Il testo che segue riporta l’intervento di Bruno Frattasi, Direttore dell’Agenzia per la Cybersicurezza, tenuto in occasione dell’evento collaterale al G7, su “Spazio Virtuale. Le Garanzie di Giurisdizione nella Resilienza e nella Difesa della Sicurezza Nazionale”, che ha avuto luogo nei giorni 11-12 ottobre presso la Fondazione Vittorio Occorsio, Presidenza del Consiglio dei Ministri.
An English version of the speech is available above.
Una breve, ma necessaria premessa. Guardando agli ultimi sviluppi del dibattito speculativo sulla definizione della sicurezza nazionale, precisamente sui suoi contenuti e limiti, ha fortemente influito l’attuale e drammatico clima di belligeranza. Già da tempo vengono riportati alla sicurezza nazionale e fatti rientrare in essa, aspetti che riguardano la conservazione e la stabilità di determinati beni e interessi, soprattutto pubblici, secondo una visione eccessivamente allargata e, per questo, tale da snaturare l’essenza autentica del concetto.
Non vi è dubbio, però, che, quale che sia la configurazione del concetto di sicurezza nazionale che assumiamo, venga ad occupare in esso un peso via via crescente la dimensione cibernetica, venuta ad aggiungersi alla dimensione politico-istituzionale, a quella economico-finanziaria e a quella energetica. Tutte, ciascuna e nel loro insieme, attengono e chiamano in causa la salvaguardia della comunità politica nazionale, con l’obiettivo comune di proteggere cittadini, istituzioni e imprese, da ogni tentativo di interferenza, ingerenza o pressione, interna o esterna, che possa anche solo compromettere la continuità della vita del Paese, scalfendone la libertà e l’autodeterminazione.
Negli stessi termini, con un accenno forte alle funzioni essenziali dello Stato, si esprime anche l’art. 1 della Legge che ha istituito cinque anni orsono il Perimetro di sicurezza nazionale cibernetica.
Pare evidente, dunque, che la sicurezza nazionale sia compenetrata con il principio di sovranità, intesa nel senso classico di plenitudo potestatis; sicché la sicurezza nazionale, nello spazio virtuale, si presenta – intanto ed in primis – come un predicato della sovranità digitale nazionale.
Senonché abbiamo a che fare, e già da qualche tempo, con un’altra forma di sovranità digitale, quella europea. Espressione “immaginifica e di grande forza evocativa” che risale al discorso tenuto dalla Presidente Von der Layen sullo stato dell’Unione nel 2020.
Come è stato notato, tale espressione – la sovranità digitale europea -, contiene un’affermazione politica e non giuridica, indica un obiettivo cui tendere e non descrive uno stato di fatto già acquisito e consolidato. Soprattutto essa si iscrive in una logica di competizione e di confronto tra potenze globali in cui la dimensione nazionale viene inevitabilmente trascesa, sovrastata, ma, come tenterò di chiarire, niente affatto obliterata o eclissata; sicché anche in questa sua forma, quella sovranazionale europea, la sovranità digitale rimane ancora legata alla sicurezza nazionale, pur acquisendo una ricchezza ed una forza ulteriori rispetto alla sola dimensione domestica, e non attingibili se non nel contesto unionale.
Il mio intervento è rivolto a illustrare, anche con brevi esempi, come l’Agenzia si ponga a servizio della sicurezza nazionale, sia che questa rimanga funzionale alla affermazione della sovranità digitale nazionale, sia che si ponga nell’orizzonte della sovranità digitale europea.
Il contributo dell’Agenzia alla sicurezza nazionale ha un suo sicuro ancoraggio nella già citata legge istitutiva del Perimetro di sicurezza nazionale cibernetica. Come sappiamo, essa fu concepita ed è stata attuata per delimitare – in assenza di un chiaro indirizzo nella prima direttiva NIS – strutture e superfici informatiche (reti, sistemi e servizi) necessariamente da proteggere secondo i più elevati standard di sicurezza tecnologica, definiti (e qui la precisazione non è una trascurabile forma di acribia del legislatore) “a livello internazionale e dell’Unione Europea”.
