cui percepiamo la realtà.

Lo scenario di crescente minaccia, facilmente riscontrabile nella cronaca quotidiana, in cui gli attacchi alle aziende pubbliche e private non fanno quasi più notizia, ha portato l’ACN a rilevare quattro considerazioni fondamentali:

Rientra tra i doveri dello Stato la definizione di adeguate strategie di cybersicurezza volte a pianificare, coordinare e attuare misure tese a rendere il Paese sicuro e resiliente anche nel dominio digitale, assicurando, al contempo, la fiducia dei cittadini nella possibilità di sfruttarne i relativi vantaggi competitivi, nella piena tutela dei diritti e delle libertà fondamentali;
La cybersicurezza, che è divenuta una questione di importanza strategica, deve porsi a fondamento del processo di digitalizzazione del Paese, quale elemento imprescindibile della trasformazione digitale, anche nell’ottica di conseguire l’autonomia nazionale strategica nel settore;
La stessa deve poi essere percepita non come un costo, ma come un investimento e un fattore abilitante per lo sviluppo dell’economia e dell’industria nazionale, al fine di accrescere la competitività del Sistema-Paese a livello globale;
La messa in sicurezza di infrastrutture, sistemi e informazioni dal punto di vista tecnico deve essere accompagnata da un progresso culturale ad ogni livello della società, verso un approccio “security-oriented”, tassello indispensabile per tutelare il nostro sistema valoriale e democratico.

In sede di premessa, la Strategia Nazionale di Cybersicurezza prevede cinque sfide da affrontare:

Assicurare una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo;
Autonomia strategica nazionale ed europea nel settore del digitale;
Anticipare l’evoluzione della minaccia cyber;
Gestione di crisi cibernetiche;
Contrastare la disinformazione online nel più ampio contesto della cosiddetta minaccia ibrida.

La risposta a queste sfide fondamentali è prevista attraverso tre obiettivi fondamentali, utili a declinare concretamente la visione strategica: protezione, risposta e sviluppo.

Da questi obiettivi derivano le misure del piano di implementazione, che definisce in prima battuta i soggetti responsabili per la loro attuazione. Li riportiamo in sintesi, con parziali estratti dal testo del documento strategico.

Strategia Nazionale di Cybersicurezza – Obiettivo protezione

Comprende la protezione degli asset strategici nazionali, attraverso un approccio sistemico orientato alla gestione e mitigazione del rischio, formato sia da un quadro normativo che da misure, strumenti e controlli che possono abilitare una transizione digitale resiliente del Paese.

Di particolare importanza è lo sviluppo di strategie e iniziative per la verifica e valutazione della sicurezza delle infrastrutture ICT, ivi inclusi gli aspetti di approvvigionamento e supply-chain a impatto nazionale. Tale area rimane principalmente in capo al CVCN (Centro di Valutazione e Certificazione Nazionale) in forza all’ACN e prevede l’istituzione di Laboratori Accreditati di Prova pubblici e privati, che verranno istituiti mediante appositi bandi, per sviluppare capacità nazionali di valutazione delle vulnerabilità di tecnologie avanzate a servizio degli asset più critici del Paese.

Strategia Nazionale di Cybersicurezza – Obiettivo risposta

Comprende la risposta alle minacce, agli incidenti e alle crisi cyber nazionali, attraverso l’impiego di elevate capacità nazionali di monitoraggio, rilevamento, analisi e risposta e l’attivazione di processi che coinvolgano tutti gli attori facenti parte dell’ecosistema di cybersicurezza nazionale. Una risposta quanto più tempestiva e risolutiva deve, infatti, necessariamente basarsi su un sistema di gestione crisi cibernetica nazionale – assicurato dal Nucleo per la Cybersicurezza (NCS) – e transnazionale, che sia fondato su procedure di collaborazione consolidate supportate da costanti flussi informativi ed elementi di conoscenza condivisi anche grazie a reti e infrastrutture nazionali e transnazionali, con il coinvolgimento delle Amministrazioni e degli operatori privati interessati.

In tale ambito dovranno altresì essere assicurati:

Lo sviluppo di un sistema di coordinamento continuativo di tutte le Amministrazioni che compongono il NCS, che garantisca una tempestiva e sinergica gestione dei vari possibili scenari di crisi il periodico;
L’aggiornamento delle procedure operative relative alle misure di risposta connesse ai vari scenari della minaccia cyber per le determinazioni del Presidente del Consiglio, ai sensi della vigente normativa nazionale, e per la conseguente corretta implementazione da parte dei soggetti interessati;
Una pronta attività di comunicazione istituzionale in caso di incidenti cyber rilevanti o di crisi cibernetica, nonché ogni qual volta si renda necessario svolgere azioni di sensibilizzazione nei confronti della popolazione civile.

