Il Presidente del Consiglio dei Ministri svolge, ai sensi del decreto-legge 14 giugno 2021, n. 82, il ruolo di alta direzione e di responsabilità generale delle politiche di cybersicurezza e ha il potere di impartire specifiche direttive in materia.
A seguito dell' aumento degli attacchi informatici nel nostro paese negli ultimi mesi, si è reso necessario un intervento della presidenza del Consiglio con l' adozione di una specifica direttiva che ha il fine di rafforzare il quadro di cooperazione tra le pubbliche amministrazioni e l'Agenzia per la Cybersicurezza nazionale ACN . L' ACN ha il prezioso compito di sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici e costituisce, con la propria componente operativa team Csirt Computer Security Incident Response Italia il punto di riferimento a livello italiano in materia di cybersicurezza sia per le pubbliche amministrazioni sia per le imprese. Gli attacchi informatici hanno come oggetto molteplici settori del comparto pubblico Ministeri, Aziende sanitarie, università e comuni. La direttiva in oggetto prevede l'obbligo di tutte le amministrazioni pubbliche impattate da eventi e incidenti cibernetici di collaborare con l'Agenzia per la Cybersicurezza nazionale al fine di ridurre i rischi di possibili propagazioni di conseguenze lesive, ovvero del ripetersi di analoghi attacchi, in danno di ulteriori soggetti pubblici e privati. E si applica a tutte le amministrazioni pubbliche di cui all' art. 1, secondo comma del decreto legislativo 30 marzo 2001, n. 165 restano esclusi dall'ambito di applicazione gli organi dello Stato preposti alla prevenzione, accertamento e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza dello Stato, nonché gli organismi di informazione per la sicurezza previsti dalla legge 3 agosto 2007, n. 124 . Le organizzazioni pubbliche , secondo il provvedimento in questione, devono garantire ad ACN e al relativo team di risposta Csirt il massimo supporto nello svolgimento delle attività istituzionali di analisi e di valutazione della minaccia anche nel caso in cui si avvalgano di società in house o comunque a controllo pubblico. Inoltre, è previsto che le amministrazioni pubbliche debbano garantire l'accesso ai locali, ai sistemi informativi e alle reti informatiche di pertinenza delle amministrazioni impattate, compatibilmente con i limiti e i vincoli derivanti dalle prerogative dell'autorità giudiziaria. Qual è il possibile impatto di questa previsione? Le amministrazioni dovranno aggiornare le proprie specifiche procedure aventi ad oggetto la gestione degli incidenti e degli attacchi informatici al fine di potere garantire ad ACN un concreto supporto nelle proprie attività istituzionali. Tali procedure dovranno prevedere il coinvolgimento dei relativi uffici ICT, delle Direzioni Generali, dell'ufficio personale, delle aree legali e dei referenti della logistica per il profilo dell'accesso ai locali e del responsabile per la protezione dei dati personali DPO . Nelle sopracitate attività di supporto agli operatori dello Csirt, che hanno la qualifica di pubblico ufficiale, risulterà fondamentale nell'ottica di prevenzione del contenzioso e di dimostrare il corretto svolgimento delle attività, la formazione del personale e degli addetti ICT amministratori di sistema e il rispetto delle principali best practice in materia di digital forensics al fine di evitare il rischio di alterare le evidenze e le prove digitali. Infine, la direttiva in esame costituisce un tassello importante nel percorso di sensibilizzazione delle amministrazioni pubbliche in materia di cybersicurezza perché individua gli indirizzi di coordinamento e organizzazione finalizzati a promuovere la gestione adeguata e coordinata delle minacce informatiche, degli incidenti e delle situazioni di crisi di natura cibernetica nel complesso percorso di transizione digitale nel nostro paese.
Direttiva del Presidente del Consiglio dei Ministri del 6 luglio 2023