Piano strategico dell’Agenzia di Cybersicurezza Nazionale 2024-2026

L’Agenzia per la cybersicurezza nazionale ha adottato il 31 dicembre il suo primo piano strategico al fine di pianificare, coordinare e attuare le misure tese a rendere per le pubbliche amministrazioni, imprese e professionisti più sicuri e resilienti.

L'Agenzia per la Cibersicurezza Nazionale ACN coordina la complessa azione dei soggetti pubblici chiamati a rafforzare la cybersicurezza nazionale, assicurando migliori capacità di protezione, risposta e sviluppo a tutela della sicurezza nazionale e degli interessi nazionali nello spazio cibernetico, riducendo il grado di vulnerabilità, e al contempo incrementando l'autonomia e l'indipendenza tecnologica. Le competenze dell'agenzia sono state ampliate negli ultimi mesi con recenti interventi normativi e ricomprendono la resilienza della pubblica amministrazione e la crittografia prevista dalla legge 28 giugno 2024, numero 90 , l'applicazione e l'attuazione  della normativa nazionale ed europea in  materia di intelligenza artificiale, con riguardo alla vigilanza dei sistemi AI, incluse le attività ispettive e sanzionatorie come previsto dal disegno di legge nazionale in materia di intelligenza artificiale e l'innalzamento del livello comune di cybersicurezza nell'Unione, e in particolare, la gestione degli incidenti e delle crisi di cybersicurezza a livello europeo Direttiva UE 2022/2555  c.d.“NIS 2” . La funzione e i compiti di ACN sono importanti alla luce del notevole incremento degli attacchi cyber e del ricorso sempre più frequente a campagne disinformative condotte nel dominio cyber al fine di influenzare il dibattito pubblico, le campagne elettorali e il regolare svolgimento dei processi democratici. Il rischio tecnologico, come dimostrano i recenti episodi di attacchi informatici riportati dalle cronache, è persistente in quanto è alimentato dall'endemica presenza di vulnerabilità di sicurezza gravanti su prodotti e soluzioni tecnologiche e dalla frammentazione del rischio cybernetico lungo le catene di approvvigionamento supply chain . Il documento in esame richiama l'attenzione sull'entrata in vigore dal febbraio 2025 del primo sistema di certificazione europeo EUCC, importante framework europeo nel più ampio contesto della sicurezza delle catene di approvvigionamento. Il nuovo schema sostituisce i preesistenti schemi a livello nazionale e ACN avrà in questa fase di adattamento, un ruolo di traino in qualità di Autorità nazionale per la Certificazione della Cybersicurezza NCCA nonché organismo di certificazione nazionale, in sinergia con la rete di laboratori esterni che potranno condurre le attività tecniche di valutazione, sotto la supervisione di ACN. Alla luce dei nuovi compiti delicati di ACN e dell'incremento degli attacchi informatici alle nostre imprese risulta fondamentale per l'Autorità avere una visione a lungo termine e definire, in ottica di trasparenza e accountability, una strategia ampia che definisca i cinque obiettivi strategici, articolati in trentotto piani di azioni. Il Piano strategico ACN, costituisce, pertanto, il documento triennale di programmazione anche operativa , di governance e coordinamento che richiama l'intera agenzia a un responsabile impegno nei riguardi della comunità nazionale. Nel documento in esame confluiscono, pertanto, in linea con la strategia Nazionale di cybersicurezza 2022- 2026 e il relativo Piano di implementazione la vision, gli obiettivi strategici da perseguire e i discendenti piani di azione. Il piano definisce cinque obiettivi strategici principali. Per ogni obiettivo strategico, sono delineati i relativi piani d'azione, con l'indicazione dei responsabili, dei tempi, delle risorse e degli indicatori per la valutazione periodica dei risultati raggiunti delle risorse impiegate e dei progressi compiuti. Il primo obiettivo è la protezione degli asset nazionali che deve essere realizzata attraverso un approccio orientato alla gestione e mitigazione