Italy
National Cyber Security Strategy
Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico
In linea con quanto previsto dal DPCM del 24 gennaio 2013, il presente Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico individua i profili e le tendenze evolutive delle minacce e delle vulnerebilità dei sistemi e delle reti d'interesse nazionale, specifica i ruoli ed i compiti dei diversi soggetti pubblici e privati ed individua gli strumenti e le procedure con cui perseguire l'accrescimento delle capacità del Paese di prevenire e rispondere in maniera compartecipata alle sfide poste dallo spazio cibernetico.
Sintesi strategia
- Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico [ pdf ]
- Piano nazionale per la protezione cibernetica e la sicurezza informatica [ pdf ]
Schema struttura organizzativa
Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico
Al fine di garantire al Paese i benefici sociali ed economici derivanti da uno spazio cibernetico sicuro ed allo scopo di rafforzare le capacità nazionali di prevenzione, reazione e ripristino, il presente Quadro Strategico fissa gli indirizzi strategici che dovranno essere conseguiti attraverso uno sforzo nazionale che veda agire, in maniera sinergica e nell’ambito delle rispettive competenze, tutti gli attori che il DPCM 24 gennaio 2013 individua come nodi primari dell’architettura nazionale cyber, con un ruolo di raccordo e impulso del CISR.
Essi sono così riassumibili:
- miglioramento, secondo un approccio integrato, delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati per consentire agli stessi la messa a punto di azioni idonee ad analizzare, prevenire, mitigare e contrastare efficacemente i rischi di una minaccia multi-dimensionale;
- potenziamento delle capacità di difesa delle Infrastrutture Critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese assicurando la business continuity e, al contempo, la compliance con standard e protocolli di sicurezza internazionali;
- incentivazione della cooperazione tra istituzioni ed imprese nazionali al fine di tutelare la proprietà intellettuale e di preservare le capacità di innovazione tecnologica del Paese;
- promozione e diffusione della cultura della sicurezza cibernetica sia tra i cittadini che all’interno delle istituzioni, anche attraverso un sempre maggiore coinvolgimento del mondo della ricerca e delle università, al fine di accrescere il livello di consapevolezza e di conoscenza della minaccia e dei relativi rischi;
- rafforzamento delle capacità di contrasto alla diffusione di attività e contenuti illegali online affinché siano rispettate le normative nazionali e internazionali;
- rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica nell’ambito delle Organizzazioni di cui l’Italia è membro e con i Paesi alleati;
Al fine di conseguire tali sei indirizzi strategici sono stati identificati 11 indirizzi operativi:
- Sviluppo delle capacità del Sistema di informazione per la sicurezza della Repubblica, delle Forze di Polizia, delle Forze Armate e delle Autorità preposte alla Protezione ed alla Difesa Civile ai fini di una efficace prevenzione, identificazione, repressione, reazione, contrasto, neutralizzazione e mitigazione degli eventi nello spazio cibernetico, delle cause e degli effetti che questi hanno in particolare sui sistemi di comunicazione ed informazione e, di conseguenza, sulla società civile e sui beni e servizi a questa forniti. Incremento delle capacità di monitoraggio e analisi preventiva al fine di anticipare le potenzialità e i rischi connessi alle innovazioni tecnologiche. Sviluppo delle capacità di pianificazione e condotta delle operazioni militari nello spazio cibernetico.
- Identificazione di un’Autorità nazionale NIS (Network and Information Security) che cooperi con le omologhe Autorità degli altri Paesi membri della UE e con la Commissione Europea, anche tramite la condivisione di informazioni, per contrastare rischi e incidenti relativi a reti e sistemi. Potenziamento delle partnership pubblico-privato anche per realizzare un continuo, affidabile e sicuro scambio di informazioni tramite il quale gli operatori privati possano fornire informazioni sugli attacchi subìti e su anomalie registrate e ricevere, a loro volta, assessment sui rischi e sulle vulnerabilità sulla cui base, poi, adeguare i livelli di sicurezza. La partnership pubblico-privato dovrà essere agevolata anche attraverso:
- la creazione di tavoli istituzionali congiunti con operatori del settore, nell’ambito dei quali la sicurezza dei sistemi informativi e delle reti di comunicazione dovrà prescindere da logiche concorrenziali;
- l’organizzazione di periodiche esercitazioni a livello nazionale che coinvolgano, accanto ai diversi attori pubblici, specifici operatori privati;
- l’obbligatorietà della segnalazione di incidenti informatici nei settori strategici alle Autorità competenti;
- la definizione di procedure operative e template per lo scambio informativo.
- Definizione di un linguaggio di riferimento unico, chiaro e condiviso – da impiegare nei vari ambiti di applicazione – al fine di potenziare l’interoperabilità interministeriale e internazionale. Predisposizione di questionari atti ad individuare il livello di competenza e consapevolezza (security awareness) di tutti gli attori coinvolti nella sicurezza cibernetica nazionale, al fine di individuare punti di forza e di debolezza e di predisporre, laddove necessario, adeguati interventi formativi e di sensibilizzazione. Realizzazione di campagne di formazione, addestramento, informazione e sensibilizzazione a beneficio del personale della Pubblica Amministrazione, di quello delle imprese e della cittadinanza sulla minaccia, attuale e potenziale, sui rischi ad essa connessi e sull’impiego responsabile delle ICT. Miglioramento e sperimentazione di attività formative e addestrative al fine di validare le attività cibernetiche di competenza dei vari attori con strumenti di simulazione, addestramento e training on the job, accentrando tali funzioni nei poli formativi e specialistici esistenti all’interno della Pubblica Amministrazione (quali, ad esempio, quelli delle F.A.), per evitare fenomeni come quello degli "insider inconsapevoli" e mitigare fattori di vulnerabilità come quelli legati a modelli organizzativi BYOD. Introduzione di moduli di formazione nelle scuole di ogni grado per promuovere una cultura della sicurezza cibernetica. Predisposizione, con il contributo della comunità accademicoscientifica, di ipotesi di intervento volte a migliorare gli standard ed i livelli di sicurezza dei sistemi e delle reti, identificando anche i necessari supporti di simulazione tecnica distribuita utili allo sviluppo di una capacità di formazione e addestramento collettiva.
- Rafforzamento dei rapporti di cooperazione e collaborazione con le Organizzazioni internazionali delle quali l’Italia è parte, con i Paesi alleati e con le Nazioni amiche; partecipazione attiva del Paese alle iniziative e ai fora internazionali di trattazione della materia al fine di perseguire:
- a livello globale, la definizione di regole comuni e di un quadro di legittimità internazionale;
- a livello europeo, la tutela degli interessi vitali, strategici e contingenti dell’UE, dei flussi e degli scambi informatici legati al Mercato Unico; il raggiungimento di una capacità di resilienza cibernetica comune; una drastica riduzione del cyber crime; lo sviluppo di una politica di difesa cibernetica e delle relative capacità operative in armonia con la Common Security and Defence Policy; lo sviluppo delle risorse tecnologiche e industriali per la sicurezza cibernetica e la condivisione dei princìpi di cui alla Strategia di sicurezza cibernetica dell’UE, nonché nel rispetto degli impegni assunti in sede di Consiglio d’Europa e OSCE;
- a livello atlantico, per preservare l’efficienza e l’interoperabilità dei dispositivi di difesa comune al fine soprattutto di incorporare nel processo di pianificazione della difesa in ambito NATO un’efficace postura contro attacchi cibernetici, a tutela degli interessi vitali, strategici e/o contingenti dello Stato e della NATO;
- a livello bilaterale, con quei Paesi di interesse strategico o potenziali destinatari di iniziative multilaterali di assistenza tecnica o capacity-building.
- Realizzazione della piena operatività del CERT nazionale (già individuato nell’ambito del Ministero dello Sviluppo Economico ai sensi dell’art. 16 bis del Decreto Legislativo 1 agosto 2003, n. 259) al fine di potenziare gli strumenti di rilevazione e contrasto delle minacce ed i meccanismi di risposta agli incidenti, tramite un sistema sicuro e riservato di condivisione delle informazioni. Tale struttura definisce un modello di comunicazione condiviso con gli altri CERT ed uno schema di accreditamento al fine di individuare ruoli, domini di competenza e punti di contatto supportando la costruzione di un’adeguata community per la sicurezza nazionale. Sviluppo del CERT nazionale sulla base di un modello cooperativo pubblico-privato finalizzato a supportare cittadini e imprese tramite azioni di sensibilizzazione, di prevenzione e di coordinamento della risposta ad eventi cibernetici su vasta scala. Attivazione di meccanismi di cooperazione in ambito nazionale e internazionale, individuando nel CERT nazionale le funzioni di collegamento con altri CERT pubblici e privati operanti sul territorio e di interfaccia verso il CERT europeo e verso i CERT di altri Stati. Sviluppo di una piattaforma di coordinamento tecnico e funzionale tra tutti i CERT esistenti che permetta il flusso informativo necessario all’attività di prevenzione e risposta. Sviluppo e piena operatività del CERT-PA, quale evoluzione del CERT-SPC previsto dal DPCM recante regole tecniche e di sicurezza SPC dell’1 aprile 2008. Il CERT-PA è il punto di riferimento delle pubbliche amministrazioni attivando l’escalation verso il CERT Nazionale secondo modelli e procedure unitarie. Esso collabora con i CERT della pubblica amministrazione a livello europeo ed internazionale, attraverso scambi informativi e procedure concordate. Il CERT della Difesa segue le evoluzioni tecnico-funzionali e procedurali del NCIRC e il suo impiego dovrà essere previsto nei piani di operazione.
- Garantire, attraverso proposte di intervento normativo ed organizzativo, la continua efficacia delle misure di sicurezza cibernetica adattando la legislazione all’evoluzione della tecnologia e dei suoi nuovi utilizzi.
- Individuazione di standard per la sicurezza di prodotti e sistemi che implementano protocolli di sicurezza. Introduzione di processi di certificazione di conformità a tali standard e, ove necessario, implementazione di nuovi processi di approvvigionamento dei prodotti IT in ambito nazionale garantendo l’interoperabilità internazionale soprattutto con gli alleati della NATO e dell’UE. Elaborazione ed adozione di norme tecniche che garantiscano la sicurezza delle informazioni (integrità, disponibilità e riservatezza) attraverso l’introduzione di metodologie di progettazione sicura dei prodotti e dei sistemi. Miglioramento del supporto agli utenti, anche attraverso l’introduzione di opportuni incentivi di mercato al fine di promuovere la sicurezza dei prodotti disponibili.
- Cooperazione con il comparto industriale per la definizione di piani per la sicurezza di reti e sistemi nonché per la tutela delle alte tecnologie. Predisposizione di servizi pubblici di assistenza e collaborazione a supporto, in particolare, delle piccole e medie imprese (PMI). Creazione di una supply chain virtuosa attraverso una metodologia predefinita e con il ricorso a meccanismi di audit sui sistemi e sui fornitori per incentivarne la verifica di affidabilità. Sviluppo, all’interno della Pubblica Amministrazione, di un processo flessibile e celere di acquisizione, validazione, verifica e certificazione dei prodotti in armonia con la rapida evoluzione tecnologica del settore. Previsione di incentivi volti a stimolare la competitività industriale nazionale e tecnologica in particolare: potenziando le attività di R&S da destinare a settori strategici delle F.A. ed ai centri di eccellenza nazionale per la realizzazione di strumenti ed applicazioni maggiormente resilienti e sicuri, nonché atti a garantire efficaci capacità operative.
- Mantenimento di una stretta coerenza tra le comunicazioni strategiche e le attività condotte nell’ambiente cibernetico (che è nel contempo soggetto e oggetto di comunicazioni strategiche) affinché il sistema-Paese abbia maggiori strumenti di prevenzione e risposta agli eventi di tale natura. Una strategia di dissuasione nei confronti di potenziali avversari o criminali può trovare supporto in una oculata comunicazione istituzionale sulle capacità nazionali di dissuasione e deterrenza nello spazio cibernetico.
- Attribuzione, ai settori strategici della P.A. di adeguate risorse umane, finanziarie, tecnologiche e logistiche per il conseguimento degli obiettivi programmatici, a breve e medio termine e, di conseguenza, per un effettivo ed efficace perseguimento degli obiettivi indicati nel Quadro Strategico.
- Implementazione di un sistema integrato di Information Risk Management nazionale in grado di:
- realizzare una struttura efficace per la prevenzione e la gestione del rischio nazionale;
- identificare ed individuare potenziali rischi di carattere nazionale;
- produrre politiche di riferimento per la gestione del rischio.
La centralità della partnership pubblico-privato (PPP)
Il DPCM 24 gennaio 2013 include tra gli attori dell’architettura nazionale preposta a garantire la protezione cibernetica e la sicurezza informatica nazionale, oltre ai soggetti pubblici, anche gli operatori privati che “forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, quelli che gestiscono infrastrutture critiche di rilievo nazionale ed europeo, il cui funzionamento è condizionato dall’operatività di sistemi informatici e telematici”. Ai sensi del citato provvedimento, tali soggetti sono tenuti a:
- comunicare al Nucleo per la Sicurezza Cibernetica (NSC) ogni significativa violazione della sicurezza o dell’integrità dei propri sistemi informatici;
- adottare le best practices e le misure finalizzate a conseguire la sicurezza cibernetica;
- fornire informazioni agli organismi di informazione per la sicurezza, consentendo anche l’accesso alle banche dati d’interesse ai fini della sicurezza cibernetica;
- collaborare alla gestione delle crisi cibernetiche contribuendo al ripristino della funzionalità dei sistemi e delle reti da essi gestiti.
Il partenariato pubblico-privato costituisce, pertanto, un principio imprescindibile per il successo di ogni strategia di sicurezza cibernetica. Nei sistemi economico-istituzionali moderni, infatti, gran parte delle infrastrutture che gestiscono servizi pubblici essenziali e quelle di rilevanza strategica per il sistema-Paese, sono affidate all’iniziativa di operatori economici privati. La necessaria collaborazione con questi ultimi ha dato vita ad appositi accordi finalizzati a rendere ancor più strutturata la cooperazione in tale ambito. Nell’ottica di un suo ulteriore rafforzamento, da conseguire attraverso un processo incrementale, le sinergie da sviluppare dovranno interessare, accanto ai soggetti menzionati, anche altre realtà nazionali che, al di là delle dimensioni, rappresentano segmenti di punta per lo sviluppo scientifico, tecnologico, industriale ed economico del Paese.
Ruoli e compiti dei soggetti pubblici
- Agenzia per l'Italia Digitale
- Presidenza del Consiglio dei Ministri
- Ministero degli Affari Esteri
- Ministero degli Interni
- Ministero della Difesa
- Ministero dell'Economia e delle Finanze
- Ministero dello Sviluppo Economico
Il DPCM del 24 gennaio 2013 ha delineato un assetto istituzionale preposto alla protezione cibernetica ed alla sicurezza informatica, nel quale i diversi attori interessati, sia pubblici sia privati, agiscono in maniera integrata allo scopo di ridurre le vulnerabilità dello spazio cibernetico, identificare le minacce, prevenire i rischi ed accrescere le capacità di risposta a situazioni di crisi.
Al vertice dell’architettura si colloca il Presidente del Consiglio dei Ministri, che adotta il Quadro Strategico ed il Piano Nazionale per la sicurezza dello spazio cibernetico, per la cui attuazione emana apposite direttive, supportato in ciò dal Comitato Interministeriale per la Sicurezza della Repubblica (CISR), il quale, oltre a elaborare proposte di intervento normativo, approva le linee di indirizzo dirette a favorire la collaborazione pubblico- privati nonché una politica di condivisione delle informazioni e per l’adozione di best practices e di misure per la sicurezza cibernetica. La verifica dell’attuazione delle misure previste dal Piano Nazionale per la sicurezza dello spazio cibernetico, quale emanazione del presente Quadro Strategico Nazionale, spetta ad un apposito “organismo collegiale di coordinamento” (cd. CISR tecnico).
