In Gazzetta ufficiale il decreto che dà il via al trasloco del personale dall’intelligence all’Agenzia per la cybersicurezza nazionale guidata da Roberto Baldoni. Avrà sede a Largo Santa Susanna e punta a 800 dipendenti entro il 2027. Intanto il Perimetro cyber è quasi finito, e fa scuola negli Usa…
Dalle promesse ai fatti. Prende forma l’Agenzia per la cybersicurezza nazionale (Acn). Un decreto firmato dal premier Mario Draghi e dal ministro dell’Economia Daniele Franco pubblicato in Gazzetta ufficiale dà il via al “trasloco” di una parte dell’intelligence nella nuova agenzia che dovrà garantire la “cyber-resilienza” del Paese.
I lavori sono già avviati. Nelle prossime settimane si completerà il passaggio di novanta professionisti di Dis, Mise e Agid che formeranno le fila della struttura guidata dal direttore Roberto Baldoni, già vicedirettore del Dis, e dalla vicedirettrice Nunzia Ciardi, già a capo della Polizia Postale. L’obiettivo, ha spiegato Baldoni in una recente intervista a Formiche.net, è “raggiungere le 300 persone entro la fine del 2023” per poi arrivare a “circa 800 entro il 2027”.
L’agenzia, cui il decreto istitutivo di agosto (dl 82/2021) attribuisce una dotazione complessiva di 529 milioni di euro tra il 2021 e il 2027, avrà sede, almeno per il primo anno di attività, a Largo Santa Susanna, storica sede del Dis, oggi trasferitosi a Piazza Dante insieme ad Aisi e Aise. Non sarà un passaggio di consegne improvviso, perché c’è da garantire la continuità dei sistemi informatici. Ecco perché, si legge nel decreto, sarà assicurata la prosecuzione, non oltre il 31 marzo 2022, dell’erogazione dei servizi informatici necessari alla prima operatività dell’Agenzia, tra cui quelli per garantire la continuità del servizio del CSIRT Italia e del perimetro di sicurezza nazionale cibernetica, assicurandone la fruibilità dalla sede dell’Agenzia”.
Proprio il “Perimetro cyber” introdotto dal governo Conte-bis nell’autunno del 2019 sarà al centro delle funzioni dell’Acn. Un sistema di controllo della sicurezza informatica di tutti i soggetti pubblici e privati che svolgono “attività essenziali per lo Stato”, tramite una serie di “laboratori sparsi sul territorio nazionale, di Centri di valutazione e certificazione nazionale”. A gennaio partirà un nuovo round di assunzioni degli ingegneri che dovranno effettuare i controlli di sicurezza.
Un compito delicato: il perimetro dovrà infatti garantire la resilienza del procurement, soprattutto per i sistemi Ict della Pubblica amministrazione, identificando quali siano i fornitori “trusted”, affidabili. È la risposta italiana alle preoccupazioni di Ue e Stati Uniti sulla messa in sicurezza dei sistemi Ict da fornitori non sicuri, come, a detta del governo e dell’intelligence americana, alcune aziende cinesi, da Huawei a Zte.
Negli ultimi anni il modello italiano, che ha incassato il plauso del Nis Cooperation Group europeo e del Dipartimento di Stato Usa, ha fatto scuola anche all’estero. Un “perimetro cyber” è in costruzione, ad esempio, anche negli Stati Uniti. Con il “Supply Chain Risk Management Act” in discussione al Congresso il Dipartimento per la Sicurezza interna guidato da Alejandro Mayorkas dovrà pubblicare una serie di prescrizioni che i fornitori di software dovranno rispettare alla lettera.
In Italia il percorso normativo che, sotto la supervisione di Baldoni, ha dato forma al perimetro è ormai alle battute finali. Il cerchio si chiude con il quarto e ultimo Dpcm, che definisce i requisiti per i laboratori pubblico-privati che collaboreranno con l’Agenzia per lo scrutinio dell’equipaggiamento tecnologico.
