Il 5 agosto è stato aggiornato in sede di conversione il DL 14 giugno 2021, anticipato nel Consiglio dei Ministri del 10 giugno, che detta «Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale» .
L’Agenzia opererà sotto la responsabilità del Presidente del Consiglio dei ministri e dell’Autorità delegata per la sicurezza della Repubblica e in stretto rapporto con il Sistema di informazione per la sicurezza della Repubblica(art.2).
Il Presidente
- adotta la strategia nazionale di cybersicurezza (art.2), sentito il Comitato interministeriale per la cybersicurezza (CIC);
- nomina e revoca il direttore generale e il vice direttore generale dell’Agenzia per la cybersicurezza;
- impartisce le direttive per la cybersicurezza ed emana ogni disposizione necessaria per l’organizzazione e il funzionamento dell’Agenzia.
L’Agenzia, diretta dal Prof. Roberto Baldoni e sotto il controllo diretto di COPASIR (Comitato Parlamentare per la Sicurezza della Repubblica), include anche il Nucleo per la sicurezza cibernetica (NSC), gestito dal Dipartimento delle informazioni per la sicurezza che in questo modo potrà coordinare AISE (Agenzia informazioni e sicurezza esterna) e AISI (Agenzia informazioni e sicurezza interna).
I compiti dell’Agenzia, stabiliti all’ art.7 del DL n.82/2021, saranno:
- esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche;
- sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale;
- contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
- supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
- assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica
L’attività dell’Agenzia sarà naturalmente sottoposta a controlli: entro il 30 aprile di ogni anno, il Presidente del Consiglio dei ministri deve trasmettere al Parlamento una relazione sull’attività svolta dall’Agenzia nell’anno precedente, in materia di cybersicurezza nazionale (art.14). Inoltre, entro il 30 giugno di ogni anno, il Presidente del Consiglio dei ministri trasmette al COPASIR una relazione sulle attività svolte nell’anno precedente dall’Agenzia in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, nonché in relazione agli ambiti di attività dell’Agenzia sottoposti al controllo del Comitato.
L’Agenzia ha un proprio sito internet ufficiale (https://www.acn.gov.it) su cui negli ultimi giorni dello scorso anno sono stati pubblicati in Gazzetta Ufficiale e sono entrati in vigore i primi tre regolamenti attuativi su organizzazionee funzionamento, personale e contabilità.
Il quarto regolamento, che non è vincolante per l’avvio dell’Agenzia come i tre precedenti, dovrebbe essere pubblicato per il mese di febbraio e riguarderà la “definizione delle procedure per la stipula di contratti di appalti di lavori e forniture di beni e servizi per le attività dell’Agenzia finalizzate alla tutela della sicurezza nazionale nello spazio cibernetico e per quelle svolte in raccordo con il sistema di informazione per la sicurezza della Repubblica”.