19/03/2024

Europa ed Italia sui trend della CyberSecurity

Gli interventi istituzionali nel nostro continente

È importante indagare sulle tendenze della Cybersecurity recentemente implementate dai governi europei e dall’Europa nel suo complesso per salvaguardare dati, reti e informazioni.

Istituita nel 2004, l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha sede ad Atene ed è responsabile della sicurezza delle informazioni e delle reti. Tra le sue funzioni principali c’è quella di fornire supporto alla Commissione europea, agli Stati membri, alle istituzioni europee e alle imprese in materia di “sicurezza informatica europea”.

Da quando è stata istituita l’ENISA, sono state implementate numerose iniziative e normative in relazione alla sicurezza online per affrontare le attuali tendenze della cybersecurity nel settore.

Dall’Europa:

È in vigore la direttiva (UE) 2016/1148, comunemente nota come direttiva sulle reti e i sistemi informativi (NIS).

È in vigore il Regolamento (UE) 2016/679 dell’Unione Europea, comunemente noto come Regolamento generale sulla protezione dei dati (GDPR).

È stata istituita la Legge dell’Unione Europea sulla Cybersecurity (Regolamento (UE) 2019/881).

Dall’Italia:

È stato istituito il Quadro strategico nazionale per la sicurezza dello spazio cibernetico (2013).

Nel 2017 è stato istituito il Piano nazionale per la protezione cibernetica e la sicurezza informatica.

Il Decreto Legislativo n. 65 del 18 maggio 2018 è stato emanato per recepire la Direttiva NIS.

Il Quadro nazionale per la cybersicurezza e la protezione dei dati è stato inizialmente istituito nel 2015 e successivamente aggiornato nel 2019.

Il perimetro nazionale di cybersecurity è stato istituito con il decreto legge n. 105 del 21 settembre 2019 e successivamente è stato adottato ufficialmente il 18 novembre 2019 con la legge n. 133.

L’Agenzia nazionale per la sicurezza informatica (ANC) è stata istituita con il decreto legge n. 82 del 14 giugno 2021.

Vediamo ora da vicino le caratteristiche principali di questa intricata organizzazione.

Dall’Europa

Direttiva NIS

Il 6 luglio 2016 il Parlamento europeo ha approvato la Direttiva (UE) 2016/1148, comunemente nota come Direttiva sulle reti e i sistemi informativi (NIS). Questa direttiva stabilisce un quadro di regole per la sicurezza informatica, con l’obiettivo di raggiungere un elevato livello comune di sicurezza delle reti e dei sistemi informativi in tutta l’Unione europea. Si tratta del primo sistema integrato e olistico di norme sulla sicurezza informatica attuato a livello europeo.

L’articolo 4, paragrafo 4, della direttiva NIS delinea il concetto di “operatore di servizi essenziali”, con un’ulteriore definizione fornita dall’articolo 5. Un’entità che offre un servizio vitale che è di importanza fondamentale per la sicurezza delle reti e dei sistemi informativi dell’Unione europea.

Un’entità offre un servizio vitale che è necessario per sostenere attività sociali e/o economiche essenziali.

La disponibilità di tale servizio dipende dai sistemi di rete e di informazione.

Un evento che colpisca un fornitore di servizi essenziali avrebbe gravi ripercussioni negative sulla disponibilità di tale servizio.

È essenziale considerare le implicazioni di un attacco informatico alle infrastrutture critiche, che potrebbe avere conseguenze disastrose per un’intera nazione. L’allegato II della direttiva NIS delinea le entità che forniscono servizi essenziali e identifica le infrastrutture critiche.

Gli operatori dei sistemi di fornitura, distribuzione e trasmissione di energia elettrica sono responsabili della gestione e della manutenzione dell’energia elettrica.

Gli operatori delle infrastrutture legate al petrolio, come oleodotti, impianti di produzione, raffinazione, lavorazione, stoccaggio e trasporto, sono essenziali per l’industria.

I fornitori di gas, i distributori e gli operatori dei sistemi di trasmissione e stoccaggio sono tutti componenti essenziali dell’industria del gas.

Il trasporto aereo, gestito da vettori aerei e operatori aeroportuali, è una componente essenziale del sistema di trasporto globale.

I gestori di infrastrutture di trasporto ferroviario e le società ferroviarie sono componenti integranti del settore dei trasporti.

