1) A livello di Unione europea, la direttiva (Ue) 2016/1148 del 6 luglio 2016 reca misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (c.d. direttiva NIS - Network and Information Security") al fine di conseguire un "livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea".

2) La direttiva è stata recepita nell'ordinamento italiano con il decreto legislativo 18 maggio 2018, n. 65, che detta quindi la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva NIS.

3) Abbiamo, a seguire, il decreto-legge n. 105 del 2019 adottato per garantire un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, attraverso l'istituzione di un perimetro di sicurezza nazionale cibernetica e con la conseguente previsione di misure volte a garantire gli standard di sicurezza ritenuti necessari per minimizzare i rischi.

In attuazione del decreto-legge n. 105 sono stati definiti in particolare:

A) il Dpcm 30 luglio 2020, n.131. 
https://www.gazzettaufficiale.it/eli/id/2020/10/21/20G00150/sg

Il decreto attuativo stabilisce i criteri secondo i quali le apposite autorità dovranno provvedere ad identificare i soggetti da includere nel perimetro, e le modalità con cui questi dovranno censire le proprie strutture (reti, infrastrutture, sistemi informativi ed i formatici, beni ICT , ecc...) e comunicarle alle autorità. Il Mise si occuperà di strutture private e la presidenza del Consiglio di quelle pubbliche La lista dei soggetti interessati, circa 150, non è pubblica. L’articolo 2 del Dpcm individua però i soggetti che svolgono funzioni essenziali per lo Stato e che quindi sono interessati dal decreto.

È costituito anche un Tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica. Il successivo articolo 3 indica poi i settori di priorità a cui appartengono i soggetti inclusi nel perimetro:

  1. interno;
  2. difesa;
  3. spazio e aerospazio;
  4. energia;
  5. telecomunicazioni;
  6. economia e finanza;
  7. trasporti;
  8. servizi digitali;
  9. tecnologie critiche;
  10. enti previdenziali/lavoro.

B) il Dpcm 14 aprile 2021, n. 81 riguardante l’applicazione del Perimetro cibernetico. Tale decreto, costituisce il Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici e di misure volte a garantire elevati livelli di sicurezza.
(http://www.infoparlamento.it/Pdf/ShowPdf/8554)

C) il Dpcm del 15/6/2021 che individua le categorie di beni sistemi e servizi ICT destinati ad essere impiegati nel sistema di sicurezza nazionale cibernetica (https://www.gazzettaufficiale.it/eli/id/2021/08/19/21A05087/sg)

La sicurezza cibernetica costituisce uno degli interventi previsti dal Piano nazionale di ripresa e resilienza (Pnrr). E’ previsto infatti l’investimento di 620 milioni per creare e rafforzare le infrastrutture di cybersecurity. Dei 620 milioni, 241 milioni di euro sono stanziati per la creazione di una infrastruttura nazionale per la cybersicurezza, 231 milioni sono destinati al rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica Psnc; 150 milioni di euro sono stanziati per il rafforzamento delle capacità nazionali di difesa informatica presso il ministero dell'Interno, Difesa, Guardia di Finanza, Giustizia e Consiglio di Stato.

Del resto anche il Parlamento europeo ha approvato programmi specifici, come Digital Europe, che stanzia 1,7 miliardi per questo settore, prevedendo la realizzazione di un centro di competenza a Bucarest.

Anche il Fondo Europeo per la Difesa, che ha 8 miliardi di dotazione, può essere utilizzato per realizzare infrastrutture fisiche per la cybersicurezza e sostenere sviluppo tecnologico e innovazione.

Il 4 agosto è stato convertito in legge il decreto legge 14 giugno 2021, n. 82 “Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale”.
https://www.gazzettaufficiale.it/eli/id/2021/08/04/21G00122/sg

Si tratta di 19 articoli. L’articolo 5 istituisce l’Agenzia per la cybersicurezza nazionale, con personalità di diritto pubblico, dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria. Negli articoli a seguire se ne indicano composizione e funzioni. All’interno dell’Agenzia vi è un Nucleo per la cybersecurity quale supporto al presidente del Consiglio. All’articolo 10 si indicano le modalità di gestione delle crisi che coinvolgano aspetti di cybersicurezza.