A supporto del vertice politico opera il Comparto intelligence, che conduce attività di ricerca informativa, nonché provvede alla formulazione di analisi, valutazioni e previsioni sulla minaccia cibernetica, alla promozione della cultura della sicurezza cibernetica, ed alla trasmissione di informazioni rilevanti al Nucleo per la Sicurezza Cibernetica, oltre che ad altri soggetti – pubblici e privati – interessati all’acquisizione di informazioni.
Il Nucleo per la Sicurezza Cibernetica (NSC), istituito nell’ambito dell’Ufficio del Consigliere Militare presso la Presidenza del Consiglio dei Ministri, coordinando, nel rispetto delle rispettive competenze, i diversi attori che compongono l’architettura istituzionale, provvede alla prevenzione e preparazione ad eventuali situazioni di crisi ed all’attivazione delle procedure di allertamento. Ai fini della prevenzione e della preparazione ad eventuali situazioni di crisi, ferma restando, in capo alle distinte Amministrazioni, la responsabilità, la titolarità, la custodia, tutela ed elaborazione dei dati e delle informazioni contenute nelle singole basi di dati e/o archivi telematici, il Nucleo:
- promuove la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte dei soggetti pubblici e degli operatori privati interessati, e l’elaborazione delle procedure di coordinamento interministeriale per la gestione delle crisi;
- mantiene attiva (24/7) un’unità di allertamento e risposta;
- aluta e promuove procedure di condivisione delle informazioni per la diffusione di allarmi e per la gestione delle crisi;
- acquisisce informazioni – anche da operatori privati che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, o che gestiscono infrastrutture critiche di rilievo nazionale ed europeo – in merito ad incidenti significativi concernenti violazioni di sicurezza o perdita dell’integrità. I soggetti privati collaborano attivamente alla gestione delle crisi e contribuiscono al ripristino della funzionalità dei sistemi e delle reti da essi gestiti;
- promuove e coordina lo svolgimento di esercitazioni interministeriali e la partecipazione a quelle internazionali;
- costituisce punto di riferimento nazionale per i rapporti con l’ONU, la NATO, la UE, altre organizzazioni internazionali ed altri Stati.
Ai fini dell’attivazione delle azioni di risposta e ripristino, invece, il Nucleo riceve le segnalazioni di evento cibernetico e dirama i relativi allarmi. Laddove l’evento assuma dimensioni, intensità o natura tali da incidere sulla sicurezza nazionale o non possa essere fronteggiato dalle singole amministrazioni competenti, ma richieda l’assunzione di decisioni coordinate in sede interministeriale, dichiara la situazione di crisi cibernetica e attiva il Nucleo Interministeriale Situazione e Pianificazione (NISP), quale “Tavolo interministeriale di crisi cibernetica”. Esso assicura che le attività di reazione e stabilizzazione di competenza delle diverse Amministrazioni ed enti vengano espletate in maniera coordinata, avvalendosi del Computer Emergency Response Team (CERT) nazionale, istituito presso il Ministero dello Sviluppo Economico.
Agenzia per l'Italia Digitale
Perseguimento degli obiettivi definiti dall’Agenda Digitale Italiana attraverso il monitoraggio dei piani di ICT delle pubbliche amministrazioni e la promozione annuale di nuovi, in linea con l’Agenda digitale europea.
- Svolge attività di progettazione e coordinamento delle iniziative strategiche per la più efficace erogazione di servizi in rete della P.A. a cittadini ed imprese;
- detta indirizzi, regole tecniche e linee guida in materia di sicurezza informatica e di omogeneità dei linguaggi, delle procedure e degli standard, anche di tipo aperto, in modo da assicurare, tra l’altro, la piena interoperabilità e cooperazione applicativa tra i sistemi informatici della P.A. e tra questi e i sistemi dell’Unione Europea (D.L. 22 giugno 2012, n. 83, art. 20 co. 3 lit b);
- assicura la qualità tecnica e la sicurezza dei sistemi informativi pubblici e della loro rete di interconnessione per salvaguardare il patrimonio informativo della PA e garantire integrità, disponibilità e riservatezza dei servizi erogati ai cittadini, con livelli di servizio omogenei sul territorio nazionale, provvedendo anche alla loro piena integrazione a livello europeo. In particolare l’attività è riferita alle basi di dati di interesse nazionale, segnatamente a quelle identificate come critiche (art. 2-bis del D.L. 179/2012 come modificato dalla legge di conversione L. 221/2012);
- opera il CERT-SPC, CERT del Sistema Pubblico di Connettività, attuandone la trasformazione in CERT-PA, CERT della Pubblica Amministrazione, che garantisce la sicurezza cibernetica dei sistemi informativi della P.A., oltre che della loro rete di interconnessione, provvedendo al coordinamento delle strutture di gestione della sicurezza ICT – ULS, SOC e CERT, operanti negli ambiti di competenza. Il CERT-PA coopera con il CERT Nazionale e con il CERT Difesa per il raggiungimento degli obiettivi di sicurezza nazionale;
- funge da snodo per incrementare la partecipazione italiana ai programmi europei e nazionali finalizzati allo sviluppo della società dell’informazione;
- segue i processi di informatizzazione dei documenti amministrativi, vigila sulla qualità dei servizi e sulla razionalizzazione della spesa in materia informatica, contribuisce alla diffusione dell’utilizzo delle tecnologie dell’informazione e della comunicazione allo scopo di favorire l’innovazione e la crescita economica, anche mediante l’accelerazione della diffusione delle Reti di nuova generazione;
- cura la promozione e diffusione delle iniziative di alfabetizzazione informatica mediante tecnologie didattiche innovative rivolte ai cittadini, ai dipendenti pubblici, anche mediante intese con la Scuola Superiore della P.A. e il Formez.
Presidenza del Consiglio dei Ministri
Attività informativa finalizzata a rafforzare la protezione cibernetica e la sicurezza informatica nazionali.
- Il DIS e le Agenzie svolgono la propria attività nel campo della sicurezza cibernetica avvalendosi degli strumenti e secondo le modalità e le procedure stabilite dalla legge n. 124/2007, così come modificata dalla legge 133/2012. A tal fine, il Direttore Generale del DIS, sulla base delle direttive adottate dal Presidente del Consiglio dei Ministri – volte a rafforzare le attività di informazione per la protezione delle infrastrutture critiche (materiali e immateriali), con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali – e alla luce degli indirizzi generali e degli obiettivi fondamentali individuati dal CISR, cura il coordinamento delle attività di ricerca informativa finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica nazionali;
- il DIS, attraverso i propri uffici:
- assicura il supporto al Direttore generale per l’espletamento delle attività di coordinamento;
- provvede, sulla base delle informazioni, analisi e rapporti provenienti dai servizi di informazione per la sicurezza, dalle F.A. e FF.PP., dalle amministrazioni dello Stato e da enti di ricerca anche privati, e alla luce delle acquisizioni provenienti dallo scambio informativo tra l’AISE, l’AISI e le FF.PP., e dei dati acquisiti da pubbliche amministrazioni e dai soggetti erogatori di servizi di pubblica utilità, alla formulazione di analisi, valutazioni e previsioni sulla minaccia cibernetica;
- provvede, in base a quanto disposto dal DPCM 24 gennaio 2013, alla trasmissione di informazioni rilevanti ai fini della sicurezza cibernetica al Nucleo per la sicurezza cibernetica, alle pubbliche amministrazioni e agli altri soggetti, anche privati, interessati all’acquisizione di informazioni per la sicurezza;
- definisce, in base a quanto disposto dal DPCM 22 luglio 2011, le misure di sicurezza cibernetica che devono essere adottate a protezione dei sistemi e delle infrastrutture informatiche che trattano informazioni classificate o coperte dal segreto di Stato, provvedendo alle relative omologazioni tecniche e valutando le eventuali violazioni di sicurezza o compromissioni di informazioni classificate conseguenti ad eventi accidentali o intenzionali;
- le Agenzie, ciascuna nell’ambito delle rispettive attribuzioni, svolgono, secondo gli indirizzi definiti dalle direttive del Presidente del Consiglio dei Ministri e le linee di coordinamento delle attività di ricerca informativa stabilite dal Direttore Generale del DIS, le attività di ricerca e di elaborazione informativa rivolte alla protezione cibernetica e alla sicurezza informatica nazionali;
- il DIS e le Agenzie corrispondono con le pubbliche amministrazioni, i soggetti erogatori di servizi di pubblica utilità, le università e con gli enti di ricerca, stipulando a tal fine apposite convenzioni. Per le stesse finalità, le pubbliche amministrazioni ed i soggetti erogatori di servizi di pubblica utilità consentono l’accesso del DIS e delle Agenzie ai propri archivi informatici secondo le modalità e con le procedure previste dal DPCM n. 4/2009;
- il DIS pone in essere ogni iniziativa volta a promuovere e diffondere la conoscenza e la consapevolezza in merito ai rischi derivanti dalla minaccia cibernetica e sulle misure necessarie a prevenirli, anche sulla base delle indicazioni del comitato scientifico;
- il DIS redige il documento di sicurezza nazionale concernente le attività relative alla protezione delle infrastrutture critiche, materiali e immateriali, nonché alla protezione cibernetica e alla sicurezza informatica, da allegare alla relazione annuale al Parlamento sulla politica dell’informazione per la sicurezza.
Ministero degli Affari Esteri
Rappresenta nei massimi consessi politici multilaterali e internazionali la posizione nazionale.
- Assicura coerenza alla promozione e tutela degli interessi italiani in materia nelle sedi e ai vari livelli internazionali di trattazione;
- coordina la partecipazione e l’impegno italiano, ivi incluso il contributo del settore privato e dell’accademia, presso i diversi fora multilaterali di trattazione della materia;
- negozia, in concorso con gli altri organi nazionali competenti, le intese e gli accordi internazionali di disciplina della materia, verificandone la compatibilità e l’opportunità rispetto alle linee strategiche di proiezione internazionale del Paese negli specifici volet di declinazione (politiche di sicurezza, tutela dei diritti umani e della libertà fondamentali, contrasto alle minacce transnazionali, salvaguardia e sviluppo dei flussi finanziari, economici e commerciali, ecc.);
- collabora al recepimento interno degli obblighi internazionalmente assunti e dei nuovi orientamenti di disciplina della materia in ambito internazionale (soft law, CSBM);
- coordina e assicura i servizi e le attività, ivi inclusa l’adeguata sensibilizzazione e formazione del personale, per garantire la protezione, la resilienza e l’efficienza dei sistemi informativi e di comunicazione sicura presso la Farnesina e la Rete diplomatico-consolare;
- partecipa alle community di sicurezza del Sistema Pubblico di Connettività (SPC), attraverso la c.d. Unità Locale di Sicurezza (CERT-MAE), ufficialmente accreditata presso il CERTSPC.
Ministero degli Interni
Tutela dell’ordine e della sicurezza pubblica, di soccorso pubblico e difesa civile anche a fronte delle minacce che interessano lo spazio cibernetico o da questo promanano con impatto sulla popolazione, sulle istituzioni, sulle imprese e sulla continuità dell’attività del governo.
- Assicura, attraverso il Dipartimento della Pubblica Sicurezza, la prevenzione ed il contrasto dei crimini informatici;
- garantisce, attraverso la Polizia Postale e delle Comunicazioni, l’integrità e la funzionalità della rete informatica, ivi compresa la protezione delle infrastrutture critiche informatizzate (attraverso il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche - CNAIPIC), la prevenzione ed il contrasto degli attacchi informatici alle strutture di livello strategico per il Paese, la sicurezza e la regolarità dei servizi di telecomunicazione, il contrasto della pedopornografia online, nonché il contrasto degli illeciti concernenti i mezzi di pagamento e il diritto d’autore in tutti i casi in cui l’utilizzo distorto dello strumento informatico o delle tecnologie di rete rappresenti il modo esclusivo o assolutamente prevalente di perpetrazione degli stessi;
- concorre alla prevenzione e al contrasto delle attività terroristiche e di agevolazione del terrorismo condotte con mezzi informatici;
- assicura attività di prevenzione e contrasto a fronte dell’ampia tipologia di crimini informatici;
- opera in proiezione preventiva rispetto al crimine informatico attraverso costanti iniziative di sensibilizzazione dei cittadini al tema della sicurezza informatica.
Ministero della Difesa
Difesa dello Stato, missioni per la realizzazione della pace e sicurezza e concorso alla salvaguardia delle libere istituzioni
- Definisce e coordina la politica militare, la governance e le capacità militari nell’ambiente cibernetico;
- pianifica, conduce e sostiene operazioni (Computer Network Operations – CNO) nello spazio cibernetico atte a prevenire, localizzare, difendere (attivamente e in profondità), contrastare e neutralizzare ogni possibile minaccia e/o azione avversaria cibernetica, portata alla reti, ai sistemi ed ai servizi della Difesa sul territorio nazionale o nei teatri operativi fuori dai confini nazionali, nel quadro della propria missione istituzionale. In tale quadro, la Difesa negozia le intese e gli accordi internazionali di disciplina della materia, coordina le proprie attività nel settore cyber-militare con NATO, EU e le Difese di altri Paesi amici e alleati;
- contribuisce al flusso informativo a supporto delle operazioni cibernetiche delle F.A. oltre i confini nazionali ai sensi della legge 3 agosto 2007, n.124 e successive modifiche;
- concorre alla prevenzione e al contrasto delle attività terroristiche e di agevolazione al terrorismo condotte con mezzi informatici contro le F.A. in campo nazionale o in operazioni fuori dai confini nazionali ai sensi della legge 3 agosto 2007, n. 124 e successive modifiche;
- assicura tutti quei servizi e quelle attività necessari a garantire la protezione, la resilienza e l’efficienza del Sistema Militare e concorre alle attività di reazione e stabilizzazione rispetto a situazioni di crisi di natura cibernetica nazionale attraverso collegamenti funzionali e tecnici del CERT Difesa con il CERT Nazionale ed il CIRC della NATO;
- concorre alla prevenzione e al contrasto degli attacchi ai sistemi di comunicazione e informazione di rilevanza strategica per gli interessi nazionali;
- assicura la formazione e l’addestramento del proprio personale e mette a disposizione i propri centri di formazione in favore delle altre Amministrazioni.
Ministero dell'Economia e delle Finanze
Tutela il risparmio nazionale nella sua accezione più ampia (dalle regolamentazione dei mercati finanziari alle società partecipate), essa gestisce inoltre l'accertamento e riscossione dei tributi, ed in questo ambito l'Anagrafe tributaria.
- Il MEF, nel suo complesso e per il tramite dei propri Dipartimenti, Agenzie Fiscali e della Guardia di Finanza, è responsabile di numerose Infrastrutture Critiche Informatizzate Nazionali ed è dotato di una complessa organizzazione di sicurezza;
- partecipa attivamente alle community di sicurezza del Sistema Pubblico di Connettività (SPC), attraverso le c.d. Unità Locali di Sicurezza, ULS MEF/ Sogei e ULS DF/Sogei, ufficialmente accreditate presso il CERT-SPC, che curano il coordinamento delle attività di prevenzione e gestione degli incidenti nell’ambito del SPC;
- in ambito MEF sono operativi enti e strutture organizzative all’interno delle quali operano unità preposte a garantire la sicurezza informatica delle proprie reti e sistemi, ovvero a svolgere compiti di prevenzione e repressione delle frodi di carattere economico/ finanziario realizzate attraverso le reti telematiche e le tecnologie informatiche (Guardia di Finanza).
Ministero dello Sviluppo Economico
Promuove, sviluppa e disciplina il settore delle comunicazioni elettroniche.