I servizi di trasporto per via d’acqua sono forniti da compagnie di navigazione, organizzazioni di gestione portuale e fornitori di servizi di traffico marittimo.

Le autorità stradali responsabili della gestione e del controllo del traffico, nonché gli operatori di sistemi di trasporto intelligenti, sono responsabili della supervisione del trasporto stradale.

Il settore bancario e le infrastrutture del mercato finanziario sono componenti integranti dell’economia.

La fornitura e la circolazione di acqua potabile.

L’infrastruttura digitale è costituita da punti di scambio Internet (IXP), sistemi di nomi di dominio (DNS) e registri di nomi di dominio di primo livello (TLD).

Operatori di servizi essenziali (OSE) e fornitori di servizi digitali (FSD), come indicato dalla direttiva Network and Information Systems (NIS).

Le organizzazioni devono implementare misure di cybersecurity adeguate e proporzionate per gestire i rischi, prevenire e ridurre l’impatto degli incidenti alla sicurezza delle reti e dei sistemi informativi e garantire la continuità del servizio.

È nostra responsabilità informare tempestivamente il Computer Security Incident Response Team (CSIRT) italiano (ai sensi dell’articolo 9 della NIS – Computer Security Incident Response Teams) e l’autorità competente NIS di qualsiasi incidente che possa compromettere in modo significativo la continuità del servizio.

La Direttiva sulla sicurezza delle reti e delle informazioni (NIS), emanata dall’Unione Europea, richiede l’attuazione da parte degli Stati membri; l’Italia l’ha attuata con il Decreto Legislativo n. 65 del 18 maggio 2018.

Alla fine del 2018, il governo italiano ha pubblicato un elenco riservato di 465 aziende e organizzazioni italiane soggette alla NIS.

La Commissione europea sta attualmente procedendo alla revisione della direttiva NIS (NIS 2) nell’ambito del piano strategico dell’Unione europea, come indicato nella comunicazione “Dare forma al futuro digitale dell’Europa”. Il processo di approvazione e di recepimento della direttiva NIS 2 da parte degli Stati membri significa che, secondo le stime, la nuova direttiva non sarà pienamente applicabile prima di almeno quattro anni dal 2020.

GDPR, il regolamento UE sulla privacy

Di recente è stato implementato un nuovo regolamento nel campo della cybersecurity per affrontare le tendenze attuali in Europa: il Regolamento generale sulla protezione dei dati (GDPR). Viene anche chiamato Regolamento europeo sulla privacy, anche se va oltre la semplice protezione della privacy.

Il Regolamento generale sulla protezione dei dati è stato pubblicato ed è entrato in vigore nel 2016, con obbligo di conformità a partire dal 25 maggio 2018. Questo regolamento ha introdotto per la prima volta il concetto di “violazione dei dati”.

Il Codice della privacy (D.Lgs. 196/2003) non contemplava il concetto di violazione dei dati, poiché era stato creato agli albori del web e la criminalità informatica era praticamente inesistente. Il GDPR cerca di motivare le aziende a migliorare la sicurezza dei dati, utilizzando la privacy come forza trainante, per proteggere il loro bene più prezioso: i dati. Pertanto, la privacy è anche un mezzo per proteggere i dati.

Il GDPR segna un cambiamento di paradigma rispetto al Codice della privacy del 2003, passando da una logica di conformità (che prescriveva in anticipo le misure di sicurezza) a una logica di responsabilità (come indicato nell’articolo 24 del GDPR).

L’implementazione di misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato in relazione al rischio di sicurezza dell’azienda dovrebbe essere avviata nella fase di progettazione, come indicato nell’articolo 32 del regolamento sulla protezione dei dati. Questo viene comunemente definito “privacy by design“.

Non è necessario addentrarsi nelle specifiche del GDPR, ma è importante notare che questo regolamento, che riguarda la salvaguardia dei dati personali, è in linea con le tendenze della sicurezza informatica che l’Europa sta cercando di privilegiare. La protezione dei dati implica l’analisi ed il trattamento dei rischi e l’adozione di misure di protezione informatica dei dati aziendali.

Il regolamento UE 2019/881: Il CyberSecurity Act

Il 12 marzo 2019 il Parlamento europeo ha approvato l'”EU Cybersecurity Act”, un sistema di certificazione per la cybersecurity europea che opera in combinazione con la direttiva NIS.

