Nasce l’Agenzia per la cybersicurezza nazionale (Acn) sotto il controllo del premier Mario Draghi e l’autorità delegata Franco Gabrielli. Sarà pubblica e conterrà il centro di coordinamento per il Recovery Fund. Roberto Baldoni (vicedirettore Dis) in pole per la direzione. Ma la riforma è più ampia e prevede due nuovi organismi a Palazzo Chigi. Ecco il decreto
Ormai è fatta. Come anticipato da Formiche.net, il governo italiano è pronto a inaugurare l’Agenzia per la cybersicurezza nazionale (Acn). Un passaggio questa mattina al Copasir, con l’audizione dell’Autorità delegata per l’intelligence Franco Gabrielli, poi l’approvazione del testo in Cdm. Mercoledì sera il premier Mario Draghi ha convocato una cabina di regia ad hoc a Palazzo Chigi. Presenti, oltre a Gabrielli, i ministri Lorenzo Guerini, Stefano Patuanelli, Maria Stella Gelmini, Giancarlo Giorgetti e Roberto Speranza.
La riforma della governance cyber, annunciata da Gabrielli al suo esordio alla guida dei Servizi, sta per diventare realtà. Un passaggio di grande rilievo politico, con un tempismo tutt’altro che casuale. Alla vigilia del G7 in Cornovaglia, nel Regno Unito, Draghi sfodera una carta da giocare nelle relazioni con il presidente americano Joe Biden, impegnato in un tour europeo che si concluderà con il summit Nato a Bruxelles e, mercoledì prossimo, un faccia a faccia con il presidente russo Vladimir Putin a Ginevra.
D’ora in poi, la difesa cibernetica delle infrastrutture critiche del Paese e il coordinamento dei fondi del Recovery Fund per la cybersecurity saranno affidati a una struttura a sé. Agli 007 italiani, il Dis e le due agenzie per l’interno e gli esteri, Aisi ed Aise, rimarrà la parte delle “operazioni cyber”. In una parola: l’attacco.
A differenza del vecchio “Istituto italiano di cybersicurezza” (Iic) promosso da Giuseppe Conte e poi affossato dalla sua stessa maggioranza, l’Acn non sarà un’istituzione pubblico-privata né tantomeno una fondazione ma, si legge nel decreto, avrà “personalità giuridica di diritto pubblico”.
La direzione dell’agenzia “sarà affidata a un dirigente di prima fascia”. Fra gli addetti ai lavori si fa un nome: Roberto Baldoni, professore, finora vicedirettore del Dis con delega alla cybersecurity, tra i massimi esperti italiani in materia e “architetto” del “perimetro cyber”, la rete di controlli dell’equipaggiamento tecnologico introdotta dal governo Conte-bis. La scelta spetterà solo ed esclusivamente al premier: l’incarico del direttore avrà durata massima di quattro anni e sarà prorogabile di altri quattro.
Il decreto elenca una ad una le funzioni dell’agenzia. L’Acn stilerà ogni anno la “strategia nazionale di cybersicurezza”, un documento adottato dal premier dopo una consultazione del Copasir. Sarà il “punto di contatto unico” della Nis (Network and information security), la direttiva Ue sulla sicurezza cyber, e erediterà dal Mise “tutti i compiti in materia di certificazione di sicurezza cibernetica”. Parteciperà, se necessario, alle riunioni del gruppo di coordinamento golden power a Palazzo Chigi e assumerà la responsabilità del perimetro cyber, che si sta avviando alla conclusione (la settimana prossima in Gazzetta Ufficiale approderà il secondo Dpcm), insieme al Centro di valutazione e certificazione nazionale (Cvcn), che sarà trasferito dal Mise.
Come era trapelato alla vigilia, l’agenzia ricoprirà anche il ruolo di “Centro nazionale di coordinamento” del “Centro di competenza europeo per la cybersicurezza”, la rete di centri comunitari con il quartier generale a Bucarest che avrà il compito di stimolare gli investimenti nella cybersecurity e incanalare i fondi appositi di due programmi Ue, “Orizzonte Europa” ed “Europa digitale”, per un totale di circa cinque miliardi di euro. Presso l’Acn traslocherà anche il Csirt (Computer security incident response team).
L’Italia si adegua così al “Regolamento sulla cybersicurezza” dell’Ue pubblicato in gazzetta questo mercoledì, che chiede agli Stati membri di individuare un centro nazionale entro sei mesi. Il modello cui guarda Palazzo Chigi, fra gli altri, è quello dell’Annsi, l’agenzia cyber del governo francese in continuo contatto con le start-up e le aziende del settore all’interno del nuovo “Campus Cyber” a Parigi.
Ma la maxi-riforma di settore non si limita solo all’agenzia. Il decreto inaugura infatti due istituzioni. A Palazzo Chigi sorgerà il Cics (Comitato interministeriale per la cyber-sicurezza), un organismo interministeriale (come il Cisr) che insieme all’Autorità delegata coinvolgerà ben nove ministeri (Esteri, Interno, Giustizia, Difesa, Economia, Sviluppo economico, Transizione ecologica, Università e ricerca, Transizione digitale). Presieduto dal premier, avrà il compito dell’“alta sorveglianza” sulla strategia nazionale. Potranno partecipare, se necessario, i vertici di Dis, Aise e Aisi.
Al Cics si affiancherà il “Nucleo per la cybersicurezza” (art. 8), un organo che avrà funzioni di supporto dell’agenzia, potrà proporre iniziative in materia cyber, riceverà dal Csirt (rinominato “Csirt Italia”) le notifiche di incidenti. Ne faranno parte, oltre a un rappresentante per ogni ministero nel Cics, funzionari di Dis, Aise, Aisi, il consigliere militare del premier e un esponente del Dipartimento della Protezione civile.