- È l’Autorità nazionale di regolamentazione in materia di sicurezza ed integrità delle reti di comunicazione elettronica, ai sensi dell’art. 16 bis del d.lvo n. 259 del 2003, relazionandosi su tali materie con organismi nazionali ed internazionali;
- ai sensi del predetto decreto:
- individua le misure di natura tecnico- organizzativa di sicurezza e integrità delle reti e verifica il rispetto delle stesse da parte degli operatori di rete e fornitori di servizi di comunicazioni elettroniche;
- riceve dagli operatori di reti e fornitori di servizi le segnalazioni relative ad incidenti con impatto significativo per il successivo inoltro alla Commissione Europea e all’Agenzia ENISA;
- svolge le funzioni di CERT nazionale;
- rappresenta, per il tramite del Direttore dell’Istituto Superiore delle Comunicazioni e delle tecnologie dell’informazione, il Paese nell’ambito della Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA);
- l’ISCOM:
- è l’Organismo di Certificazione della Sicurezza Informatica (OCSI);
- partecipa alle iniziative coordinate dall’Agenzia ENISA in materia di protezione delle infrastrutture critiche informatizzate;
- partecipa ai lavori in diversi contesti internazionali ed europei in materia di Internet Governance;
- effettua la vigilanza nell’ambito del Registro Italiano ccTLD“it”;
- è coinvolto nel programma comunitario safer internet;
- svolge attività di ricerca in collaborazione con Enti di ricerca ed Università nei diversi settori delle comunicazioni elettroniche al fine di individuare azioni concrete per l’attuazione degli obiettivi perseguiti dall’Agenda Digitale Europea;
- l’Osservatorio Permanente per la Sicurezza e la Tutela delle Reti e delle Comunicazioni – presieduto dal Capo del Dipartimento per le Comunicazioni – cura la formazione della cultura della sicurezza, la redazione del repertorio delle prestazioni obbligatorie che gli Internet Service Providers (ISPs) devono mettere a disposizione dell’AG, la promozione dell’accesso ad Internet, ecc.
Piano nazionale per la protezione cibernetica e la sicurezza informatica
Nell’ambito del Quadro Strategico Nazionale (QSN), il presente Piano Nazionale per la protezione cibernetica e la sicurezza informatica nazionali (PN) mira a sviluppare, per il biennio 2014- 2015, i sei indirizzi strategici ivi identificati. Al fine di dare concreta attuazione agli stessi, il Piano Nazionale dettaglia undici indirizzi operativi predefiniti nel Quadro Strategico, prevedendo obiettivi specifici e conseguenti linee d’azione, così come esplicitato all’articolo 3 comma 1 lit. b) del DPCM 24 gennaio 2013 Direttiva recante “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”.
Il Piano Nazionale stabilisce, dunque, la roadmap per l’adozione, da parte dei soggetti pubblici e privati di cui al citato DPCM, delle misure prioritarie per l’implementazione del Quadro Strategico, sulla base di un dialogo attivo e iterativo che vede nella protezione cibernetica e nella sicurezza informatica nazionali non solo un obiettivo ma, soprattutto, un processo che coinvolge tutti gli attori interessati, a vario titolo, alla tematica cyber. La relazione tra il Quadro Strategico ed il Piano Nazionale è illustrata dalla seguente figura.
Indirizzi strategici
- Miglioramento, secondo un approccio integrato, delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati
- Potenziamento delle capacità di difesa delle Infrastrutture Critiche nazionali e degli attori di rilevanza strategica per il sistema- Paese
- Incentivazione della cooperazione tra istituzioni ed imprese nazionali
- Promozione e diffusione della cultura della sicurezza cibernetica
-
- Rafforzamento della cooperazione internazionale
Indirizzi operativi
- Potenziamento capacità di intelligence, di polizia e di difesa civile e militare
- Potenziamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati
- romozione e diffusione della cultura della sicurezza informatica. Formazione e addestramento
- Cooperazione internazionale ed esercitazioni
- Operatività del CERT nazionale, del CERT-PA e dei CERT dicasteriali
- Interventi legislativi e compliance con obblighi internazionali
- Compliance a standard e protocolli di sicurezza
- Supporto allo sviluppo industriale e tecnologico
- Comunicazione strategica
- Risorse
- Implementazione di un sistema di Information Risk Management nazionale
La terminologia impiegata nel presente Piano Nazionale è conforme a quella adottata in ambito internazionale (ONU, NATO e UE) in materia, oltre che al Glossario intelligence pubblicato dal Dipartimento Informazioni per la Sicurezza (DIS).
Il Piano Nazionale è stato elaborato dal Tavolo Tecnico Cyber (TTC) che – istituito il 3 aprile 2013 in seno all’organismo collegiale permanente (c.d. CISR “tecnico”) dopo l’entrata in vigore del DPCM 24 gennaio 2013 – opera presso il Dipartimento Informazioni per la Sicurezza. Ai lavori del TTC partecipano i punti di contatto cyber dei Dicasteri CISR (Affari Esteri, Interno, Difesa, Giustizia, Economia e Finanze, Sviluppo Economico) dell’Agenzia per l’Italia Digitale e del Nucleo per la Sicurezza Cibernetica (operante presso l’Ufficio del Consigliere Militare del Presidente del Consiglio).
Tale sinergia dovrà essere sviluppata anche con una molteplicità di altri attori istituzionali tra cui il Ministero delle Infrastrutture e dei Trasporti ed il Ministero dell’Istruzione, Università e Ricerca, oltre ad enti pubblici nazionali.
Il Piano Nazionale, inoltre, dovrà essere condiviso con stakeholder privati, che costituiscono attori rilevanti nell’ottica di una partnership pubblico-privato e, in quanto tali, rappresentano conditio sine qua non per lo sviluppo di un’efficiente capacità di sicurezza e difesa cibernetica nazionale.
L’attuazione delle linee d’azione indicate nel presente documento, il cui sviluppo va inteso in un’ottica incrementale, sarà misurata attraverso una apposita matrice elaborata dall’organismo collegiale permanente (c.d. “CISR Tecnico”) idonea a consentire allo stesso organismo, ai sensi dell’articolo 5 comma 3 lit. c) del DPCM 24 gennaio 2013, lo svolgimento delle attività necessarie a “verificare l’attuazione degli interventi previsti dal Piano Nazionale per la sicurezza dello spazio cibernetico e l’efficacia delle procedure di coordinamento tra i diversi soggetti, pubblici e privati, chiamati ad attuarli”.
Indirizzo operativo 1
POTENZIAMENTO DELLE CAPACITÀ DI INTELLIGENCE, DI POLIZIA E DI DIFESA CIVILE E MILITARE
La protezione cibernetica e la sicurezza informatica nazionali, per essere efficacemente perseguite, presuppongono, in prima istanza, un’approfondita conoscenza delle vulnerabilità – non solo del fattore tecnologico ma anche di quello umano – e delle minacce cibernetiche che le sfruttano, al fine rendere le reti e i sistemi, in particolare nel caso delle infrastrutture critiche, più resilienti, assicurando, al contempo, l’efficacia del contrasto.
