Lo scorso 18 maggio l’Italia ha pubblicato la Strategia Nazionale per la Cybersicurezza per il quinquennio 2022-2026. La strategia, accompagnata da un Piano di Implementazione composto da 82 punti, è un documento di indirizzo di alto livello, costituito da un insieme di principi e obiettivi – sia strategici che tattici – che dovrebbe accompagnare il Governo e tutti gli stakeholders pubblici e privati verso una maggiore difesa del Paese nel dominio cibernetico.
Tale strategia, rispetto al Piano nazionale per la protezione cibernetica e per la sicurezza informatica del 2017, rappresenta sicuramente un grande passo in avanti per il nostro Paese, consentendo all’Italia di allinearsi agli altri Paesi europei, nonché ai piani strategici e normativi dell’Unione europea. L’Italia, infatti, ha sempre avuto difficoltà rispetto agli altri Paesi europei a tenere il ritmo dell’evoluzione digitale e della relativa sicurezza delle infrastrutture. Nella quarta edizione del Global Cyber Security Index dell’ITU (International Telecommunication Union), l’Italia si è classificata al ventesimo posto a livello globale e al tredicesimo a livello europeo, e seppur riportando risultati migliori rispetto alle versioni precedenti, il nostro Paese restava comunque indietro nelle classiche globali.
Il Governo, con la nuova strategia cerca di colmare questo gap, conscio che le nuove forme di competizione strategica e il continuo evolversi dello scenario geopolitico rendevano assolutamente necessaria una puntuale rivisitazione della concezione e visione strategica dell’architettura nazionale di cybersicurezza, oltre a un coinvolgimento dell’intero ecosistema della cybersecurity nazionale. Pertanto, in linea con quanto suggerito dalla Linea Guida dell’ITU per lo sviluppo delle Strategie Cyber Nazionali (giunta alla seconda edizione), nella stesura del documento sono state coinvolte non solo le istituzioni, ma anche gli operatori economici - in particolare i gestori delle infrastrutture da cui dipende l’erogazione dei servizi essenziali dello Stato – il mondo dell’università e della ricerca e la società civile.
A fronte dello “tsunami” regolatorio europeo
La strategia si inserisce all’interno di un contesto normativo europeo in pieno fermento nell’ambito del dominio cibernetico. L’Unione Europea, infatti, sta emanando e proponendo una serie di normative in ambito cyber, digital e data protection, con l’obiettivo di far fronte compatto verso la crescente digitalizzazione, il relativo aumento delle minacce cyber, nonché a un contesto geopolitico in continua evoluzione.
Basti pensare a interventi come il Digital Operational Resilience Act (normativa che mira a creare un quadro normativo sulla resilienza operativa digitale nel settore finanziario), Cyber Resilience Act (normativa che mira a proteggere i consumatori dai prodotti non sicuri introducendo norme comuni in materia di cybersicurezza per i fabbricanti e i venditori di prodotti digitali), Artificial Intelligence Act (proposta di legge che definisce varie aree di intervento per i sistemi di intelligenza artificiale), Digital Services Act (normativa che propone regole per garantire una maggiore responsabilità su come le piattaforme moderano i contenuti, pubblicizzano e utilizzano algoritmi sui dati), Direttiva NIS 2 (normativa che sostituirà l’attuale direttiva NIS con lo scopo di rafforzare le misure di sicurezza per imprese e amministrazioni contro le minacce cyber). E questi sono solo alcuni degli interventi normativi pubblicati o in cantiere presso le istituzioni europee, e rappresentano un vero e proprio “tsunami” regolatorio che impatterà in maniera significativa le istituzioni degli Stati Membri e gli operatori economici in tutti i settori.
Alla luce di questo contesto normativo altamente impattante, si spiegherebbe perché la strategia si concentri soprattutto sulla Pubblica Amministrazione e meno sugli operatori privati, nonostante l’attenzione verso questi sia fondamentale per la protezione del tessuto economico italiano, costituito prevalentemente da piccole e medie imprese. Infatti, lo “tsunami” regolatorio, trattandosi prevalentemente di regolamenti immediatamente applicabili agli Stati Membri – a eccezione della Direttiva NIS (opportunità persa per regolamentare l’ambito cyber in maniera diretta) – andrà a regolamentare prontamente i singoli settori e gli operatori privati, al contrario di un documento di indirizzo, quale la strategia nazionale, che necessita comunque di un set di norme implementative ancora da pubblicare.
