“Con il Dpcm Gentiloni sulla sicurezza cibernetica pubblicato il 13 aprile sulla Gazzetta Ufficiale, si definisce in maniera molto più chiara l’organizzazione istituzionale per il governo del settore e la gestione delle situazioni di crisi che possono interessarlo”. A dirlo a Cyber Affairs è Adriano Soi, già prefetto e responsabile della Comunicazione istituzionale del Dis (Dipartimento delle informazioni per la sicurezza), oggi docente di Security Studies alla Scuola “Cesare Alfieri” dell’Università di Firenze. “Pur con i limiti propri di uno strumento non legislativo, la direttiva del presidente del Consiglio dei ministri affronta argomenti cruciali, come la collocazione del Nucleo per la sicurezza cibernetica (Nsc) nell’ambito del Dis sotto la presidenza di un vicedirettore di quel dipartimento, e l’apporto informativo da parte degli operatori privati, in base alle leggi già vigenti o a convenzioni da stipularsi appositamente. Una pronta attuazione del Dpcm”, rileva Soi, “potrà fornire indicazioni utili per la stesura del provvedimento legislativo con il quale verrà recepita la direttiva Nis”.
Analizzando gli articoli del decreto, l’esperto spiega “che da essi risulta confermato il ruolo del Cisr come organo collegiale chiamato a collaborare con il presidente del Consiglio nelle gestione delle situazioni di crisi, comprese quelle di natura cibernetica. A questo riguardo è ora ben visibile un doppio istituzionale: quello politico-decisionale, dato dal Cisr, ed uno tecnico-operativo, imperniato sul Nsc, che coordina le varie amministrazioni interessate avvalendosi dei Cert”. “In poche parole – osserva Soi – la cornice di sicurezza cibernetica nazionale nasce dalla collaborazione tra il Sistema di informazione per la sicurezza della Repubblica, tutte le altre amministrazioni pubbliche impegnate e gli operatori privati”. Infine, conclude l’esperto “nel decreto è prevista l’istituzione da parte del ministero dello Sviluppo economico, di un centro di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità dei prodotti, apparati e sistemi destinati a essere utilizzati per il funzionamento di reti, servizi e infrastrutture critiche, nonché di ogni altro operatore per cui sussista un interesse nazionale: si tratta di una buona idea, di un tassello che potrà completare efficacemente il sistema di prevenzione, ma ad una condizione, quella che nella sua realizzazione si evitino appesantimenti e lungaggini burocratiche con controlli puntuali ed efficaci”.