1.1 Analisi delle minacce e delle vulnerabilità
a. Analizzare e valutare le minacce cibernetiche e le vulnerabilità su base periodica
b. Monitorare le innovazioni tecnologiche in tutti i settori correlati all’impiego di sistemi e piattaforme ICT (industriale, infrastrutture critiche, telemedicina, automotive, social network, data center, cloud computing, ecc.), al fine di individuare precocemente eventuali profili di vulnerabilità
c. Condividere le valutazioni effettuate con tutti i responsabili di infrastrutture critiche attraverso apposite piattaforme istituzionali
d. Collaborare con università e centri di ricerca, anche privati, per l’elaborazione di metodologie e tecnologie innovative per la rilevazione e l’analisi delle minacce e delle vulnerabilità
1.2 Sviluppo delle capacità di raccolta, elaborazione e disseminazione delle informazioni (cyber intelligence), nonché della gestione della conoscenza che ne deriva (knowledge management)
a. Potenziare le capacità di cyber intelligence
b. Sviluppare capacità e procedure per il monitoraggio dei volumi di traffico e per la correlazione degli eventi ai fini della tempestiva rilevazione di anomalie associate a stati della minaccia
c. Implementare procedure di early warning d. Sviluppare capacità informative integrate (interministeriali, multi-sources)
1.3 Sviluppo delle capacità di contrasto alla minaccia cibernetica
a. Migliorare le capacità di attribuzione di un attacco cyber
b. Cyber Situational Awareness
c. Favorire accordi per scambi informativi tra le Autorità competenti in materia ed il settore privato, secondo le modalità già previste dalla normativa vigente
d. Potenziare le capacità di risposta ad incidenti informatici e di contrasto ad ogni forma di crimine informatico
1.4 Sviluppo delle capacità operative fondamentali, secondo le Direttive della Difesa sull’ambiente cibernetico
a. Implementare l’operatività delle strutture preposte alla difesa dello spazio cibernetico, predisponendo gli assetti, individuati dalle linee di comando, attraverso la preparazione, l’addestramento, la leadership, la protezione, il sostegno ed il dispiegamento degli stessi
b. Sviluppare strutture di Comando e Controllo in grado di pianificare e condurre operazioni militari nello spazio cibernetico in maniera efficace, veloce e distribuita (Centro Operativo Cibernetico Interforze – COCI)
1.5 Sviluppo delle capacità di analisi forense digitale
a. Accrescere e diffondere le capacità di acquisizione dei dati con tecniche di digital forensics
b. Incrementare le capacità di live digital forensics
c. Potenziare le capacità di data analysis
d. Sviluppare le capacità di analisi digitale post-mortem
1.6 Processo delle lezioni apprese
a. Creare un insieme di procedure e strumenti che permettano di registrare, analizzare, valorizzare e condividere le lezioni apprese nella gestione
Indirizzo operativo 2
POTENZIAMENTO DELL’ORGANIZZAZIONE E DELLE MODALITÀ DI COORDINAMENTO E DI INTERAZIONE A LIVELLO NAZIONALE TRA SOGGETTI PUBBLICI E PRIVATI
Tale indirizzo si pone l’obiettivo di potenziare il coordinamento e la cooperazione non solo tra i diversi soggetti pubblici, ma anche tra questi e i soggetti privati, considerato che questi ultimi gestiscono le infrastrutture critiche nazionali. Da qui discende l’esigenza di assicurare l’interoperabilità tra i vari attori, anche a livello internazionale.
2.1 Integrazione
a. Sviluppare sistemi di collaborazione e di relazioni fiduciarie tra i settori pubblico e privato (inclusi i fornitori di servizi), anche per l’individuazione e la riduzione delle vulnerabilità
b. Favorire l’attività di tavoli istituzionali, tavoli tecnici ed organismi competenti che prevedono la partecipazione di operatori di reti/fornitori di servizi di comunicazioni elettroniche, con particolare riguardo alla definizione di accordi e di procedure condivise per l’operatività del CERT nazionale
c. Potenziare il sistema di info-sharing
2.2 Infrastrutture
a. Elaborare una metodologia per l’identificazione dei sistemi cibernetici e informatici che supportano funzioni critiche
b. Sviluppare iniziative, soluzioni e prodotti per la gestione delle crisi a carattere cibernetico attraverso il contributo sinergico delle Autorità competenti in materia di protezione delle infrastrutture critiche, delle strutture dei diversi Dicasteri, del settore privato e di Paesi partner, per creare un sistema sicuro e resiliente
c. Definire specifici standard di valutazione e format di comunicazione delle analisi interne relative alle infrastrutture gestite ed alle vulnerabilità individuate
d. Elaborare strategie per la mitigazione delle vulnerabilità
e. Stabilire i requisiti minimi di cyber defence, in termini sia strumentali che procedurali, per la protezione delle infrastrutture critiche
2.3 Interoperabilità
a. Assicurare l’interoperabilità organizzativa e semantica al fine di avere una comune descrizione e comprensione dei fenomeni e delle procedure per la protezione e la reazione, integrabili tra la Pubblica Amministrazione, il settore privato, la UE e la NATO
2.4 Partecipazione degli operatori privati ad eventi di sicurezza cibernetica anche internazionali, a livello bilaterale e multilaterale
a. Rafforzare gli specifici canali di dialogo e consultazione tra le istituzioni ed il settore privato, nell’ottica dell’approccio “Sistema Paese”
b. Predisporre missioni congiunte di settore in contesti bilaterali e multilaterali
c. Favorire la partecipazione del settore privato ad esercitazioni internazionali sulle tematiche della protezione delle infrastrutture critiche informatizzate
2.5 Coordinamento nazionale dei lavori svolti dal Consiglio dell’Unione Europea relativi alla proposta di Direttiva in materia di sicurezza cibernetica
a. Definire la posizione nazionale in merito alla proposta di Direttiva COM(2013) 48 finale del 7 febbraio 2013, sulla base dei contributi delle Istituzioni interessate
Indirizzo operativo 3
PROMOZIONE E DIFFUSIONE DELLA CULTURA DELLA SICUREZZA INFORMATICA. FORMAZIONE E ADDESTRAMENTO
La formazione e l’addestramento nel settore della sicurezza informatica sono stati, fino ad oggi, orientati prevalentemente al personale specialistico che opera o che è destinato ad operare nel settore. Si pone, pertanto, l’esigenza di un’attività di promozione della cultura della sicurezza informatica diretta ad un ampio pubblico, che includa privati cittadini e personale, sia delle imprese che della Pubblica Amministrazione.
3.1 Sviluppo concetti e dottrina
a. Analizzare l’evoluzione del quadro strategico internazionale, aggiornare i concetti e sviluppare le dottrine sulle attività cibernetiche anche attraverso l’individuazione delle best practices internazionali
b. Migliorare la comprensione degli effetti della dissuasione e della deterrenza sul controllo della escalation di crisi nello spazio cibernetico in ambito nazionale, NATO e UE
3.2 Promozione e diffusione della cultura della sicurezza informatica
a. Organizzare mirate iniziative differenziate per cittadini, studenti, imprese e personale della Pubblica Amministrazione
3.3 Educazione, formazione e addestramento
a. Partecipare alle iniziative di sensibilizzazione coordinate dall’European Union Agency for Network and Information Security (ENISA)
b. Sensibilizzare e formare i decision makers sugli effetti e sull’evoluzione della minaccia cibernetica
c. Formare ed addestrare il personale. Specifica formazione deve essere dedicata al personale assegnato alle operazioni cibernetiche ed a quello delle diverse Amministrazioni preposto alla messa in opera, gestione e protezione dei sistemi informatici
d. Sviluppare, sperimentare e validare attività operative nel cyber-spazio con l’ausilio di strumenti di simulazione, con addestramento collettivo e training on the job
e. Accentrare in un unico polo interforze in ambito Difesa le funzioni di formazione ed addestramento rendendo disponibile l’accesso al personale di altri Dicasteri, imprese pubbliche e private (nazionali e internazionali), dei membri della NATO e dell’UE e di Paesi partner
f. Organizzare, da parte della Scuola Superiore di Specializzazione in Telecomunicazioni (SSST), corsi specialistici, seminari e convegni, su materie che riguardano la sicurezza delle reti e delle informazioni con riferimento anche agli aspetti di certificazione della sicurezza informatica e all’analisi delle vulnerabilità
g. Sviluppare programmi di formazione specifici in cooperazione tra la Scuola Superiore della Magistratura e le Scuole di formazione del personale amministrativo e penitenziario
h. Sviluppare sinergie con enti universitari e di ricerca nella definizione di percorsi formativi ad hoc a favore di personale della Pubblica Amministrazione e delle imprese
i. Mappare i centri di eccellenza in materia
Indirizzo operativo 4
COOPERAZIONE INTERNAZIONALE ED ESERCITAZIONI
Il carattere per definizione transnazionale della minaccia cibernetica e la sua pervasività richiedono un approccio internazionale alla tematica, posto che i singoli Stati devono necessariamente agire sinergicamente per far fronte alla stessa. Ciò presuppone, necessariamente, un comune livello di preparazione e di interoperabilità.
