Tech Legal Cybersicurezza nazionale: la Relazione di ACN, con uno sguardo alla PA Silvestro Mar... 30 April 2024 Digitalizzazione Italia Notizie correlate Enforcement Legal Videosorveglianza: spetta a UE e Stato la disciplina Privacy Tech XPRO Cybersicurezza & alfabetizzazione digitale, due facce della medesima medaglia? L’Agenzia Nazionale per la Cybersicurezza (ACN) ha presentato la sua relazione annuale al Parlamento. Interessante, tra gli altri, conoscere le evoluzioni in tema di minacce cyber e l’attività di ACN circa la resilienza del sistema paese, grazie anche alle progettualità PNRR. Struttura della Relazione Il Rapporto riflette la missione di ACN: contribuire a gestire la minaccia cyber a tutela del “sistema paese”. Quanto sopra, è possibile grazie alla presenza di una cornice legislativa che si è andata, nel tempo, assestandosi e diversificandosi (data la liquidità della materia) e che vuole ACN sempre più protagonista. Si fa riferimento, infatti, al coordinamento istituzionale, per prevenire e contenere le minacce persistenti nel dominio cibernetico. Coinvolgendo tutti gli attori necessari, spaziando tra ruoli istituzionali (come la Polizia delle Telecomunicazioni) e partnership pubblico-privato, a protezione di infrastrutture critiche: dal cloud nazionale ai servizi necessari. La relazione, quindi, abbraccia sette ambiti, questi sono assolutamente interconnessi e la loro verticalità aiuta il lettore a meglio comprendere un universo dove sarà egli – quello stesso lettore -il protagonista inconsapevole (almeno a volte): Prevenzione e Gestione di eventi e incidenti cibernetici; Resilienza delle Infrastrutture digitali e sicurezza tecnologica; Investimenti PNRR per la Cyber sicurezza; Cooperazione internazionale; Ricerca e innovazione, formazione e consapevolezza; Attuazione della strategia nazionale per la Cybersicurezza 2022-2026; Organizzazione e funzionamento dell’ACN. Di seguito alcune infografiche tratte dalla Relazione presentata. Esse rappresentano il fulcro dell’attività di ACN per la cybersicurezza nazionale (ndr.): da un lato riportando le minacce sempre più presenti e trasversali (interessano utenti ma anche la Pubblica Amministrazione), d’altro canto il finanziamento di progettualità, con ACN ideale anello di congiunzione, con l’obiettivo di rafforzare le infrastrutture e i servizi digitali italiani della PA. Importante rilevare come il volano ideale, di eventuali attacchi, rimane ancora l’utilizzo della posta elettronica. Da questo discende la maggiore necessità di formazione del personale, anche della pubblica amministrazione, al fine di mitigare le minacce stesse e incrementare la consapevolezza dell’utente. Overview sui contenuti 1.411 sono stati gli attacchi cyber trattati dall’ACN, con un incremento del 29% rispetto all’anno precedente. 303 incidenti, 349 segnalazioni (incrementi delle attività rispetto al 2022: 126 e 81) 623 mln di euro gli investimenti previsti dal PNRR per incrementare la difesa cibernetica del paese. Nel 2023 l’Italia è risultata il terzo Paese dell’Unione europea più colpito da ransomware, mentre a livello globale è stato il sesto Paese più colpito. Nella grande maggioranza dei casi (84%) le vittime appartengono al settore privato. Per quanto attiene alla dimensione aziendale dei soggetti privati colpiti, circa il 23% degli eventi ransomware ha interessato grandi imprese, mentre in oltre il 75% dei casi sono state coinvolte piccole (46,3%). Nel corso del 2023, l’ACN ha gestito 422 eventi cyber ai danni di istituzioni pubbliche nazionali, in sensibile aumento rispetto ai 160 del 2022. Di questi eventi, 85 sono stati classificati come incidenti (nel 2022 furono 57), procurando nella maggior parte dei casi il malfunzionamento dei sistemi e conseguenti blocchi o rallentamenti nell’erogazione dei servizi. La distribuzione di tali eventi nella Pubblica Amministrazione è rappresentata in Figura […] Ovviamente queste informazioni assumono particolare rilevanza anche per chi si occupa di gestione appalti pubblici e quindi di acquisti nel campo ICT. Si ricorda l’obbligo di considerare gli aspetti legati alla cybersecurity nelle gare, come richiamato dall’articolo 108, co. 4, del D.lgs 36/2023. Ancora, sussiste l’obbligo di verificare, per la PA, che il fornitore di servizi cloud sia qualificato, per la particolare tipologia di offerta, da ACN. L’Agenzia, infatti, mette a disposizione un catalogo di fornitori sul proprio website. Silvestro Marascio