IL D.L. 82/2021 E L’ISTITUZIONE DELL’AGENZIA PER LA CYBERSICUREZZA NAZIONALE (ACN)
Prime considerazioni sulla nuova Autorità Nazionale per la Cybersicurezza
a cura degli Avv.ti Luca D’Agostino e Gianluca Podda
Il quadro giuridico in materia di sicurezza informatica è in continua ed incessante evoluzione. Nell’ultimo quinquennio hanno visto la luce provvedimenti di notevole importanza: dalla Direttiva NIS alla Circolare AgID sulle misure minime ICT, dal decreto di recepimento della NIS al Perimetro di Sicurezza Nazionale Cibernetica, dal Cybersecurity Act ai regolamenti attuativi del PSNC.
Sulla stessa scia si colloca la recentissima pubblicazione in Gazzetta Ufficiale (Serie Generale n. 140 del 14 giugno 2021) del Decreto Legge n. 82/2021 recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale», approvato nella seduta del Consiglio dei Ministri dello scorso 10 giugno.
Lo scopo del decreto e la mission dell’ACN
Il decreto è figlio dell’attuale contesto emergenziale, caratterizzato dal ricorso massivo all’utilizzo degli strumenti informatici e dall’incremento degli attacchi alle reti e ai sistemi di informazione. Oggi il dominio cibernetico rappresenta un “terreno di confronto” con riflessi sulla sicurezza nazionale e sulla regolarità nella prestazione dei servizi essenziali. Tra le ragioni di necessità e urgenza vi è inoltre l’ineludibile esigenza di dare attuazione al Piano nazionale di ripresa e resilienza (PNRR), che prevede apposite progettualità nell’ambito della cybersicurezza, in particolare per l’istituzione di un ente con specifico mandato nella materia in esame.
Alla base dell’intervento legislativo sembra esservi anche la necessità di semplificare il vigente quadro in materia di sicurezza informatica, eccessivamente frammentato e stratificato in una pluralità di fonti e di soggetti coinvolti.
Volendo ripercorrere in estrema sintesi le disposizioni introdotte dal D.L. 82/2021 occorre mettere in evidenza la principale novità: l’istituzione di una Agenzia per la Cybersicurezza Nazionale.
Alla ACN, dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria, è riconosciuta personalità giuridica di diritto pubblico. L’organizzazione e il funzionamento dell’Agenzia saranno definiti da un apposito regolamento adottato con DPR entro centoventi giorni dalla data di entrata in vigore della legge di conversione del D.L. 82/2021.
I principali attori dell’ACN
Analizzando le figure centrali della neocostituita Agenzia, un ruolo di primo piano è senz’altro attribuito al Presidente del Consiglio dei ministri, cui è assegnata l’alta direzione dell’ACN nonché la responsabilità generale delle politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.
La centralità del ruolo del Presidente del Consiglio emerge altresì dalla competenza all’adozione della strategia nazionale di cybersicurezza (sentito il Comitato Interministeriale per la Cybersicurezza), nonché dal potere di nominare e revocare il direttore generale dell’Agenzia.
Presso la Presidenza del Consiglio dei Ministri è istituito il Comitato Interministeriale per la Cybersicurezza (CIC), avente funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza.
Tra le funzioni più importanti del CIC quella di proporre al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale e di esercitare l’alta sorveglianza sull’attuazione della strategia nazionale di cybersicurezza.
Presso l’Agenzia è costituito, in via permanente, il Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, con mandato specifico per la prevenzione e la preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento.
La centralità di tale organo nelle attività di intelligence si evince dalla composizione del Nucleo, che comprenderà il Direttore Generale dell’ACN, il Consigliere Militare del Presidente del Consiglio e da un rappresentante del DIS, dell’AISE e dell’AISI e degli altri Ministeri richiamati all’art. 8. Al Nucleo per la cybersicurezza è devoluto, fra le altre cose, il compito di informare costantemente il Presidente del Consiglio, di assicurare il coordinamento interministeriale e di elaborare rapporti e fornire informazioni sulle crisi in corso.
Funzioni e compiti dell’ACN
Con riferimento alle funzioni dell’ACN, la decretazione d’urgenza ha inteso “condensare” in un solo ente i compiti attribuiti a diversi plessi amministrativi dalle più recenti normative, rendendo più omogeneo il quadro organico in materia di cybersicurezza. Così facendo il Legislatore sembra aver riconosciuto all’Agenzia le caratteristiche proprie delle Autorità amministrative indipendenti, con funzioni al tempo stesso amministrative e di regolazione settoriale.
Passando in rassegna le attribuzioni più strettamente amministrative, l’ACN è qualificata come “Autorità nazionale per la cybersicurezza” e, in relazione a tale ruolo, assicura il coordinamento tra i soggetti pubblici coinvolti, promuovendo la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese.
Intervenendo su diverse disposizioni del D. Lgs. 65/2018. il D.L. in esame attribuisce all’ACN importanti compiti in relazione al framework NIS. L’Agenzia è designata quale Autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, per le finalità di cui al decreto legislativo NIS, a tutela dell’unità giuridica dell’ordinamento.