Il regolamento (UE) 2019/881 è stato ufficialmente pubblicato nella Gazzetta ufficiale dell’Unione europea il 7 giugno 2019.

L’attuazione di questo regolamento è entrata in vigore venti giorni dopo la sua pubblicazione, il 27 giugno 2019. Tuttavia, alcune restrizioni saranno applicate a partire dal 28 giugno 2021.

A differenza della NIS, il Cybersecurity Act è un regolamento ed è quindi immediatamente applicabile in tutti gli Stati membri.

Il Cybersecurity Act introduce caratteristiche significative e innovative.

Rafforza in modo significativo l’autorità dell’Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione (ENISA), con un aumento sostanziale rispetto al livello precedente.

L’Unione Europea ha conferito all’ENISA una maggiore autorità per coordinarsi con gli Stati membri, oltre a risorse aggiuntive. L’ENISA sarà la fonte principale di informazioni sulla sicurezza informatica per i Paesi dell’UE.

Viene istituito il sistema europeo di certificazione della sicurezza delle infrastrutture critiche, come le reti energetiche, i sistemi idrici e bancari.

Questa iniziativa stabilisce uno standard a livello europeo per la certificazione della sicurezza informatica dei prodotti e dei servizi digitali delle tecnologie dell’informazione e della comunicazione (TIC).

Il Cybersecurity Act è composto da due componenti distinte.

Vengono delineate le finalità e le responsabilità iniziali dell’ENISA, che ora non si limiterà a fornire consulenza tecnica (come ha fatto finora), ma faciliterà anche le attività di assistenza alla gestione operativa degli incidenti informatici da parte degli Stati membri.

L’articolo 48, paragrafo 2, del Regolamento incarica l’ENISA di creare il primo programma europeo di certificazione della sicurezza informatica, il “sistema europeo di certificazione della sicurezza informatica dei candidati basato sui criteri comuni” (EUCC), che sarà applicato in tutti gli Stati membri dell’UE.

Si prevede che questo modello europeo per le certificazioni promuova la “security by design”, che implica la considerazione della cybersecurity fin dalle fasi iniziali dello sviluppo dei prodotti ICT, compresi i dispositivi di consumo connessi alla rete che formano l’ambiente “IoT”.

Questa iniziativa consentirà uno scambio efficiente di prodotti e servizi digitali all’interno dell’Unione Europea, con l’obiettivo di aumentare la fiducia dei consumatori in questi prodotti e di creare un mercato unificato della cybersecurity.

Dall’Italia

Cos’è il Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico e cos’è il Piano nazionale per la protezione cibernetica e la sicurezza informatica 

Nel dicembre 2013 è stato presentato e successivamente adottato nel gennaio 2014 il Quadro strategico nazionale (QSN) per la sicurezza del cyberspazio. Questo quadro si basa su sei direzioni strategiche.

1. Rafforzamento delle capacità difensive delle Infrastrutture Critiche nazionali essenziali e delle entità di importanza vitale per il sistema Paese.

2. L’avanzamento delle competenze tecnologiche, operative e analitiche degli attori istituzionali attraverso un approccio integrato.

3. È incoraggiata la promozione della collaborazione tra organizzazioni nazionali e imprese.

4. È essenziale facilitare la promozione e la diffusione della cultura della cybersecurity.

5. È essenziale rafforzare la collaborazione globale in materia di cybersicurezza.

6. Rafforzare le capacità di combattere le attività e i contenuti illeciti online.

In collaborazione con la National Science Foundation (NSF), è stato creato il Piano nazionale iniziale (NP), successivamente rivisto nel Piano nazionale per la protezione cibernetica e la sicurezza informatica nel marzo 2017.

Quest’ultimo delinea le direttive operative, gli obiettivi da raggiungere e le linee d’azione da attuare per mettere in atto il Quadro Strategico Nazionale per la Sicurezza del Cyberspazio (NSF), in conformità con le linee guida per la protezione cibernetica e la cybersecurity stabilite dal Presidente del Consiglio dei Ministri come livello più alto dell’architettura cibernetica nazionale.

Si considerano anche le norme delineate nel Decreto del Presidente del Consiglio dei Ministri del 17 febbraio 2017, di cui si dirà più avanti.

L’organizzazione è strutturata in undici divisioni operative distinte.