Strategia Nazionale di Cybersicurezza – Obiettivo sviluppo

Comprende lo sviluppo consapevole e sicuro delle tecnologie digitali, della ricerca e della competitività industriale, in grado di rispondere alle esigenze del mercato. La costellazione di centri di eccellenza e imprese che compongono, assieme all’accademia, il tessuto della ricerca e dello sviluppo è infatti un patrimonio essenziale per il nostro Paese con importanti potenzialità di espansione.

Numerosi sono gli strumenti e le iniziative avviate negli ultimi anni per supportare lo sviluppo delle capacità del sistema nazionale di ricerca, la trasformazione digitale e l’innovazione tecnologica, tra cui si annoverano, in particolare, quelli previsti dal PNRR, dalle ultime leggi di bilancio, e dal Piano Nazionale Impresa 4.0.

Previste nuove misure di sostegno per le aziende che intendono investire sulla propria sicurezza informatica

Tra le novità più interessanti della Strategia Nazionale per la Cybersicurezza vi sono le modalità di finanziamento, che prevedono, oltre a quanto già previsto per gli investimenti del PNRR, ulteriori fondi da destinare annualmente per raggiungere gli obiettivi di autonomia economica in ambito digitale, tra cui rientra il miglioramento dei livelli di cybersicurezza dei sistemi informativi nazionali, sia in ambito pubblico che in ambito privato.

Il documento approvato dal Governo Draghi prevede infatti che ogni anno la quota percentuale del 1.2% degli investimenti nazionali lordi venga destinato per sostenere le progettualità previste, facendo ricorso ad un adeguato programma di investimenti e leve finanziarie.

Oltre alle misure già in atto tra PNRR e altre risorse già in dotazione della PA, è infatti previsto che possano essere messi a disposizione ulteriori fondi previsti attraverso le leggi finanziarie, qualora venissero individuati degli specifici progetti di interesse.

Tali leve finanziarie potranno anche consistere in sgravi fiscali per le aziende o nell’introduzione di aree nazionali a tassazione agevolata per la costituzione, ad esempio, di un “parco nazionale della cybersicurezza” e dei relativi “hub” delocalizzati sull’intero territorio nazionale.

Ovviamente non si conoscono ancora i dettagli ma, stando alle premesse, le PMI potranno avvalersi di ulteriori risorse per la digitalizzazione delle proprie risorse, oltre a quelle attualmente previste dal Piano Industria 4.0 e dal Piano Transizione 4.0 che di fatto lo ha sostituito, con aliquote di credito di imposta ragionate a decrescere nel corso dei prossimi anni.

La sicurezza informatica sarà un argomento sempre più cruciale per la sopravvivenza del business delle nostre aziende e della correlata competitività del sistema Paese. La strategia stavolta pare esserci, così come la lista delle cose da fare e chi deve fare cosa. La stessa ACN, almeno nelle parole di Baldoni, pare avere le idee molto chiare anche in merito alla necessaria coralità che un progetto di tale portata comporta.

Se i vari stakeholder sapranno mettere concretamente in pratica le misure del Piano Nazionale di Cybersicurezza, per il nostro Paese si prefigura un’opportunità davvero epocale, che potrebbe fare scuola anche in altri ambiti del digitale, dove l’Italia accusa un sensibile ritardo rispetto alla media europea.

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
li_gc	2 years	No description

La Strategia Nazionale di Cybersicurezza: cos’è e quali sfide intende affrontare

Strategia Nazionale di Cybersicurezza – Obiettivo protezione

Strategia Nazionale di Cybersicurezza – Obiettivo risposta

Strategia Nazionale di Cybersicurezza – Obiettivo sviluppo

Previste nuove misure di sostegno per le aziende che intendono investire sulla propria sicurezza informatica

Contattaci

Ultime News Cyber Security

Sicurezza di rete: ecco come proteggersi con efficacia

Direttiva NIS2, cosa cambia in materia di sicurezza dei dati

VPN aziendale: proteggere i dati grazie a reti private

Ransomware, i dati 2021, le cyber assicurazioni e i consigli per le PMI

Cyber Security Manager: chi è, cosa fa e quali competenze ha

ISMS: come gestire le risorse IT (ma non solo) in totale sicurezza

Security Operation Center (SOC): come gestire con efficacia la sicurezza IT

Virus euristico: come riconoscerlo e come difendersi con efficacia

Cosa sono i tracker: tutto quello che c’è da sapere

Brand reputation e continuità di business: una sinergia imprescindibile

La Strategia Nazionale di Cybersicurezza entra nel vivo: cos’è e cosa prevede per le PMI

La Strategia Nazionale di Cybersicurezza: cos’è e quali sfide intende affrontare

Strategia Nazionale di Cybersicurezza – Obiettivo protezione

Strategia Nazionale di Cybersicurezza – Obiettivo risposta

Strategia Nazionale di Cybersicurezza – Obiettivo sviluppo

Previste nuove misure di sostegno per le aziende che intendono investire sulla propria sicurezza informatica

Contattaci

Ultime News Cyber Security