L’attività dell’Agenzia si esprime qui in alcuni sostanziali momenti:
i) il primo, consiste nella partecipazione al processo di definizione, soggettiva e oggettiva del Perimetro; partecipazione che avviene assumendo un ruolo centrale che si declina anche in una funzione di coordinamento, secondo la trama che le stesse disposizioni della legge fondativa dell’Agenzia si sono incaricate di portare a evidenza successivamente alla introduzione del Perimetro, e avendo cura di stabilire gli opportuni raccordi tra i due corpi normativi. Per incidens, volendo scolpirne con maggiore incisività il ruolo coordinamentale, è qui il caso di ricordare quanto venne disposto dall’Agenzia all’indomani dello scoppio del conflitto russo-ucraino, allorché, in attuazione di una disposizione normativa urgente, emanata in quella temperie, dispose nei riguardi di tutte le amministrazioni pubbliche che nell’approvvigionamento dei dispositivi di protezione venisse seguito un criterio di necessaria diversificazione, atto a scongiurare forme di dipendenza tecnologica che avrebbero potuto esporre inopportunamente al rischio cyber la nostra superficie digitale e compromettere la stessa sicurezza nazionale;
ii) un altro momento in cui trova espressione la peculiare funzione dell’Agenzia rispetto ai soggetti nonché ai beni e ai servizi inclusi nel Perimetro, riguarda l’attività del Centro di Valutazione e di Certificazione Nazionale, la quale attività si concreta, in casi di particolare complessità, nello scrutinio tecnologico di beni, sistemi e servizi ICT destinati ad essere impiegati in quella parte di superficie informatica inclusa nel Perimetro, con l’ulteriore conseguenza che la valutazione, preventivamente eseguita, sull’affidabilità dei nuovi asset deve tener conto anche del contesto d’uso, cioè del loro ambito di impiego, come limpidamente chiarisce la norma. Possono scaturire dallo scrutinio condizioni e prescrizioni che poi vengono ad essere trasfuse nelle procedure di approvvigionamento delle entità appartenenti alla constituency del Perimetro e a formare oggetto di clausole vincolanti inserite nei bandi di gara affinché venga garantito il più assoluto rispetto delle indicazioni impartite dall’Agenzia;
iii) la tutela del Perimetro di sicurezza nazionale cibernetica si concreta anche nella fissazione di termini assai ristretti entro i quali i soggetti che vi sono inclusi hanno l’obbligo di comunicare all’Agenzia gli impatti subiti a carico della parte di superficie digitale oggetto di tale speciale protezione. Ancora più che in altri ambiti, appare qui fondamentale l’immediatezza di reazione e di risposta all’incidente. Conseguentemente, l’interlocuzione da stabilire tra il soggetto colpito e il CSIRT-Italia – struttura interna all’Agenzia – non può che conformarsi a criteri e dettami operativi di estrema sollecitudine, in grado di assicurare rapidità e precisione di intervento. Sono perciò imprescindibili la preventiva e puntuale conoscenza, da parte dell’Agenzia, delle strutture digitali impattate nonché di coloro che ne hanno la piena responsabilità e che, per questo, sono chiamati a dialogare e a collaborare, a incidente avvenuto, con il CSIRT-Italia. Prima con una direttiva del Presidente del Consiglio dei Ministri del dicembre 2023, in seguito con una norma di legge che ne ha in parte replicato i contenuti immettendoli nell’ordinamento giuridico nazionale, si è particolarmente insistito sulla necessità – proprio a cominciare dalle Amministrazioni del Perimetro – di affinare e rafforzare gli aspetti collaborativi sollecitando gli attori pubblici a predisporre o ad aggiornare, ove esistenti, i piani di risposta e di gestione degli incidenti e, in caso di impatto, a prestare agli operatori dell’Agenzia la massima cooperazione perché il ripristino della piena funzionalità della parte digitale compromessa avvenga nel più breve tempo possibile. L’attività di sostegno e di supporto, insomma, è tanto più destinata al successo quanto più il soggetto, nei cui confronti tale attività si dispiega e viene prestata, si dispone ad accoglierla, conferendo ogni necessaria informazione sull’organizzazione di cybersecurity, anche con riguardo a terze parti coinvolte.