4.1 Rafforzamento della cooperazione bilaterale e multilaterale
a. Instaurare rapporti strutturati di cooperazione con i Paesi membri della NATO, della UE e con le nazioni partner
b. Assicurare la massima integrazione e interoperabilità dei processi di pianificazione e condotta delle operazioni cibernetiche attraverso attività congiunte a livello Difesa, interministeriale, NATO, UE e multinazionale
c. Garantire la massima integrazione e interoperabilità dei processi di gestione delle attività nel settore cibernetico ai fini della condivisione di informazioni e di iniziative congiunte a livello bilaterale, multilaterale e in seno ai principali consessi internazionali (UE, NATO e OCSE) anche sotto il profilo normativo e formativo
d. Partecipare ai consessi multilaterali (NATO, UE, ONU, OCSE, ecc.) al fine di garantire una visione integrale e assicurare la coerenza degli indirizzi nazionali in materia
e. Supportare la piena partecipazione del sistema della giustizia italiana al tavolo della Giustizia Elettronica Europea (European e-Justice) ai fini dello sviluppo dei relativi sistemi informativi e la messa a disposizione dei conseguenti servizi, quando disponibili
4.2 Esercitazioni
a. Organizzare, su base periodica, esercitazioni nazionali di sicurezza informatica (Cyber Italy)
b. Coordinare la partecipazione nazionale, nella componente pubblica e privata, alle esercitazioni pan-europee (Cyber Europe), con gli Stati Uniti (Cyber Atlantic) ed in ambito NATO (Cyber Coalition)
4.3 Progetti comunitari
a. Promuovere e diffondere, anche a beneficio del settore privato, l’informazione relativa alle iniziative ed alle modalità per la partecipazione ai fondi resi disponibili dall’Unione Europea
b. Ottimizzare l’accesso ai fondi comunitari
c. Partecipare a progetti finanziati dall’Unione Europea, tra cui quello denominato Advanced Cyber Defence Centre (ACDC)
Indirizzo operativo 5
OPERATIVITÀ DEL CERT NAZIONALE, DEL CERT-PA E DEI CERT DICASTERIALI
L’approntamento di capacità di prevenzione e reazione ad eventi cibernetici richiede lo sviluppo di Computer Emergency Response Team (CERT) quali soggetti erogatori di servizi di assistenza tecnica, ricerca e sviluppo, formazione e informazione per i rispettivi utenti, pubblici e/o privati, operando sulla base di un approccio sia proattivo che reattivo.
5.1 Sviluppo del CERT-PA e dei CERT dicasteriali
a. Integrare la struttura del CERT-SPC trasformandola nel CERT-PA, individuando le risorse umane necessarie ed attivando opportune procedure di reperimento del personale, nonché adeguando le infrastrutture tecniche, strumentali e logistiche, per garantire la sua piena operatività
b. Stabilire il sistema di cooperazione delle strutture di gestione della sicurezza ICT della PA, in particolare Unità Locali di Sicurezza (ULS) e Security Operations Center (SOC), promuovendone, ove possibile, la trasformazione in CERT dicasteriali
c. Favorire la creazione di CERT Regionali con il compito di supportare le Pubbliche Amministrazioni Locali (PAL) del territorio e di implementare regole e modelli organizzativi nazionali
d. Adottare le procedure definite dall’Agenzia per l’Italia Digitale (AgID)
e. Perseguire uniformi livelli di sicurezza dei Data Center e degli ambienti di lavoro delle Amministrazioni e dei gestori delle infrastrutture critiche nazionali
5.2 Avvio del CERT nazionale
a. Individuare le risorse umane e strumentali per l’operatività del CERT nazionale con attivazione di procedure di reperimento di personale nella Pubblica Amministrazione
b. Definire accordi con istituzioni e settore privato per implementare forme di cooperazione e di scambi di informazioni, tramite specifiche audizioni
c. Dare avvio ad una fase di sperimentazione ed ai servizi di base
d. Adeguare le infrastrutture tecniche e logistiche del CERT nazionale per garantire la piena operatività dello stesso
5.3 Sviluppo di una Computer Incident Response Capability (CIRC) nazionale integrata
a. Perseguire il coinvolgimento e la cooperazione tra i CERT Dicasteriali ed il CERTPA, al fine di mitigare gli effetti di possibili eventi cibernetici
b. Fornire supporto ai CERT dicasteriali nella rapida ed efficace risoluzione delle problematiche derivanti da incidenti informatici
c. Minimizzare l’impatto di incidenti informatici che hanno comportato la perdita o la sottrazione di informazioni (classificate e non) o la distruzione di sistemi e risorse di supporto informatico
d. Sviluppare un approccio proattivo integrato al fine di limitare e ridurre i rischi per la sicurezza informatica che preveda l’adozione di un database integrato per la raccolta delle segnalazioni di incidente e delle contromisure intraprese; sistema integrato per la rilevazione degli allarmi, online incident/intrusion detection, strong authentication, ecc.
e. Sviluppare un approccio reattivo integrato (concetto di resilienza), seguendo procedure testate, proiettate a garantire la disponibilità dei servizi erogati (business continuity e disaster recovery)
f. Sviluppare capacità di incident response
g. Sostenere le evoluzioni tecnico-funzionali e procedurali a similitudine e in armonia con il NATO Computer Incident Response Capability – Technical Centre (CIRC-TC)
Indirizzo operativo 6
INTERVENTI LEGISLATIVI E COMPLIANCE CON OBBLIGHI INTERNAZIONALI
La rapida evoluzione tecnologico-informatica comporta un’altrettanto veloce obsolescenza delle norme che disciplinano materie correlate alle tecnologie dell’informazione e della comunicazione. Pertanto, esse necessitano di periodiche revisioni e aggiornamenti, oltre che di integrazioni, anche per creare un substrato giuridico alle attività condotte ai fini della protezione cibernetica e della sicurezza informatica e per responsabilizzare gli amministratori e gli utenti delle operazioni da questi compiute sui sistemi loro assegnati.
6.1 Revisione e consolidamento della legislazione in materia di sicurezza informatica
a. Mettere a sistema conoscenze giuridiche specialistiche in materia di cybersecurity, presenti nelle strutture delle diverse Amministrazioni sia di staff che di line
b. Valutare l’allineamento tra l’attuale assetto giuridico interno e le dinamiche di sviluppo legate all’innovazione tecnologica, esaminando l’eventualità di interventi normativi e tenendo conto delle best practices internazionali
c. Finalizzare il quadro normativo relativo alle infrastrutture critiche nazionali informatizzate, pubbliche e private, volto alla definizione dei criteri per la loro individuazione
d. Riformulare la normativa in materia di informatica giudiziaria
6.2 Definizione di un quadro giuridico adeguato per supportare attività di sicurezza in materia cyber e, in particolare, operazioni cibernetiche
a. Individuare, alla luce del contesto normativo internazionale di riferimento, la disciplina giuridica nazionale atta a regolamentare – in una logica di anticipazione dei presìdi – le attività di sicurezza in materia cyber, incluse le operazioni cibernetiche
6.3 Attribuzione di responsabilità e sanzione delle violazioni
a. Elaborare un quadro legale ed una metodologia di riferimento al fine di identificare gli strumenti tecnici, inclusi quelli relativi all’indirizzamento, necessari all’attribuzione di responsabilità in caso di violazioni di sicurezza (e delle relative sanzioni) da parte di amministratori ed utenti delle reti di interesse
6.4 Proposte di attuazione della Direttiva del Parlamento Europeo e del Consiglio recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell’informazione
a. Promuovere il confronto con Istituzioni e settore privato al fine di elaborare proposte per il recepimento della Direttiva in materia di cyber security, con particolare riguardo all’individuazione di misure tecnico-organizzative volte all’incremento della sicurezza nei settori individuati dalla medesima Direttiva
Indirizzo operativo 7
COMPLIANCE A STANDARD E PROTOCOLLI DI SICUREZZA
La compliance a standard e protocolli di sicurezza, elaborati sia a livello nazionale che internazionale, consente di garantire un comune ed elevato livello qualitativo nell’assicurare la protezione cibernetica e la sicurezza informatica dei sistemi e delle reti.
