L'Agenzia per la Cybersicurezza Nazionale (ACN) opera come un fulcro strategico per la protezione del patrimonio digitale italiano, coordinando e indirizzando le attività a livello nazionale. La sua missione si estende su molteplici fronti, dalla definizione di un quadro giuridico aggiornato alla gestione operativa delle crisi cibernetiche, passando per la promozione di competenze e lo sviluppo tecnologico. Questo articolo esplora le diverse sfaccettature della gestione integrata all'interno dell'ACN, delineando i suoi ambiti di competenza e le strategie adottate per garantire la resilienza del Paese nel dominio cibernetico.
Coordinamento e Supporto alla Direzione Generale
Una delle funzioni primarie dell'ACN è assicurare un supporto efficace al Direttore Generale nel coordinamento tra i vari Servizi e le articolazioni dell'Agenzia. Questo si traduce nella cura del raccordo delle attività istituzionali, essenziale per l'attuazione dell'azione di direzione e indirizzo strategico del Vertice. L'Agenzia gestisce funzioni di valenza generale che abbracciano ambiti giuridici, legali e legislativi, la cooperazione istituzionale e la gestione dei flussi documentali.
Quadro Giuridico e Cooperazione Istituzionale
L'ACN è incaricata di definire e mantenere un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza. Questo impegno non trascura gli orientamenti e gli sviluppi in ambito internazionale, garantendo che le normative italiane siano allineate alle migliori pratiche globali. L'Agenzia esprime pareri interni per assicurare uniformità e coerenza legale, in particolare su schemi di accordo, convenzioni e Memorandum of Understanding (MoU) con soggetti pubblici o privati. Fornisce inoltre il contributo legale necessario nell'ambito delle valutazioni istruttorie per la definizione delle misure disposte in attuazione di specifici decreti legislativi.
Protezione dei Dati Personali e Nucleo per la Cybersicurezza
La protezione dei dati personali rappresenta un pilastro fondamentale dell'attività dell'ACN, che assicura il necessario supporto in questa materia. Parallelamente, l'Agenzia cura le attività del Nucleo per la Cybersicurezza, un'entità cruciale per il coordinamento interministeriale e per la definizione delle strategie di difesa cibernetica a livello nazionale.
Rapporti Istituzionali e Gestione Documentale
L'ACN mantiene attivi rapporti con gli organi dello Stato, le Amministrazioni, le Autorità indipendenti, le Forze armate e di polizia su tematiche di ordine generale. Per garantire l'efficienza operativa e la conservazione della memoria storica, l'Agenzia definisce i criteri di organizzazione degli archivi, di selezione periodica e di conservazione dei documenti, sia in formato fisico che digitale, a medio, lungo termine e permanente, attraverso la predisposizione di specifici strumenti archivistici.
Discipline Cyber Nazionali e Perimetro di Sicurezza
La Divisione preposta sovrintende all'attuazione e all'aggiornamento delle discipline cyber nazionali. Un'attenzione particolare è rivolta al Perimetro di Sicurezza Nazionale Cibernetica (PSNC), un'infrastruttura critica di cui l'ACN garantisce la protezione. Altrettanto rilevante è il Regolamento Cloud, che mira a definire i livelli minimi e i processi di classificazione dei dati e dei servizi della Pubblica Amministrazione. L'Agenzia contribuisce inoltre all'elaborazione di linee guida per il rafforzamento della resilienza delle pubbliche amministrazioni, in linea con quanto previsto dalla normativa vigente.
Centro di Valutazione e Certificazione Nazionale (CVCN)
L'ACN gestisce e supervisiona la fase istruttoria dei procedimenti amministrativi nell'ambito delle valutazioni di competenza del Centro di Valutazione e Certificazione Nazionale (CVCN). Questo centro accredita i Centri di Valutazione (CV) e i Laboratori di Prova (LAP) secondo normative specifiche e, attraverso l'Organismo di Certificazione della Sicurezza Informatica (OCSI), applica standard internazionali come Common Criteria e ITSEC, emettendo i relativi certificati. L'ACN accredita inoltre i Laboratori per le Valutazioni di Sicurezza (LVS) e fornisce supporto tecnico per l'esercizio dei poteri speciali in materia di cybersicurezza.
Cloud e Tecnologie Emergenti
L'Agenzia cura le attività connesse alla qualificazione e all'adeguamento delle infrastrutture e dei servizi cloud per le Pubbliche Amministrazioni. Svolge analisi di sicurezza e test preventivi su componenti software relative a infrastrutture di telecomunicazione, servizi cloud, edge computing e tecnologie emergenti, incluse quelle legate all'intelligenza artificiale, operando anche nell'ambito delle funzioni attribuite al CVCN.
Servizio Crittografia: Promozione e Innovazione
Il Servizio Crittografia è la struttura incaricata di tutte le attività legate alla crittografia in ambito non classificato, comprese quelle attribuite al Centro Nazionale di Crittografia. Particolare enfasi è posta sulla promozione di un uso consapevole e strategico della crittografia in ambiti innovativi, come la tecnologia blockchain, riconosciuta come strumento abilitante per la sicurezza informatica. La Divisione pianifica e coordina iniziative per lo sviluppo delle capacità tecnologiche nazionali, contribuendo alla costruzione di un ecosistema crittografico resiliente, innovativo e allineato agli standard internazionali. Il monitoraggio costante degli sviluppi internazionali e la valutazione della loro applicazione nelle tecnologie emergenti sono attività centrali, volte a definire nuove applicazioni crittografiche per la cybersicurezza.
Servizio Operazioni e Gestione delle Crisi Cyber
Il Servizio Operazioni e Gestione delle Crisi Cyber rappresenta la componente operativa dell'ACN, fondamentale per la preparazione, prevenzione, gestione e risposta a eventi cibernetici di particolare complessità che possono innescare crisi a livello nazionale e transnazionale. Queste funzioni si inquadrano nei compiti istituzionali dell'Agenzia, come previsto dalla normativa vigente. La Divisione assicura servizi di monitoraggio delle minacce cyber e delle criticità sugli asset di soggetti pubblici e privati, fornendo dati per l'early warning. Realizza analisi tecniche specialistiche su malware e cyber threat actors, e supporta la contestualizzazione degli incidenti. Analizza e valuta i livelli di rischio cyber su scala nazionale per settori strategici e infrastrutture critiche, elaborando dati e statistiche sullo stato della minaccia.
Gestione del Personale e Governance Economica
La Divisione si occupa delle attività connesse ai profili amministrativi delle prestazioni di lavoro, alla gestione dell'orario, dei congedi, delle aspettative e degli eventi di assenza. Sovrintende all'applicazione della normativa sul lavoro e pianifica e gestisce le procedure di assunzione per raggiungere, entro il 2026, la dotazione organica stabilita. Il Servizio assiste e supporta il Direttore Generale nella definizione e direzione della governance economica e finanziaria dell'Agenzia.
Posizionamento Internazionale e Politiche Nazionali
La Divisione è responsabile del posizionamento internazionale dell'ACN e della definizione delle posizioni nazionali in materia di cybersicurezza, in armonia con gli interessi, le politiche e le normative nazionali ed europee. Predispone documenti di policy, negozia protocolli d'intesa e accordi di cooperazione internazionale, e supporta il Direttore Generale negli incontri di vertice e nell'organizzazione di missioni internazionali. L'Agenzia contribuisce all'elaborazione delle politiche dell'Unione Europea in materia di cybersicurezza e collabora con la Rappresentanza Permanente presso l'UE.
Strategia Nazionale di Cybersicurezza
L'ACN è responsabile dell'unitarietà d'azione nell'attuazione delle politiche nazionali in materia di cybersicurezza e ne elabora le linee di sviluppo con il contributo di tutti i Servizi. Gestisce i rapporti con i soggetti pubblici destinatari delle misure del Piano di Implementazione della Strategia e monitora la realizzazione degli interventi, assicurando il coordinamento tra gli attori coinvolti. Coordina l'aggiornamento e la revisione della Strategia nazionale di cybersicurezza, interagendo con altre amministrazioni, organizzazioni private e la società civile. L'Agenzia partecipa alle attività di ENISA in materia di strategie nazionali e gestisce le attività di ufficio stampa e media relations, promuovendo la comunicazione istituzionale.
Supporto Scientifico e Studi Speciali
La Divisione assicura il supporto diretto al Direttore Generale nello svolgimento e aggiornamento di studi speciali e scientifici in materia di cybersicurezza, con particolare attenzione all'impatto delle nuove tecnologie. Cura le iniziative scientifiche e le proposte editoriali, elaborando dossier e report. Mantiene costanti rapporti con il Servizio Gabinetto per il raccordo con gli altri Servizi e le Articolazioni dell'Agenzia.
