Organizzazione dell’Agenzia per la cybersicurezza nazionale

Disposizioni che interessano l’Infrastruttura per la Qualità:

  • Agenzia per la cybersicurezza nazionale – DPCM 223/2021

 

E’ entrato in vigore il 28 dicembre 2021 il DPCM 223/2021 che riguarda il “Regolamento di organizzazione e funzionamento dell’Agenzia per la cybersicurezza nazionale” (GU n. 306 del 27 dicembre 2021).

Il Decreto è stato adottato ai sensi dell’art. 6, comma 1, del DL 82/2021 “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale” che ha istituito l’Agenzia per la cybersicurezza nazionale (ACN) e ha ridefinito l’architettura nazionale per la cybersicurezza.

L’obiettivo è quindi disciplinare l’organizzazione e il funzionamento dell’Agenzia così costituita, che riveste la funzione dell’Autorità nazionale per la cybersicurezza prevista dal Regolamento UE 881/2019 “Regolamento sulla cybersicurezza”.

La lettura congiunta del DPCM e del Regolamento europeo suggerisce la probabile collaborazione tra l’Agenzia per la cybersicurezza nazionale e l’Ente nazionale di accreditamento.

Il Regolamento UE sulla cybersicurezza prevede infatti all’art. 58 par. 7 lett. c) “Autorità nazionali di certificazione della cybersicurezza” che l’Autorità nazionale assista e sostenga attivamente gli organismi nazionali di accreditamento nel monitoraggio e nella vigilanza delle attività degli organismi di valutazione della conformità ai fini del Regolamento stesso.

Nel DPCM, all’art. 12 “Organizzazione”, si indicano i servizi in cui si articola l’Agenzia:

  • a) Gabinetto
  • b) Autorità e sanzioni
  • c) Certificazione e vigilanza
  • d) Operazioni
  • e) Programmi industriali, tecnologici, di ricerca e formazione
  • f) Risorse umane e strumentali
  • g) Strategie e cooperazione

In relazione al punto c “Certificazione e vigilanza”, il DPCM indica come compito dell’Agenzia quello di “sovrintendere ai processi di certificazione, qualificazione e valutazione” e quello di curare:

  1. le attività svolte dall’Agenzia in materia di certificazione di sicurezza cibernetica
  2. le attività dell’Agenzia quale CVCN (Centro di Valutazione e Certificazione Nazionale), anche ai sensi del DL perimetro e del DL 21/2012
  3. svolgere l’attività ispettiva e di verifica di competenza dell’Agenzia concernente gli adempimenti di cybersicurezza nei confronti dei soggetti pubblici e privati
  4. le attività dell’Agenzia volte ad assicurare l’attuazione del Regolamento UE 881/2019 e, in particolare, garantire che l’Agenzia assolva al ruolo di autorità nazionale di certificazione in materia di cybersicurezza.

In caso l’Agenzia emetta certificati di conformità varrebbe quanto indicato nel Regolamento UE sulla cybersicurezza all’art. 60 “Organismi di valutazione della conformità”: il servizio di certificazione e vigilanza dell’Agenzia dovrebbe essere accreditato. L’articolo riporta infatti:

  1. Gli organismi di valutazione della conformità sono accreditati da organismi nazionali di accreditamento designati ai sensi del Regolamento CE 765/2008. Tale accreditamento è rilasciato solo se l’organismo di valutazione della conformità soddisfa i requisiti indicati nell’allegato del presente Regolamento.
  2. Ove un certificato europeo di cybersicurezza sia rilasciato da un’autorità nazionale di certificazione della cybersicurezza a norma dell’art. 56, par. 5, lett. a), e dell’art. 56, par. 6, l’organismo di certificazione dell’autorità nazionale di certificazione della cybersicurezza è accreditato come organismo di valutazione della conformità a norma del presente articolo, par. 1.

L’Agenzia per la cybersicurezza nazionale, che intende conseguire l’autonomia nazionale nel settore del digitale, dovrà assicurare il coordinamento tra i soggetti pubblici coinvolti nella materia e lavorerà in sinergia con la Commissione europea e gli Stati membri e con il sistema produttivo nazionale, coinvolgendo il mondo dell’università e della ricerca.

La sicurezza e la resilienza cibernetica sono necessarie allo sviluppo del Paese, tanto più in questo momento, in cui molti progetti del PNRR sono orientati ad approfondire l’utilizzo degli strumenti digitali, in particolare nella Pubblica Amministrazione.