7.1 Standardizzazione
a. Aggiornare il quadro nazionale di riferimento agli standard e ai protocolli di sicurezza secondo le normative ratificate NATO e UE
b. Adottare standard di riferimento per l’autenticazione ed autorizzazione degli accessi alle reti di interesse
c. Elaborare indirizzi vincolanti ai fini dell’adozione dell’indirizzamento IPv6
7.2 Documenti di riferimento
a. Elaborare e pubblicare documenti di riferimento quali manuali, elenchi di procedure standard e raccomandazioni (best practices di settore), tassonomia e lessico uniforme da utilizzare per lo scambio di informazioni
7.3 Revisione documenti di gestione
a. Sottoporre a revisione ed aggiornamento periodico la documentazione (norme, procedure, ecc.) relativa alla gestione delle infrastrutture critiche
7.4 Certificazioni e valutazioni di sicurezza
a. Gestire lo Schema Nazionale di Certificazione della Sicurezza Informatica per Prodotti e Sistemi ICT commerciali (che trattano dati non classificati) attraverso l’Organismo di Certificazione della Sicurezza Informatica (OCSI), che opera in accordo con lo standard internazionale Common Criteria (ISO/ IEC 15408)
b. Mantenere aggiornato uno schema nazionale per la certificazione dei processi utilizzati dai sistemi informativi, in accordo con lo standard UNI ISO/ IEC 27001:2006
c. Garantire l’operatività del CE.VA – Centro Valutazione – quale laboratorio di sicurezza informatica che opera nella valutazione tecnica di prodotti e sistemi ICT che trattano dati classificati
d. Partecipare ai lavori degli organi di indirizzo degli accordi di mutuo riconoscimento internazionale nel settore delle certificazioni, segnatamente: il Common Criteria Recognition Arrangement (CCRA), che opera a livello mondiale, e il Senior Official Group for Information Systems Security – Mutual Recognition Arrangement (SOGIS – MRA), che opera a livello europeo
7.5 Verifica delle misure di cyber defence applicate alle infrastrutture critiche
a. Effettuare test periodici dei sistemi di protezione attraverso verifiche tecniche e procedurali
b. Definire un sistema di verifica indipendente (es. audit esterno)
7.6 Compliance
a. Costituire un sistema per l’accreditamento e l’auditing degli Enti responsabili dell’emissione di certificati digitali
di autenticazione
Indirizzo operativo 8
SUPPORTO ALLO SVILUPPO INDUSTRIALE E TECNOLOGICO
La garanzia dell’affidabilità e della sicurezza di componenti hardware e software prodotte nell’Unione Europea e nei Paesi terzi, specie di quelle impiegate da infrastrutture critiche e da soggetti che svolgono attività di rilevanza strategica per il Paese, rappresenta un obiettivo conseguibile solo se tutti gli attori della catena del valore (produttori di componenti hardware, sviluppatori di software, fornitori di servizi della società dell’informazione) faranno della sicurezza una priorità.
8.1 Logistica
a. Garantire una catena di approvvigionamento di componenti sicure e resilienti dal punto di vista della sicurezza cibernetica, supportata da un processo flessibile e veloce di validazione, verifica e certificazione
b. Promuovere l’innovazione ICT per lo sviluppo di un adeguato tessuto industriale competitivo nel panorama internazionale, favorendo la costituzione di supply-chain verticali a livello nazionale e comunitario
c. Potenziare programmi di cooperazione multilaterali e bilaterali per favorire le funzioni di ricerca e sviluppo nazionali nel contesto europeo ed internazionale
8.2 Implementazione di un laboratorio governativo di analisi comparativa
a. Favorire la costituzione di un laboratorio governativo di verifica che sottoponga ad analisi comparativa i sistemi ICT di interesse delle Amministrazioni e delle Infrastrutture Critiche di interesse nazionale
Indirizzo operativo 9
COMUNICAZIONE STRATEGICA
La comunicazione circa un evento cibernetico occorso e le relative conseguenze assume un’importanza strategica, in quanto le singole Amministrazioni interessate devono essere in grado di fornire un’informazione completa, corretta, veritiera e trasparente, senza con ciò creare inutili allarmismi che verrebbero ad amplificare l’impatto economico e sociale dell’evento stesso.
9.1 Comunicazione strategica
a. Sviluppare una Situation Awareness dei contenuti e delle informazioni, allo scopo di rendere efficaci i flussi comunicativi
b. Stabilire un protocollo di comunicazione pubblica volto a dare un corretto e trasparente inquadramento degli eventi cibernetici (di natura sia volontaria od accidentale), anche in funzione delle relative azioni di risposta e ripristino
Indirizzo operativo 10
RISORSE
Punto di partenza per un’oculata pianificazione finanziaria e per la ripartizione delle risorse è l’analisi dei costi di eventi cibernetici occorsi o potenziali, in quanto la rilevanza del rischio è direttamente proporzionale alla probabilità ed all’entità del danno. Parimenti, l’opportunità e la priorità d’intervento su una specifica vulnerabilità potrebbero essere meglio supportate a livello decisionale qualora corredate degli opportuni elementi di valutazione economica. Quest’ultima potrebbe meglio bilanciare l’analisi dei costi correlata alle esigenze di investimento nel settore pubblico quanto in quello privato.
10.1 Pianificazione finanziaria e aspetti economici
a. Definire le priorità e i costi associati alle misure di cyber-security e di cyber-defence per la protezione delle infrastrutture critiche e per lo sviluppo delle capacità operative fondamentali, sia per le componenti materiali e strumentali che per quelle relative al personale
10.2 Misurazione dei costi riconducibili ad eventi di natura cibernetica
a. Determinare metriche per la valutazione dell’entità del danno economico diretto ed indiretto di eventi cibernetici accaduti o potenziali (attività di detect, remediation, danno di immagine, perdita di clienti/credibilità/affidabilità/ competitività, costi dei disservizi, eventuali perdite umane, ecc.)
b. Analizzare le interdipendenze tra infrastrutture critiche/strategiche anche ai fini della valutazione puntuale del danno economico complessivo derivante da un eventuale “effetto domino”
c. Effettuare una mappatura economica degli incidenti ed un’analisi di scenari potenziali
10.3 Efficientamento della spesa
a. Definire strumenti normativi e finanziari per l’ottimizzazione e l’eventuale condivisione delle spese, collegati a misure di cyber defence tra Dicasteri, tra comparto pubblico e privato, ed eventualmente tra Paesi per programmi di cooperazione internazionale
10.4 Personale
a. Agevolare la condivisione interministeriale al fine di favorire approcci integrati per il reclutamento di personale specializzato, tenendo anche conto delle best practices internazionali
Indirizzo operativo 11
IMPLEMENTAZIONE DI UN SISTEMA DI INFORMATION RISK MANAGEMENT NAZIONALE
La protezione dei dati da minacce che ne pregiudicano l’autenticità, l’integrità, la riservatezza e la disponibilità è parte integrante del presente Piano Nazionale in quanto le informazioni costituiscono un valore intrinseco all’organizzazione, pubblica o privata, e imprescindibile obiettivo di ogni attacco cibernetico.
11.1 Metodologia
a. Individuare una metodologia di Information Risk Management univoca e condivisa a livello strategico, adottando un modello per le infrastrutture critiche nazionali informatizzate, in accordo con la UNI EN ISO 27005:2011
b. Coinvolgere centri di ricerca e università per consentire l’adozione di aggiornati strumenti di gestione del rischio