1. Migliorare le capacità dell’intelligence, delle forze dell’ordine e della difesa militare e civile.

2. Migliorare la struttura e i metodi di comunicazione e collaborazione tra enti pubblici e privati a livello nazionale.

3. Promuovere e diffondere la consapevolezza della cultura della sicurezza informatica attraverso l’istruzione e la formazione.

4. Cooperazione internazionale ed esercitazioni

5. La gestione di strutture nazionali per la prevenzione, la risposta e la bonifica degli incidenti deve essere condotta.

6. L’adesione ai mandati legislativi e agli accordi internazionali è essenziale.

7. È essenziale il rispetto degli standard e dei protocolli di sicurezza.

8. Forniamo supporto al progresso industriale e tecnologico.

9. Comunicazione strategica e operativa

10. Risorse

11. È necessario adottare un sistema di gestione del rischio informatico a livello nazionale.

La direttiva NIS e i decreti Italiani

Il Decreto Gentiloni (DPCM del 17 febbraio 2017) e il Decreto Legislativo n. 65 del 18 maggio 2018 hanno recepito la Direttiva NIS in Italia.

Inoltre, recepiscono il Piano nazionale per la protezione cibernetica e la sicurezza informatica e determinano i ruoli dei vari stakeholder responsabili di presidiare l’andamento della cybersecurity in Italia e in accordo con l’Europa.

Il Dipartimento delle informazioni per la sicurezza (DIS) è l’organismo centrale di cybersecurity con la responsabilità di coordinare la sicurezza delle reti e dei sistemi informativi a livello nazionale e di UE, NATO, ONU e OCSE (Organizzazione per la sicurezza e la cooperazione in Europa). Il nuovo decreto sottolinea il ruolo sempre più critico e centrale che il DIS svolge nel settore della cybersecurity, rendendolo un vero e proprio braccio operativo del Presidente del Consiglio, nonché l’anello di congiunzione tra il CISR, la pubblica amministrazione e il settore privato.

Il Comitato Interministeriale per la Sicurezza della Repubblica (CISR) è un organo istituzionale incaricato di fornire consulenza politico-strategica, proposte e delibere su questioni di sicurezza nazionale.

Il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) è un’unità specializzata all’interno del Servizio di Polizia Postale e delle Comunicazioni, dedicata alla prevenzione e alla repressione dei crimini informatici che colpiscono le infrastrutture nazionali essenziali.

Il National Computer Emergency Response Team (Cert-N) è una struttura creata dal Ministero dello Sviluppo Economico per coordinare le risposte agli incidenti informatici. 

Cert-PA (Computer Emergency Response Team della Pubblica Amministrazione): opera all’interno dell’Agenzia per l’Italia Digitale (AgID), alla quale il Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico ha affidato il compito di curare la sicurezza cibernetica delle pubbliche amministrazioni Italiane.


Il CSIRT italiano, istituito presso la Presidenza del Consiglio dei Ministri – Dipartimento delle Informazioni per la Sicurezza (DIS), ha assunto i compiti del CERT-Nazionale e del CERT-PA a partire dal 6 maggio 2020, con conseguente contemporanea cessazione dei due CERT come entità autonome. L’organizzazione e il funzionamento del CSIRT italiano sono regolati dal Decreto del Presidente del Consiglio dei Ministri dell’8 agosto 2019, ai sensi dell’articolo 8, comma 2, del Decreto Legislativo n. 65 del 18 maggio 2018.

Il National Cybersecurity Center (NSC) è stato istituito presso il DIS per facilitare la prevenzione e la preparazione a potenziali situazioni di crisi, nonché per attivare le procedure di allerta.

Data Protection e il Framework Nazionale per la Cybersecurity

La sicurezza di un’azienda può essere garantita solo se lo sono anche le aziende e le infrastrutture collegate. Si tratta di un sistema complesso che deve essere salvaguardato in quanto interconnesso; un singolo errore può avere un effetto a catena su altre entità.

Nel 2015 è stato creato il Framework Nazionale per la Cybersecurity e la Data Protection dal Centro di Ricerca di Cyber Intelligence e Information Security (cis) dell’Università La Sapienza di Roma (sotto la direzione del Prof. Roberto Baldoni, che nel frattempo ha assunto la guida della nuova Agenzia Nazionale per la Cybersecurity) in collaborazione con il Laboratorio Nazionale di Cybersecurity del cini (Consorzio Interuniversitario Nazionale per l’Informatica). Il framework è stato poi aggiornato alla versione 2.0 nel febbraio 2019.

Il Framework si basa sul National Institute of Standards and Technology (NIST) Framework for Improving Critical Infrastructure Cybersecurity, ma è stato adattato al contesto italiano ed europeo. Rispetto alla versione NIST (e a quella presentata nel 2015), ha incorporato diverse tendenze della cybersecurity, tra cui i controlli associati alla protezione dei dati come richiesto dal GDPR.

Il National Framework rispecchia il NIST Framework in quanto prende in considerazione cinque Funzioni, ulteriormente suddivise in Categorie e Sottocategorie.

Identificare (identify)

Proteggere 

Indagare e identificare l’evento.

Rispondere (reagire)

Recuperare (riparare)

Esistono più di cento sottocategorie, ognuna delle quali corrisponde a un controllo da effettuare. Questo quadro ci fornisce una lista di controllo preconfezionata da utilizzare per il nostro lavoro.

Valutare la sicurezza dell’azienda nel suo stato attuale.

Determinare i passi necessari per migliorare la sicurezza (stato “obiettivo”).

Il Framework è particolarmente vantaggioso per la sua correlazione tra le Sottocategorie e i controlli riportati in altri Framework o direttive esistenti, come ad esempio.

ISO/IEC 27001

NIST SP 800-53

COBIT 5

ISA 62443

Misure minime AgID

Il Framework italiano promuove l’implementazione di strategie di gestione del rischio all’interno delle organizzazioni per affrontare i problemi di cybersecurity.

Questa tendenza in materia di cybersecurity è molto vantaggiosa, in quanto facilita la necessaria sorveglianza continua della sicurezza web aziendale.

Il Framework Nazionale per la Cybersecurity e la Protezione dei Dati è disponibile per il download.

La Sicurezza nazionale cibernetica e il suo Perimetro.

Il 20 novembre 2019 è stata ufficialmente pubblicata in Gazzetta Ufficiale la Legge 18 novembre 2019, n. 133 (la “Legge sulla Cybersecurity”), convertita con modificazioni dal Decreto Legge 21 settembre 2019, n. 105 (il “Decreto Cybersecurity”), recante “Disposizioni urgenti in materia di Perimetro Nazionale di Cybersecurity”.

In Italia è stata emanata una normativa per creare il Perimetro Nazionale di Cybersecurity (PSNC), che è una misura complementare alla Direttiva europea NIS, specifica per l’Italia.

Al momento dell’implementazione iniziale, la portata delle misure di cybersecurity in vigore era più limitata rispetto a quella delineata nella Direttiva NIS.

Successivamente sono state effettuate diverse implementazioni di DPCM.

Ai sensi dell’articolo 1, comma 2, del decreto legge 21 settembre 2019, n. 105, convertito con modificazioni dalla legge 18 novembre 2019, n. 133, il decreto del Presidente del Consiglio dei Ministri 30 luglio 2020, n. 131, detta norme in materia di cybersecurity nazionale. 

All’articolo 3, il decreto delinea i “Soggetti che svolgono funzioni e servizi essenziali per lo Stato” e i criteri per l’inclusione nel PSNC previsti dal citato DPCM n. 131. Tali soggetti riguardano i soggetti che svolgono funzioni e servizi essenziali per lo Stato.

Si tratta di soggetti che operano nei seguenti settori di attività.

  • interni
  • difesa
  • spazio e aerospazio
  • energia
  • telecomunicazioni
  • economia e finanza
  • trasporti
  • servizi digitali
  • tecnologie critiche
  • sicurezza sociale/istituzioni del lavoro.

Il decreto presidenziale n. 54, in vigore dall’8 maggio 2021, definisce il regolamento di attuazione dell’articolo 1, comma 6, del decreto legge n. 105, emanato il 21 settembre 2019. L’articolo 13 del decreto definisce le sei categorie di beni, sistemi e servizi TIC che devono essere valutati dal CVCN o dai VC.

Il 14 aprile 2021, la Direzione per la protezione dei dati e la sicurezza informatica ha emanato la Direttiva n. 81, che delinea le norme relative alla notifica degli incidenti che possono interessare reti, sistemi e servizi informatici.

Il 15 giugno 2021 è stato emanato il Decreto n. DPCM, che identifica quattro categorie di beni, sistemi e servizi ICT destinati all’uso all’interno del perimetro nazionale di cybersecurity. Le entità incluse nel perimetro devono effettuare la necessaria notifica al CVCN (Centro Nazionale di Valutazione e Certificazione) o ai CV (Centri di Valutazione) del Ministero dell’Interno e della Difesa, come specificato nell’Allegato 1 del Decreto.

Le quattro categorie sono:

Le funzioni e i servizi di rete di telecomunicazioni, come l’accesso, il trasporto e la commutazione, sono abilitati attraverso l’uso di componenti hardware e software.

Componenti hardware e software che garantiscono la sicurezza delle reti di telecomunicazione e dei dati da esse elaborati.

Forniamo componenti hardware e software per l’acquisizione dei dati, il monitoraggio, il controllo di supervisione, l’implementazione e l’automazione delle reti di telecomunicazione e dei sistemi industriali e infrastrutturali.

Implementiamo meccanismi di sicurezza attraverso applicazioni software.

Inoltre, un elenco completo di beni, sistemi e servizi, adattato a ciascuna categoria, sarà aggiornato e rivisto su base annuale, al fine di riflettere eventuali cambiamenti nei criteri e nei progressi della tecnologia.

A differenza del NIS, che si applica alle infrastrutture critiche sia pubbliche che private, il PSNC è rivolto alle entità che forniscono un servizio essenziale allo Stato, ovvero quelle che sono parte integrante della continuazione di attività civili, sociali o economiche cruciali per gli interessi dello Stato.

Il Perimetro nazionale di cybersecurity rappresenta uno sviluppo significativo nel campo della sicurezza web, in quanto fornisce un quadro unificato e condiviso per la governance e la responsabilità.

Le misure principali implementate come tendenza alla cybersecurity hanno riguardato le seguenti aree.

L’identificazione delle entità che rientrano nell’ambito del progetto.

Nuove procedure e controlli

Viene proposta l’introduzione di un nuovo reato di ostruzione o interferenza con le attività di ispezione e supervisione.

Il Comitato Interministeriale per la Sicurezza della Repubblica (CISR) è responsabile della supervisione in materia di sicurezza della Repubblica.

Il Centro per la Valutazione e la Certificazione Nazionale (CVCN), istituito presso il Ministero dello Sviluppo Economico (MISE), ha il compito di fornire garanzie di sicurezza e di assicurare l’assenza di vulnerabilità di prodotti, hardware e software destinati all’utilizzo su reti, sistemi informativi e servizi IT di soggetti che rientrano nel perimetro della cybersecurity.

Cos’è l’ACN (Agenzia Cyber Sicurezza Nazionale) 

Lo Stato italiano ha recentemente preso l’iniziativa di istituire l’Agenzia Nazionale per la Cybersecurity, attesa da tempo.

Il 4 agosto 2021 è stata approvata la legge n. 109, che integra le modifiche al decreto legge n. 82 del 14 giugno 2021, recante “Disposizioni urgenti in materia di sicurezza informatica, definizione dell’architettura nazionale della cybersicurezza e istituzione dell’Agenzia nazionale per la sicurezza informatica“.

L’istituzione dell’Agenzia completa la traiettoria italiana in termini di cybersecurity per quanto riguarda la sicurezza del web. Avrà personalità giuridica di diritto pubblico e sarà dotata di autonomia regolamentare, amministrativa, finanziaria, organizzativa, contabile e patrimoniale.

Nell’agosto 2021 è stato annunciato che il Prof. Roberto Baldoni, già Vice Direttore Generale del Dipartimento delle Informazioni per la Sicurezza (DIS), è stato nominato Direttore della nuova Agenzia.

Il decreto istitutivo prevede che l’organizzazione riceva un consistente sostegno finanziario, con una stima di 500 milioni stanziati dal 2021 al 2027. Una volta raggiunta la piena capacità operativa, si prevede che l’organizzazione impiegherà circa 1.000 persone.

L’organizzazione fungerà da Autorità nazionale di certificazione della cybersecurity in conformità con l’articolo 58 della legge sulla cybersecurity dell’Unione europea (Regolamento (UE) 2019/881).

Oltre all’Agenzia nazionale per la cybersecurity, questo decreto istituisce anche un Comitato interministeriale per la cybersecurity (ICCS) per fornire consulenza, proposte e delibere sulle politiche di cybersecurity.