Più precisamente l’ACN assume le funzioni dell’autorità nazionale competente NIS per i settori e sottosettori riportanti dell’elenco degli operatori dei servizi essenziali e fornitori di servizi digitali.
Nella specie si prevede che ogni riferimento all’autorità competente NIS “per settore” sia sostituito dall’ACN “unica Autorità nazionale competente”. Tuttavia i diversi Ministeri – che sinora hanno svolto le funzioni dell’Autorità nazionale per i comparti di rispettiva appartenenza – continueranno ad operare quali “Autorità di settore”. Così, ad esempio, l’elenco degli operatori di servizi essenziali continuerà a essere aggiornato con le seguenti modalità: le autorità di settore, in relazione ai settori di competenza, proporranno all’autorità nazionale competente NIS le variazioni all’elenco; le proposte saranno valutate dall’ACN che, con propri provvedimenti, provvederà alle variazioni dell’elenco degli operatori dei servizi essenziali.
Sempre in relazione alla normativa NIS, l’Agenzia sarà responsabile dell’attuazione del D. Lgs. 65/2018, con funzioni di vigilanza e potestà ispettive e sanzionatorie. Inoltre l’ACN è designata quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, per garantire la cooperazione transfrontaliera e il coordinamento con le autorità competenti NIS degli altri Stati membri.
Altre funzioni riguardano invece la certificazione della sicurezza informatica secondo le disposizioni del c.d. Cybersecurity Act. L’Agenzia assumerà i compiti dell’Autorità nazionale di certificazione della cybersicurezza ai sensi dell’articolo 58 del Regolamento 2019/881/UE subentrando nelle funzioni attribuite al Ministero dello sviluppo economico comprese quelle relative all’accertamento delle violazioni e all’irrogazione delle sanzioni.
Disposizioni analoghe valgono per le funzioni attribuite al MiSE dalla legge istitutiva del Perimetro di Sicurezza Nazionale Cibernetica (PSNC) di cui al D.L. 105/2019 conv. in L. 133/2019. L’Agenzia subentra, infatti, nei compiti del Ministero, ivi inclusi quelli demandati al Centro di Valutazione e Certificazione Nazionale (CVCN). Pertanto, anche le attività di ispezione e verifica, nonché quelle relative all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative sono rimesse all’ACN. Vieppiù, l’Agenzia assume la maggior parte delle funzioni attribuite alla Presidenza del Consiglio dei ministri in materia di Perimetro di sicurezza nazionale cibernetica.
Più nel dettaglio, ogni riferimento al Ministero dello sviluppo economico e alla Presidenza del Consiglio dei ministri, ovunque ricorra, è da intendersi riferito all’Agenzia per la Cybersicurezza Nazionale. Allo stesso modo, nell’adozione dei provvedimenti di natura regolamentare e amministrativa relativi al Perimetro ogni riferimento al DIS deve intendersi riferito all’Agenzia per la cybersicurezza nazionale.
Attività di regolazione
Venendo alle funzioni per così dire “regolamentari” è di certo rilievo la novità per cui tutte le funzioni in materia di cybersicurezza già attribuite all’Agenzia per l’Italia digitale dalle disposizioni vigenti e, in particolare, quelle di cui all’articolo 51 del decreto legislativo 7 marzo 2005, n. 82 (CAD), nonché in materia di adozione di linee guida contenenti regole tecniche di cybersicurezza ai sensi dell’articolo 71 CAD, saranno di competenza dell’Agenzia per la Cybersicurezza Nazionale.
Quest’ultima dovrà inoltre promuovere la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale. A tal fine, l’Agenzia ì potrà esprimere pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza, nonché promuovere la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati.
Profili giurisdizionali
Infine, tra le riforme di ordine processuale spicca la modifica all’articolo 135 del Codice del processo amministrativo, che attribuisce alla competenza funzionale inderogabile del TAR Lazio, sede di Roma «le controversie aventi ad oggetto i provvedimenti dell’Agenzia per la cybersicurezza nazionale».
Conclusioni
In definitiva, il D.L. 82/2021 ha introdotto diverse novità che modificano funditus l’assetto istituzionale coinvolto nella governance della sicurezza informatica.
L’aspetto più rilevante, a nostro avviso, concerne la configurazione e i compiti della nuova Agenzia per la Cybersicurezza Nazionale, che riecheggiano quelli delle Autorità di settore, sebbene l’ANC non pare essere dotata della medesima indipendenza che contraddistingue le Autorità indipendenti.
Certo è che nel prossimo futuro la cybersicurezza potrà dunque diventare un settore regolamentato e caratterizzato dalle forti prerogative di intervento e di controllo da parte dell’Agenzia. Uno scenario nel quale l’adempimento degli obblighi posti a carico delle P.A. e dei privati potrà contare su un monitoraggio costante e su un assetto di regole sempre più dettagliato e specifico.