Promozione delle Competenze di Cybersicurezza
Una delle priorità dell'ACN è la promozione delle competenze di cybersicurezza nel Paese, con l'obiettivo di aumentare il numero di esperti, migliorare la conoscenza dei professionisti pubblici e privati e accrescere la consapevolezza dei cittadini sui rischi e le opportunità del mondo digitale. L'Agenzia collabora con il mondo accademico e con istituzioni pubbliche e private per definire un quadro di riferimento comune per lo sviluppo delle capacità nei temi della cybersicurezza, dalla formazione scolastica a quella professionale.
Il Modello Operativo Integrato di Cybersicurezza
Un concetto chiave per l'efficacia delle azioni dell'ACN, e più in generale per la resilienza cibernetica delle organizzazioni, è il modello operativo integrato di cybersicurezza. Questo framework strutturato guida le organizzazioni nella pianificazione, implementazione e gestione delle loro attività di sicurezza informatica, promuovendo un approccio olistico e sinergico. L'utilizzo del termine "operativo" sottolinea la focalizzazione sullo svolgimento delle attività concrete, mentre "integrato" evidenzia la necessità di considerare tutti gli aspetti rilevanti dell'organizzazione e di abilitare le sinergie tra le diverse componenti.
Le azioni chiave per attivare un modello operativo integrato includono la progettazione basata sulla strategia di sicurezza, lo sviluppo attraverso la valutazione dello stato attuale e delle necessità di cambiamento, e infine l'implementazione del modello stesso. Molte organizzazioni, pur consapevoli dei rischi cyber, sono ostacolate da strutture organizzative frammentate in "silos". Uno studio della Banca d'Italia [1] ha evidenziato che, nonostante quasi il 90% delle organizzazioni sia consapevole del rischio di attacchi informatici, questa consapevolezza non sempre si traduce in un impegno finanziario adeguato. Le imprese che hanno già subito attacchi dimostrano una maggiore percezione del rischio e allocano maggiori risorse per la prevenzione, mentre le imprese più piccole e quelle del Mezzogiorno risultano meno consapevoli.
La creazione di una cultura della cybersicurezza all'interno delle organizzazioni è un altro aspetto cruciale, come ampiamente trattato nel report "Cybersecurity Culture Guidelines" dell'ENISA [2]. I silos organizzativi rappresentano un ostacolo significativo alla condivisione di informazioni e alla collaborazione, rendendo le organizzazioni più vulnerabili. Un modello operativo integrato mira a superare questa frammentazione, combinando struttura organizzativa e processi per coprire l'intero ciclo di vita della cybersicurezza, dalla strategia all'infrastruttura e ai servizi di supporto.
Diversi framework, come l'Operating Model Canvas o il McKinsey 7S Framework, sono stati sviluppati per supportare la creazione di modelli operativi efficaci. Un modello operativo integrato non si concentra su singole componenti isolate, ma considera i legami e i punti di contatto tra di esse per creare un sistema di cybersicurezza robusto e coeso. Esso definisce come un'organizzazione struttura risorse, processi, governance e cultura per fornire valore agli stakeholder. La sua implementazione può essere graduale, integrando elementi di complessità nel tempo. Esempi di modelli operativi integrati includono la gestione del rischio a livello organizzativo (Enterprise Risk Management - ERM) [4] e i sistemi di Governance, Risk and Compliance (GRC).
L'integrazione interna agli ambiti cyber è fondamentale, facilitando la sinergia tra le pratiche relative ai diversi domini di sicurezza e alle varie fasi necessarie per garantire la resilienza cibernetica. Questo si allinea alle funzioni del NIST Cybersecurity Framework (CSF) 2.0 [6, 7], come Govern, Identify, Protect, Detect, Respond e Recover. L'integrazione tra domini, ad esempio tra Cyber Threat Intelligence e gestione degli incidenti, o tra Security by Design e Project Management, è essenziale.
L'efficienza operativa è un altro beneficio chiave, poiché l'integrazione e l'eliminazione di sforzi duplicati liberano risorse per l'innovazione e il miglioramento dell'esperienza utente. Le organizzazioni con modelli operativi integrati sono più adattabili alle mutevoli esigenze degli stakeholder e dimostrano una migliore capacità di pianificazione e prioritizzazione delle iniziative. La scalabilità e la capacità di crescita rapida sono favorite dalla chiara definizione e comunicazione dei processi.
Implementazione del Modello Operativo Integrato
L'implementazione di un modello operativo integrato avviene dopo le fasi di progettazione e sviluppo. È cruciale la comunicazione del modello e la sensibilizzazione dei dipendenti, affinché ne comprendano l'importanza e lo attuino nelle loro attività quotidiane. Questo processo richiede cambiamenti organizzativi e un impegno del personale per accettare e contribuire alle nuove modalità operative. L'aggiornamento periodico del modello, tenendo conto degli obiettivi strategici e delle mutate necessità dell'organizzazione, è fondamentale per mantenerne l'efficacia nel tempo.