Ora, ma qui il discorso per ragione evidenti di brevità non può essere fatto che per larghi cenni, l’avvento della direttiva NIS2 – il decreto traspositivo è recente ed entrerà in vigore il prossimo 16 ottobre – comporterà un gravoso impegno volto al rafforzamento della postura di cybersicurezza in molti settori, compresi quelli ora coperti dalla disciplina del Perimetro. Si tratterà di vedere se, proprio in ragione di questo ampio ombrello protettivo rappresentato dalla nuova disciplina NIS, non sia forse più che opportuno riconsiderare la configurazione e l’attuale estensione del Perimetro, affinché la sicurezza nazionale digitale sia ancor meglio precisata e definita, venendo in tal modo a rappresentare pienamente quell’ideale “cassaforte” in cui riporre e custodire i “gioielli della corona”. E questo anche al fine di stabilire la più conveniente reciprocità tra sistema-Perimetro e sistema-NIS, da considerare più su un piano di integrazione che non di pura e semplice alternatività.
Si è detto prima che la difesa della sovranità digitale passa dalla capacità di garantire la sicurezza nazionale impedendo forme di ingerenza che possano condurre alla perdita di controllo dei dati o della tecnologia di asset strategici.
Da questo punto di vista, vale soffermarsi su due profili d’ingaggio dell’Agenzia che, seppure sotto angolature diverse, sono tuttavia entrambi dimostrativi dell’assunto accennato in premessa, circa la conciliabilità della sovranità digitale nazionale con quella europea; nel senso che non è che l’una debba cedere il passo all’altra, avendo smarrito, in qualche modo, il presupposto del suo esercizio, ma nel senso che la prima rappresenti il mattone, lo strato di sicurezza digitale su cui, appunto, la seconda possa ben fondarsi. L’ascesa verso la dimensione sovranazionale non può e non deve corrispondere al “sacrificio” di quella nazionale, né alla sua obliterazione: Paesi europei più deboli e meno garanti della loro sicurezza nello spazio virtuale potrebbero solo concorrere a mantenere l’Europa in una condizione di maggiore fragilità e vulnerabilità, oltre a renderla meno presente e influente nel contesto globale. Prendiamo ad esempio, in questa direttrice, lo sforzo compiuto per sostenere la transizione al cloud delle Amministrazioni pubbliche centrali e territoriali, che ha visto l’Agenzia impegnata nella qualificazione del Polo Strategico Nazionale, la prima struttura cloud del Paese ad essere stata certificata al massimo livello di sicurezza, quindi, in grado di ospitare qualsivoglia tipo di dati, compresi quelli strategici, in quanto tali rilevanti per la sicurezza nazionale. Mi riferisco anche, rimanendo in questo ambito, all’approvazione recente dello schema nazionale di certificazione delle piattaforme cloud, che precorre la definizione e il varo dello schema europeo. Qui la costruzione di un modello normativo per il mercato digitale unionale che ne eviti la frantumazione interna si misura sì con l’esigenza di promuovere, nel gioco competitivo, l’autonomia tecnologica continentale, ma, altresì e soprattutto, con la necessità di assicurare il pieno controllo dei dati, senza distinzioni o eccezioni di sorta, presupposto perché si abbia una reale sovranità del patrimonio informativo nazionale, di ciascuna nazione. L’obiettivo di un cloud sovrano europeo non potrà, una volta realizzato, che porsi a servizio, rafforzandola, della sicurezza nazionale dei vari Stati membri; il che conferma che non si sta parlando di istanze diverse e incomunicabili, bensì della stessa istanza, vista, da un lato, nell’interesse della sovranità del singolo Paese, dall’altro, nella prospettiva europea, pertanto, all’interno della strategia di indipendenza tecnologica regionale più volte indicata.