del rischio, il potenziamento delle capacità del Centro di Valutazione e Certificazione Nazionale CVCN , la conoscenza approfondita del quadro della minaccia cibernetica e il possesso di competenze specialistiche e capacità operative nonché il monitoraggio degli obblighi normativi. La protezione degli asset si raggiunge attraverso anche la promozione dell'uso della crittografia come strumento di cybersicurezza e il supporto allo sviluppo e mantenimento di un quadro giuridico aggiornato in materia di cybersicurezza e il supporto al processo di digitalizzazione sicuro della Pubblica Amministrazione. Il secondo obiettivo previsto è la risposta alle minacce cyber nazionali e transnazionali. L'ACN si impegna a rispondere alle minacce cibernetiche attraverso lo sviluppo di un sistema di gestione degli incidenti e delle crisi informatiche su larga scala che sia fondato su procedure di collaborazione consolidate, sia a livello nazionale che europeo e internazionale l'erogazione di servizi operativi di raccolta, correlazione e analisi di eventi cyber anche connessi agli attuali servizi cyber nazionali HyperSOC e ISAC l'organizzazione di periodiche esercitazioni di sicurezza cibernetica e resilienza e il monitoraggio dello stato di adozione degli obblighi in capo ai soggetti nazionali e la loro coerenza in relazione al rischio a cui sono esposti i rispettivi sistemi di rete e informativi.   Il terzo obiettivo strategico ha come oggetto lo sviluppo sicuro delle tecnologie digitali e si raggiunge attraverso seguenti piani di azione il rafforzamento del ruolo del Centro Nazionale di Coordinamento NCC per l'autonomia strategico-tecnologica e digitale del Paese e dell'Unione Europea la realizzazione di un Piano per l'industria cyber nazionale e di un parco nazionale della cybersicurezza per la ricerca e sviluppo, la promozione dell'internazionalizzazione delle imprese italiane che offrono prodotti e servizi di cybersecurity, la realizzazione della digitalizzazione sicura della Pubblica Amministrazione e del tessuto produttivo, anche attraverso le risorse messe a disposizioni dal PNRR, l'accrescimento delle capacità cyber del paese promuovendo sia l'educazione digitale che lo sviluppo di competenze.   Il quarto obiettivo è il rafforzamento della cooperazione internazionale in materia di cybersicurezza attraverso molteplici piani di azione tra cui il dialogo e la cooperazione con il settore pubblico e privato nella più ampia cornice delineata dalla Strategia Nazionale di Cybersicurezza 2022-2026. Il quinto obiettivo è essere un centro di eccellenza con un'organizzazione a geometrie variabili. Per raggiungere questo obiettivo, l'Agenzia prevede il reclutamento di eccellenze nel campo della cybersecurity lo sviluppo del capitale umano attraverso la formazione continua del personale, l'adozione di assetti organizzativi flessibili per rispondere tempestivamente alle sollecitazioni esterne.   Il piano include anche considerazioni sull'organizzazione interna dell'ACN, il suo quadro finanziario e la sua collaborazione con altri enti pubblici e privati. Il Piano Strategico ACN 2024-2026 costituisce un documento di fondamentale importanza per la definizione degli obiettivi e delle strategie dell'Agenzia nel prossimo triennio. Il Piano si caratterizza per una visione ambiziosa e lungimirante, che mira a rendere l'Italia un paese più sicuro e resiliente di fronte alle crescenti minacce cibernetiche. Come rappresentato dal direttore dell'agenzia, il documento nasce dalla necessità di «uscire dall'angusta ed effimera logica del “day-by-day”» e di proiettarsi verso il futuro, in un settore in costante evoluzione come quello della cybersicurezza. Risulta apprezzabile il percorso di trasparenza e di accountability dell'Agenzia verso gli stakeholders PA e imprese compiuto attraverso l'adozione e la pubblicazione del documento in esame nell'ottica di illustrare gli obiettivi istituzionali in ambito di resilienza del paese e come potranno essere raggiunti.