Negli articoli 5,6 e 7 il Decreto legge introduce l’Agenzia Nazionale per la cybersecurity. L’Agenzia avrà personalità giuridica di diritto pubblico ed avrà autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria, nei limiti di quanto previsto dal decreto.
Tra le funzioni dell’Agenzia elencate nell’articolo 7 segnaliamo le seguenti:
– assicurare il coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e promuovere la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni;
– predisporre la strategia nazionale di cybersicurezza;
– svolgere ogni necessaria attività di supporto al funzionamento del Nucleo per la cybersicurezza;
– rappresentare punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, per le finalità di cui al decreto legislativo NIS, a tutela dell’unità giuridica dell’ordinamento. L’Agenzia è competente all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative previste dal medesimo decreto;
– rilasciare la certificazione della cybersicurezza ai sensi dell’articolo 58 del regolamento (UE) 2019/881 (c.d. Cyber Act) il quale prevede l’obbligo per gli Stati membri di nominare un’autorità nazionale di certificazione con l’attribuzione di un pacchetto di poteri minimi tra cui rientrano quelli istruttori, ispettivi e sanzionatori;
Il Decreto, poi, individua l’Agenzia come principale Ente in materia di cybersicurezza al quale passano le numerose competenze prima attribuite ad altri organi e in particolare quelle che erano state attribuite a al Ministero dello Sviluppo Economico in materia di sicurezza cibernetica, alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica, al DIS (Dipartimento delle informazioni per la sicurezza), all’Agenzia dell’Italia digitale.
Tra i compiti spettanti all’Agenzia ci sono quelli di:
1. stilare il piano annuale di cybersecurity nazionale;
2. sviluppare politiche di prevenzione, analisi e monitoraggio dei pericoli;
3. partecipare all’esercitazioni nazionali e internazionali per migliorare e comprovare l’adeguatezza delle misure;
4. promuovere un quadro giuridico e normativo con poteri di esprimere pareri vincolanti, anche in riferimento all’evoluzione legislativa internazionale;
5. coordinare, in raccordo con il Ministero degli affari esteri, la cooperazione internazionale nella materia della cybersicurezza;
6. collaborare con il mondo accademico, di ricerca e del sistema produttivo nazionale, al fine di promuovere iniziative per lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche. A tale scopo il decreto individua la potestà per l’Agenzia di chiudere accordi con le altre istituzioni e con il settore privato;
7. promuovere, sostenere e coordinare la partecipazione italiana a progetti e iniziative dell’Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi;
8. svolgere attività di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia;
9. promuovere la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, anche attraverso l’assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati;
Per quanto attiene la sua composizione l’Agenzia sarà dotata di un organico con comprovate capacità in materia di cybersicurezza da selezionare mediante concorso pubblico. L’Organizzazione potrà anche avvalersi di esperti della materia tramite incarichi, a tempo determinato, di soggetti in possesso di alta e particolare specializzazione, per lo svolgimento di attività assolutamente necessarie all’operatività dell’Agenzia o per specifiche progettualità da portare a termine in un arco di tempo prefissato. La direzione dell’Agenzia sarà affidata ad un dirigente di prima fascia il cui mandato avrà una durata di quattro anni.
Nucleo per la cybersicurezza
Infine il decreto, all’articolo 8, stabilisce che presso l’Agenzia è costituito, in via permanente, il Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento.