Le conseguenze degli attacchi informatici, se non gestite in modo coordinato ed efficace, possono acquisire anche una rilevanza sistemica, sino a determinare un pregiudizio per la sicurezza nazionale
È come quando stai male e vai dal medico: gli devi dire tutto e affidarti a lui, anche vincendo le proprie resistenze. Allo stesso modo, in particolare alla luce del contesto internazionale segnato dalla guerra in Ucraina, dovrebbero cooperare le Pubbliche amministrazioni e l’Agenzia per la cybersicurezza nazionale, diretta dal prefetto Bruno Frattasi (nella foto). È quanto indica una direttiva adottata dal presidente del Consiglio dei ministri Giorgia Meloni il 6 luglio scorso e registrata dalla Corte dei conti il 26 luglio, recante “Indirizzi di coordinamento e organizzazione volti a promuovere la gestione adeguata e coordinata delle minacce informatiche, degli incidenti e delle situazioni di crisi di natura cibernetica”. La direttiva evidenzia come le conseguenze degli attacchi, se non gestite in modo coordinato ed efficace, possano acquisire anche una rilevanza sistemica, sino a determinare un pregiudizio per la sicurezza nazionale.
La direttiva ribadisce in premessa la necessità che l’Italia raggiunga un “alto livello di cybersicurezza”, al fine di “conseguire una più elevata capacità di protezione e risposta di fronte a emergenze cibernetiche”. Il documento stabilisce poi le forme e le finalità della collaborazione con le amministrazioni pubbliche per “promuovere la gestione adeguata e coordinata delle minacce informatiche, degli incidenti e delle situazioni di crisi di natura cibernetica”. È evidente, si legge, l’esigenza che l’attività di supporto dell’Agenzia in occasione di eventi e incidenti cibernetici “venga a dispiegarsi con la più ampia collaborazione da parte dei soggetti impattati, nel loro stesso interesse e in quello, più generale, della resilienza cibernetica del Paese, onde ridurre i rischi di possibili propagazioni di conseguenze lesive, ovvero del ripetersi di analoghi attacchi, in danno di ulteriori soggetti pubblici e privati”. Si tratta di rischi che potrebbero acquisire una rilevanza sistemica sino a determinare un pregiudizio per la sicurezza nazionale.
La direttiva richiama le amministrazione a operare garantendo due elementi. Primo: che l’Agenzia per la cybersicurezza nazionale nello svolgimento delle sue attività istituzionali e, in particolare, gli operatori del Csirt Italia dispongano del pieno supporto dei soggetti impattati. Secondo: l’accesso ai locali, ai sistemi informativi e alle reti informatiche di pertinenza delle amministrazioni impattate, per tutto il tempo necessario al pieno esercizio delle proprie competenze.