Interconnessioni tra i Domini di Sicurezza
Il modello operativo integrato facilita la creazione e il mantenimento di sinergie tra le attività svolte nei diversi domini di sicurezza. La Cybersecurity Governance è trasversale e fornisce direttive strategiche, integrandosi con l'ERM e monitorando le prestazioni per innescare azioni correttive. Il Risk Management identifica e gestisce rischi e vulnerabilità in tutti gli ambiti della sicurezza. La Workforce Security si occupa della gestione del personale, definendo ruoli, responsabilità e formazione trasversale a tutti i domini.
L'Architecture, Engineering and Operations definisce requisiti e controlli di sicurezza che influenzano l'operatività generale. L'Asset Management crea un registro degli asset, fondamentale per il Cyber Risk Management e l'Identity and Access Management. L'Identity and Access Management definisce meccanismi di autenticazione e revisione delle utenze, interagendo con Asset Management e Governance.
Il dominio Security Assessment And Testing verifica la resilienza dell'infrastruttura. L'Event, Threat and Incident Management gestisce gli incidenti, connettendosi con Security Assessment And Testing. Infine, Business Continuity and Disaster Recovery assicura il ripristino delle normali operazioni in caso di incidenti gravi, collaborando con Event, Threat And Incident Management.
Le Funzioni del NIST Cybersecurity Framework 2.0
Il modello operativo integrato supporta l'implementazione delle funzioni identificate dal NIST CSF 2.0:
- Govern: Fornisce direttive strategiche e integra la cybersicurezza nell'ERM.
- Identify: Identifica e comprende le risorse e i rischi per la cybersicurezza.
- Protect: Implementa misure per prevenire o ridurre la probabilità e l'impatto di eventi avversi.
- Detect: Rileva e analizza tempestivamente anomalie e indicatori di compromissione.
- Respond: Contiene gli effetti degli incidenti di sicurezza rilevati.
- Recover: Ripristina tempestivamente le normali operazioni per ridurre gli effetti degli incidenti.
L'integrazione sinergica di queste funzioni e delle attività svolte nei singoli domini è essenziale per raggiungere la resilienza dei sistemi organizzativi.
ADIGest: Un Esempio di Integrazione Operativa nel Settore Sanitario
Sebbene non direttamente collegato alle funzioni primarie dell'ACN in termini di cybersicurezza nazionale, il sistema ADIGest offre un interessante esempio di gestione integrata e modulare di processi complessi in un ambito critico come l'assistenza domiciliare integrata (ADI). ADIGest è progettato per supportare tutti gli attori coinvolti nel processo di erogazione dell'ADI, sia in ambito pubblico che privato. La sua architettura flessibile permette l'utilizzo integrale o tramite moduli specifici, a seconda delle esigenze operative.
Il sistema consente agli operatori dei distretti sanitari delle ASL e agli utenti amministrativi di enti privati di produrre, integrare e trasmettere in tempo reale le informazioni contenute nei Piani di Assistenza verso gli enti erogatori. Gli operatori degli enti erogatori possono definire i protocolli di cura, assegnare professionisti, pianificare e calendarizzare gli accessi domiciliari. Gli operatori domiciliari consultano i Piani di Assistenza e registrano in tempo reale gli accessi. ADIGest gestisce anche farmaci e materiali di consumo, e offre agli uffici amministrativi strumenti per la gestione contabile e finanziaria, con funzioni di fatturazione automatica e reportistica dettagliata.
I referenti dei distretti e gli amministrativi monitorano accessi, prestazioni e tempi di erogazione, gestendo la trasmissione dei flussi ministeriali. Medici di medicina generale, pediatri e personale sanitario utilizzano il sistema per consultare, inserire e refertare dati sanitari. La direzione delle ASL accede a dashboard e statistiche per il controllo sanitario, amministrativo e gestionale. ADIGest è predisposto per l'interfacciamento con sistemi terzi, garantendo interoperabilità. Il sistema ha ricevuto riconoscimenti per l'innovazione nel settore sanitario, come il Premio InnovaSalute2017 e un terzo posto al Premio eHealth4all.
Questo esempio, pur operando in un contesto diverso, illustra l'importanza di un approccio integrato per ottimizzare processi, migliorare la comunicazione tra diversi attori e garantire l'efficienza operativa, principi che sono alla base anche della strategia di cybersicurezza promossa dall'ACN.