Il raggiungimento di un’autonomia strategica nazionale nel contesto della cyber diplomacy
La strategia sostanzialmente si pone una serie di obiettivi strategici di seguito sintetizzati:
1. assicurare la resilienza della Pubblica Amministrazione e del tessuto industriale;
2. la cybersecurity deve guidare la digitalizzazione del Paese anche nell’ottica di conseguire l’autonomia strategica nazionale;
3. anticipare l’evoluzione delle minacce cyber e contrastare la disinformazione
4. adozione di un approccio che sia il più possibile security-oriented
Ognuno dei punti sopracitati merita un approfondimento dedicato, per analizzarne i razionali e i relativi impatti (oggetto di una serie di articoli che verranno pubblicati prossimamente), tuttavia tra essi colpisce immediatamente il riferimento al conseguimento di un’autonomia strategica nazionale.
La maggior parte dei servizi critici è erogata con tecnologie straniere e da operatori globali. I player nel settore sono essenzialmente le grandi potenze mondiali, USA e Cina, che detengono il monopolio del mercato. L’affermazione di voler raggiungere un’autonomia strategica nazionale implica la volontà dello Stato italiano di svincolarsi dall’influenza dei grandi players in ambito tecnologico e rendersi autonomo nel dominio cibernetico, attuando politiche di sovranità delle informazioni che consentano un controllo sui dati elaborati, trasmessi e conservati sul territorio nazionale.
Tuttavia, in un documento programmatico di breve-medio termine quale l’attuale strategia, la domanda che sorge spontanea è se tale autonomia sia effettivamente realizzabile, quantomeno nei tempi stabiliti. Infatti, l’Italia è al momento tecnologicamente dipendente da operatori esteri, soprattutto se si tiene in considerazione il mercato delle tecnologie emergenti (AI, quantum computing, 5G ecc.). In tale contesto, l’UE, a causa delle frammentazioni e competizioni in seno al mercato interno, non riesce comunque a fornire il supporto necessario. Pertanto, nel breve-medio termine il Governo, verosimilmente tramite l’esercizio del Golden Power, dovrebbe impedire alle imprese italiane di acquistare prodotti e servizi critici per mantenere la competitività internazionale in nome di una maggiore sicurezza nazionale. Tale intenzione del Governo sembra tra l’altro confermata dal recente aggiornamento proprio della normativa sul Golden Power (DL 21/2012), tramite il DL 21/2022 (Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina), che ha esteso la lista di attività considerate di rilevanza strategica e a cui si applica l’obbligo di notifica verso la Presidenza del Consiglio dei Ministri, includendo ulteriori servizi, beni, rapporti, attività e tecnologie rilevanti ai fini della sicurezza cibernetica.
Tale spinta verso una politica di sovranità delle informazioni sembra essere tuttavia controbilanciata da un riferimento esplicito alla cyber diplomacy e alla necessità di una formazione in ambito cyber dei diplomatici italiani. La cyber diplomacy implica una forte volontà del governo italiano di portare la tematica cyber al centro dell’agenda diplomatica rendendolo un argomento centrale di discussione sui tavoli internazionali. Tale riferimento afferma il riconoscimento che in un dominio come quello cibernetico, connesso per definizione e dove non esiste il concetto di confine statale, è necessario un dialogo e un coordinamento internazionale al fine di prevenire i conflitti, ridurre le minacce e rafforzare le relazioni internazionali. Tale consapevolezza, cristallizzata nella strategia, è per di più in linea con le Conclusioni del Consiglio dell’Unione europea sullo sviluppo della sua posizione in materia di deterrenza informatica del 23 maggio 2022 che hanno sottolineato, per l’appunto, l’importanza della cyber diplomacy per la cyber posture europea.
Conclusioni
La strategia nazionale rappresenta sicuramente un importante (e necessario) passo in avanti per l’Italia in uno scenario geopolitico estremamente mutevole e in un contesto europeo in continuo fermento. Il documento è completamente calato nell’ambito normativo europeo, incarnando i principali obiettivi strategici già prefissati dall’Europa e implementati nelle numerose norme pubblicate o messe in cantiere negli ultimi mesi. Tuttavia, l’obiettivo principe e ulteriore che la strategia dovrà realizzare è la consapevolezza che non è possibile uno sviluppo digitale senza la cybersicurezza.
Il concetto della “security by design”, non interamente fatto proprio dalla strategia, dovrà essere chiaramente inserito nel framework regolatorio implementativo. Il rischio è che, nella modalità in cui è stata scritta la strategia italiana, possa venir meno l’idea che sviluppo digitale e cyber non debbano andare di pari passo. L’uno non può prescindere dall’altro. Queste identità tra i due domini è fondamentale anche al fine dell’utilizzo dei fondi del PNRR per la digitalizzazione del Paese, che a quel punto potrebbero essere utilizzati anche per incrementarne la sicurezza.
Contenuti correlati:
