Per la prima volta nella storia dell’universo il processo di digitalizzazione del nostro pianeta ha inizio
Cybersecurity e sicurezza informatica: cos’è e cosa prevede nel futuro italiano
L’avvio della Agenzia per la sicurezza nazionale cibernetica apre il capitolo dell’architettura cyber in Italia. Con essa, ci si allinea alle migliori pratiche internazionali. Dunque, l’Europa invita gli stati membri a dotarsi di strategie nazionali che esprimano consapevolezza istituzionale, capacità e prontezza grazie a un ambiente tecnologicamente avanzato.
Italia, università e lavoro si adattano all’era della sicurezza digitale: creazione di professionalità
In regime di scarsità, le professioni tecniche stanno vivendo un momento di auge. Di conseguenza, i costi si elevano sino ad essere insostenibili per le aziende medio piccole. La storica tendenza ad inseguire il proverbiale “posto fisso” si scontra con la diversa attitudine che solitamente contraddistingue i tecnici.
Infatti, essi hanno piuttosto una mentalità innovativa e poliedrica, frutto di quella educazione e forma mentis tipiche della società statunitense. Ovvero, portano a prediligere un approccio al lavoro più flessibile, ma maggiormente remunerativo. Ora, tale flessibilità sarà possibile solo con previsioni economiche, normative e organizzative che permettano di fidelizzare il personale con competenze tecniche.
D’altro canto, alcuni aspetti tecnici devono essere portati nel bagaglio culturale anche di professioni umanistiche, giuridiche, mediche e così via. Così, si consente a tutti di muoversi adeguatamente nel mondo cibernetico ormai attuale.
Ad oggi, l’Italia necessita di molti esperti cyber e serve anche una maggiore consapevolezza della tecnica informatica. L’ACN è perfettamente consapevole di questa e delle altre sfide che dovrà affrontare e si sta già muovendo nella creazione di professionalità.
Ora, si emana il decreto per le risorse umane e strumentali e si lavora ai regolamenti per consentire alla struttura di immettere personale. Inoltre, si cerca di dare atto al trasferimento di competenze e responsabilità. Ad esempio, quelle relative al Centro di Valutazione e Certificazione Nazionale (CVCN).
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
CVCN e l’acquisizione di nuove tecnologie per la Cybersicurezza italiana
Ora, diamo uno sguardo al combinato disposto della legge sulla Golden Power e della legge sul Perimetro Nazionale di Cyber Security. Innanzitutto, esso prevede che qualsiasi operatore pubblico e privato che intenda acquisire tecnologie extra UE per applicazioni 5G, debba informare l’Autorità. In tal modo, si effettuerà un’eventuale verifica da parte del CVCN nei confronti del prodotto in acquisizione.
Infatti, l’Art. 3 comma 1, DPR 5 febbraio 2021, n. 54 recita:
“I soggetti inclusi nel perimetro, prima dell’avvio delle procedure di affidamento di cui all’articolo 1, comma 6, lettera a), del decreto-legge, anche nel caso in cui tali procedure siano espletate attraverso le centrali di committenza, ne danno comunicazione al CVCN o ai CV.
Invece, l’art. 3 comma 1, D.L. 21 settembre 2019, n, 105, (modificato dall’art. 16, comma 9, lettera c, del D.L. 14 giugno 2021, n. 82 e convertito con modificazioni dalla L. 4 agosto 2021, n. 109), recita:
“I soggetti che intendono procedere all’acquisizione, a qualsiasi titolo, di beni, servizi e componenti di cui all’articolo 1-bis, comma 2, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la comunicazione di cui all’articolo 1, comma 6, lettera a), per lo svolgimento delle verifiche di sicurezza da parte del CVCN sulla base delle procedure, modalità e termini previsti dal regolamento di attuazione.”
Tutto questo decorre dall’entrata in operatività del CVCN o dal 30 giugno 2022. Il CVCN sta elaborando uno schema per le valutazioni, probabilmente basato sugli standard esistenti, soprattutto relativi ai Common Criteria (CC) e all’ITSEC.
In ogni caso, si auspica anche che l’attuale normativa del codice degli appalti per la PA si riformi. In tal modo, si eviterà che il criterio dirimente per gli acquisti sia costituito unicamente dal conseguire il massimo ribasso. Inoltre, tale metodo si deve integrare con valutazioni tecniche ed economiche che consentano di reperire soluzioni valide a livello del rapporto costi-benefici.
Sicurezza Cibernetica: l’OCSI e i Common Criteria nel processo di evoluzione tecnologica del Paese
Al momento, si attende di conoscere come opererà l’Organismo di Certificazione per la sicurezza Informatica (OCSI) riguardo ai Common Criteria. Inoltre, l’attesa si estende anche alla ricezione delle proposte di ENISA riguardo al nuovo schema certificativo europeo. Questo è stato annunciato dal Cyber Security Act ed è in fase di elaborazione tra la DG Connect e ENISA.
Probabilmente, l’OCSI resterà operativo e si interfaccerà con l’Europa per le certificazioni europee. Indubbiamente, sarebbe utile che mantenesse attiva la certificazione CC sui livelli bassi dello standard, per gli apparati commerciali che non trattano materiale classificato. Effettivamente, l’Italia è uno dei pochi Paesi al mondo ad avere un organismo di certificazione standard, riconosciuto da tutti i Paesi, grazie agli accordi di mutua ratificazione.
Dal suo canto, l’Europa elabora schemi di certificazione di prodotto in ambito Cybersecurity, sia generici che specifici. In particolare, su:
- 5G;
- Automotive;
- Criptovalute;
- IoT e OT.
IoT e OT sono la frontiera del nuovo mondo, assieme alla quantum technology. Difatti, non si tratta solo di innovazione, ma di diffusione. Le innovazioni sono già avviate e ora si stanno diffondendo a macchia d’olio nella vita quotidiana di ognuno. Per la prima volta nella storia dell’universo il processo di digitalizzazione del nostro pianeta ha inizio.
————————————
LEGGI ANCHE:
