Home » CAPO II – Quadronazionale di sicurezza informatica (art.9-17) » Articolo 9 – Strategia nazionale di cybersicurezza
Sintesi Articolo 9
Il decreto prevede la creazione di una Strategia nazionale al fine di garantire un elevato livello di sicurezza informatica. I requisiti minimi di cui deve essere costituita concernono la configurazione di un quadro di governance, di regole e normative idoneo a chiarire ruoli e responsabilità di eventuali stakeholders e in grado di realizzare gli obiettivi e le priorità previste dalla strategia. La Strategia prevede un meccanismo di valutazione dei rischi e di individuazione delle risorse, nonchè una serie di misure volte a garantire una risposta efficace agli incidenti. Inoltre, la Strategia è tenuta a concentrarsi su aspetti legati alla formazione, alla diffusione di informazione e di sostegno a cittadini e piccole imprese al fine di aumentare la consapevolezza in fatto di sicurezza informatica. Il decreto attribuisce inoltre all’Autorità per la cybersicurezza nazionale la facoltà di aggiornare e modificare quando necessario e comunque ogni 5 anni la Strategia.
- La Strategia nazionale di cybersicurezza individua gli obiettivi strategici e le risorse necessarie per conseguirli, nonché adeguate misure strategiche e normative al fine di raggiungere e mantenere un livello elevato di cybersicurezza.
- La Strategia nazionale di cybersicurezza comprende almeno:
- a) gli obiettivi e le priorità che riguardano in particolare i settori di cui agli allegati I, II, III e IV;
- b) un quadro di governance per la realizzazione degli obiettivi e delle priorità di cui alla lettera a), comprendente le misure strategiche di cui al comma 3;
- c) un quadro di governance che chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livello nazionale, a sostegno della cooperazione e del coordinamento a livello nazionale tra le Autorità di settore NIS, l’Agenzia per la cybersicurezza nazionale, in qualità di Autorità nazionale competente NIS, di Punto di contatto unico NIS e di CSIRT Italia, nonché il coordinamento e la cooperazione tra tali organismi e le altre autorità competenti ai sensi degli atti giuridici settoriali dell’Unione europea;
- d) un meccanismo per individuare le risorse e una valutazione dei rischi a livello nazionale;
- e) l’individuazione delle misure volte a garantire la preparazione e la risposta agli incidenti e il successivo recupero dagli stessi, inclusa la collaborazione tra i settori pubblico e privato;
- f) un elenco delle diverse autorità e dei diversi portatori di interessi coinvolti nell’attuazione della strategia nazionale per la cybersicurezza;
- g) un quadro strategico per il coordinamento rafforzato tra le autorità competenti ai sensi del presente decreto e le autorità competenti di cui al decreto legislativo di recepimento della direttiva (UE) 2022/2557 ai fini della condivisione delle informazioni sui rischi, le minacce e gli incidenti sia informatici che non informatici e dello svolgimento di compiti di vigilanza, in modo adeguato;
- h) un piano, comprendente le misure necessarie, per aumentare il livello generale di consapevolezza dei cittadini in materia di sicurezza informatica.
- Nell’ambito della strategia nazionale per la cybersicurezza, sono previste, inoltre, le seguenti misure strategiche:
- a) la sicurezza informatica nella catena di approvvigionamento dei prodotti e dei servizi TIC utilizzati dai soggetti per la fornitura dei loro servizi;
- b) l’inclusione e la definizione di requisiti concernenti la sicurezza informatica per i prodotti e i servizi TIC negli appalti pubblici, compresi i requisiti relativi alla certificazione della cybersicurezza, alla cifratura e all’utilizzo di prodotti di sicurezza informatica open source;
- c) la gestione delle vulnerabilità, ivi comprese la promozione e l’agevolazione della divulgazione coordinata delle vulnerabilità di cui all’articolo 16;
- d) il sostegno della disponibilità generale, dell’integrità e della riservatezza del nucleo pubblico della rete internet aperta, compresa, se del caso, la sicurezza informatica dei cavi di comunicazione sottomarini;
- e) la promozione dello sviluppo e dell’integrazione di tecnologie avanzate rilevanti, volte ad attuare misure all’avanguardia nella gestione dei rischi per la sicurezza informatica;
- f) la promozione e lo sviluppo di attività di istruzione, formazione e sensibilizzazione, di competenze e di iniziative di ricerca e sviluppo in materia di sicurezza informatica, nonché orientamenti sulle buone pratiche e sui controlli concernenti l’igiene informatica, destinati ai cittadini, ai portatori di interessi e ai soggetti essenziali e importanti;
- g) il sostegno agli istituti accademici e di ricerca volto a sviluppare, rafforzare e promuovere la diffusione di strumenti di sicurezza informatica e di infrastrutture di rete sicure;
- h) la messa a punto di procedure pertinenti e strumenti adeguati di condivisione delle informazioni per sostenere la condivisione volontaria di informazioni sulla sicurezza informatica tra soggetti, nel rispetto del diritto dell’Unione europea;
- i) il rafforzamento dei valori di riferimento relativi alla resilienza e all’igiene informatica delle piccole e medie imprese, in particolare quelle escluse dall’ambito di applicazione del presente decreto, fornendo orientamenti e sostegno facilmente accessibili per le loro esigenze specifiche;
- l) la promozione di una protezione informatica attiva.
- Ferme restando le funzioni del Presidente del Consiglio dei ministri di cui all’articolo 2, commi 1 e 2, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, l’Agenzia per la cybersicurezza nazionale provvede ai sensi dell’articolo 7 del citato decreto-legge n. 82 del 2021, sentite le amministrazioni componenti il Nucleo per la cybersicurezza, alla periodica valutazione della Strategia nazionale di cybersicurezza, nonché al suo aggiornamento ove necessario e comunque almeno ogni cinque anni sulla base di indicatori chiave di prestazione, proponendone l’adozione al Presidente del Consiglio dei ministri con le modalità di all’articolo 2, comma 1, lettera b), del medesimo decreto-legge.