PRESIDENZA del CONSIGLIO dei MINISTRI – Direttiva del 6 luglio 2023

Indirizzi di coordinamento e organizzazione volti a promuovere la gestione adeguata e coordinata delle minacce informatiche, degli incidenti e delle situazioni di crisi di natura cibernetica

Premessa

L’intensificazione e la crescente sofisticazione delle minacce informatiche nell’attuale contesto geo-politico, caratterizzato in particolare dalla grave crisi internazionale in atto in Ucraina, richiedono con sempre maggiore urgenza il raggiungimento di un alto livello di cybersicurezza, l’attuazione di efficaci misure di gestione dei relativi rischi, nonchè la necessità di un’immediata e quanto più completa conoscenza situazionale. Ciò non solo al fine di conseguire una più elevata capacità di protezione e risposta di fronte a emergenze cibernetiche, ma anche di disporre di un quadro analitico della minaccia funzionale all’esercizio dell’indirizzo politico.

In tale contesto, è affidato dall’ordinamento all’Agenzia per la cybersicurezza nazionale il compito di sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, peculiarmente attribuito alla componente operativa dell’Agenzia (CSIRT Italia), al cui personale, peraltro, viene espressamente riconosciuta, nello svolgimento delle relative funzioni, la qualifica di pubblico ufficiale.

Nell’esercizio di tale compito, e per un immediato ed efficace risultato ai fini del contenimento del rischio e della mitigazione del danno, l’Agenzia può fare ricorso, in attuazione dell’art. 5, comma 5, del decreto istitutivo (decreto-legge n. 82 del 2021), alla collaborazione di altri organi dello Stato e altre amministrazioni.

Ciò nel presupposto che la resilienza cibernetica del Paese non può prescindere da uno sforzo collettivo e sinergico.

Ambito di applicazione, finalità e linee di indirizzo

La presente direttiva si rivolge alle amministrazioni pubbliche di cui all’art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, e fornisce indirizzi di coordinamento e organizzazione volti a promuovere la gestione adeguata e coordinata delle minacce informatiche, degli incidenti e delle situazioni di crisi di natura cibernetica, in coerenza con le finalità espresse in premessa.

Da tale ambito applicativo restano esclusi gli organi dello Stato preposti alla prevenzione, accertamento e repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato, nonchè gli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124.

Appare dunque evidente l’esigenza che l’attività di supporto dell’Agenzia, sviluppata in occasione di eventi e incidenti cibernetici, venga a dispiegarsi con la più ampia collaborazione da parte dei soggetti impattati, nel loro stesso interesse e in quello, più generale, della resilienza cibernetica del Paese, onde ridurre i rischi di possibili propagazioni di conseguenze lesive, ovvero del ripetersi di analoghi attacchi, in danno di ulteriori soggetti pubblici e privati. Rischi, questi, che potrebbero acquisire una rilevanza sistemica sino a determinare un pregiudizio per la sicurezza nazionale.

Si richiamano, pertanto, le amministrazioni destinatarie ad operare garantendo:

i) che l’Agenzia per la cybersicurezza nazionale nello svolgimento delle sue attività istituzionali e, in particolare, gli operatori del CSIRT Italia anche nel caso di intervento in situ a seguito di incidente, dispongano del pieno supporto dei soggetti impattati, anche nel caso in cui si avvalgano di società in house o comunque a controllo pubblico. Ciò anche allo scopo di acquisire una completa ed esaustiva conoscenza situazionale volta a consentire, in corrispondenza, peraltro, agli impegni collaborativi nel quadro unionale, ogni utile operazione di analisi e valutazione della minaccia, funzionali alle attività di prevenzione e gestione degli incidenti di cybersicurezza;

ii) conseguentemente, per tutto il tempo necessario al pieno esercizio delle proprie competenze, l’accesso ai locali, ai sistemi informativi e alle reti informatiche di pertinenza delle amministrazioni impattate, compatibilmente con i limiti e i vincoli derivanti dalle prerogative dell’autorità giudiziaria.

Si confida nella sensibilità di tutte le amministrazioni, ai fini della piena osservanza delle linee di indirizzo contenute nella presente direttiva.