Istituzione dell’Agenzia per la cybersicurezza nazionale: il decreto legge in GU

Pubblicato in GU il DL 14 giugno 2021, n. 82 che introduce disposizioni urgenti in materia di cybersicurezza e istituisce dell’Agenzia per la cybersicurezza nazionale (ACN). Il provvedimento, a completamento della strategia di cyber-resilienza nazionale, accresce, attraverso la promozione della cultura della sicurezza cibernetica, la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.

Agenzia per la cybersicurezza nazionale
E’ istituita, a tutela degli interessi nazionali nel campo della cybersicurezza, anche ai fini della tutela della sicurezza  nazionale nello spazio cibernetico, l’Agenzia per la cybersicurezza nazionale.
L’Agenzia ha personalita’ giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria.
Il direttore generale dell’Agenzia è nominato tra soggetti appartenenti a una delle categorie di cui all’articolo 18, co. 2, della legge n. 400/1988, in possesso di una documentata esperienza di elevato livello nella gestione di processi di innovazione. Il direttore generale ha la rappresentanza legaledell’Agenzia.
L’Agenzia può richiedere, anche sulla base di apposite convenzioni e nel rispetto degli ambiti di  precipua  competenza, la collaborazione di altri organi dello Stato, di altre amministrazioni, delle forze di polizia o di enti pubblici per lo svolgimento dei suoi compiti istituzionali.


Organizzazione dell’Agenzia per la cybersicurezza nazionale
L’organizzazione e il funzionamento dell’Agenzia sono definiti da un apposito regolamento che ne prevede, in particolare, l’articolazione fino ad un numero massimo di otto uffici di livello dirigenziale generale, nonche’ fino ad un numero massimo di trenta articolazioni di livello dirigenziale non generale nell’ambito delle


risorse disponibili.


Funzioni dell’Agenzia per la cybersicurezza nazionale
L’Agenzia opererà sotto la responsabilità del Presidente del Consiglio dei ministri e dell’Autorità delegata per la sicurezza della Repubblica e in stretto raccordo con il Sistema di informazione per la sicurezza della Repubblica e sarà tra l’altro incaricata di:
– esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche;
– sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale;
– contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
– supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
– assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica.


Nucleo per la cybersicurezza
Presso l’Agenzia è costituito, in via permanente, il Nucleo per la cybersicurezza,  a  supporto  del  Presidente  del  Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento.


Compiti del Nucleo per la cybersicurezza
Il Nucleo, per l’espletamento delle proprie funzioni e fermo restando quanto previsto ai sensi dell’articolo 7-bis, co. 5, del DL n. 174 del 2015:


– mantiene costantemente informato il Presidente del Consiglio dei ministri, ovvero l’Autorita’ delegata, ove istituita, sulla crisi in atto, predisponendo punti aggiornati di situazione;
– assicura il coordinamento per l’attuazione a livello interministeriale delle determinazioni del Presidente del  Consiglio dei ministri per il superamento della crisi;
– raccoglie tutti i dati relativi alla crisi;
– elabora rapporti e fornisce informazioni  sulla crisi e li trasmette ai soggetti pubblici e privati interessati;


– partecipa ai meccanismi europei di gestione delle crisi cibernetiche, assicurando altresi’ i  collegamenti  finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della NATO, dell’UE o di organizzazioni internazionali di cui l’Italia fa parte.


Gestione delle crisi che coinvolgono aspetti di cybersicurezza
Nelle situazioni di crisi che coinvolgono aspetti di cybersicurezza, nei casi in cui il Presidente del Consiglio dei ministri convochi il CISR (Comitato interministeriale per la sicurezza della Repubblica) in materia di gestione delle predette situazioni di crisi, alle sedute del Comitato sono chiamati a partecipare il Ministro delegato per l’innovazione tecnologica e la transizione digitale e il direttore generale dell’Agenzia.
Il Nucleo assicura il supporto al CISR e al Presidente del Consiglio dei ministri, nella materia della cybersicurezza. Esso, in situazioni di crisi di natura cibernetica, è integrato, in ragione della necessità, con un rappresentante, rispettivamente, del Ministero della salute, del Ministero delle infrastrutture e della mobilità sostenibili, del Ministero dell’interno-Dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, in rappresentanza anche della Commissione interministeriale tecnica di difesa civile, autorizzati ad assumere decisioni che impegnano la propria amministrazione.