Un ulteriore esempio, tra gli altri possibili, del contributo fornito dall’Agenzia alla difesa della sicurezza nazionale, possiamo trarlo dall’esercizio degli speciali poteri governativi connessi all’applicazione della normativa Golden Power, dopo che essa è venuta a includere tra le attività di rilevanza strategica i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, nonché “beni, rapporti, attività e tecnologie rilevanti ai fini della sicurezza cibernetica”, nel cui novero è incluso anche il cloud.
Per il vero, l’apporto dell’Agenzia alle attività del Gruppo di coordinamento che siede presso la Presidenza del Consiglio dei ministri con il compito di istruire le decisioni del Governo, ha riguardato anche ambiti diversi, stricto sensu, dalla cybersicurezza, e si è esteso, infatti, anche ad altri beni e rapporti ogni qualvolta fossero toccati aspetti legati sensibilmente al digitale, a conferma della natura abilitante della sicurezza informatica e della sua rilevanza trasversale.
Per fornire una misura di tale apporto, nel 2023 l’Agenzia ha espresso il suo parere, contribuendo anche alla decisione di esercizio dei poteri di veto, in circa il 30 per cento delle notifiche presentate ai sensi della normativa Golden Power. Percentuale che è cresciuta nell’anno in corso, riguardando, allo stato attuale, quasi la metà delle notifiche.
In uno specifico caso trattato nel corso di quest’anno – un’operazione acquisitiva che interessava il settore finanziario-, l’Agenzia ha chiesto che tra le prescrizioni vincolanti figurasse anche quella relativa alla conservazione delle misure organizzative adottate dalla società target, incluso il mantenimento della localizzazione del patrimonio informativo sul territorio nazionale, o comunque europeo, a tutela della riservatezza, della sicurezza e del controllo dei dati, classificati come sensibili.
L’estensione della disciplina sul controllo dell’acquisizione di asset strategici anche al settore cyber ha spostato il focus sull’approvvigionamento di beni e servizi in quanto risultino oggetto di determinati contratti e solo se le controparti contrattuali siano fornitori extraeuropei.
In questa scia, si pone anche la recente norma, contenuta nella legge 90 di quest’anno, secondo la quale, con un regolamento presidenziale di prossima adozione, andranno definiti i casi in cui per garantire la sicurezza nazionale dovranno essere privilegiate proposte o offerte che contemplino l’uso di tecnologie di cybersicurezza affidabili. Nel novero di quelle trust la disposizione comprende, naturalmente, le tecnologie italiane, ma vi aggiunge quelle di Paesi appartenenti all’Unione Europea o aderenti alla Nato. Il provvedimento attuativo, inoltre, potrà individuare Paesi terzi con i quali intercorrano con le citate entità e organizzazioni sovranazionali accordi di collaborazione in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione.
La norma stabilisce che, con lo stesso decreto, vengano definiti gli elementi essenziali di cybersicurezza che le pubbliche amministrazioni tenute all’osservanza del CAD devono considerare ai fini dell’approvvigionamento di beni e servizi informatici allorché essi siano impiegati in un contesto d’uso afferente alla tutela di interessi nazionali strategici.
È la stessa norma a chiarire che con la dizione di “elementi essenziali di cybersicurezza” sono da intendersi i criteri e le regole tecniche che nel loro insieme garantiscano, rispetto al rilievo degli interessi da proteggere, la confidenzialità, integrità e disponibilità dei dati da trattare.
Viene ribadita, per questa via, l’istanza rivolta ad affermare nei settori cruciali per la vita e l’integrità del Paese il principio di indipendenza tecnologica e di sovranità del dato.
La minaccia cibernetica è globale ed incrementale, e lo è nel senso sia quantitativo che qualitativo. Gli attacchi dei criminali informatici alle infrastrutture critiche sono in costante aumento, specie nelle aree del mondo economicamente più ricche e dove l’espansione della superficie digitale esposta è più consistente. La minaccia più temuta è rappresentata dal ransomware, duplicemente insidiosa perché compromette gravemente la sicurezza dei dati, la cui esfiltrazione e crittazione è funzionale al ricatto estorsivo, e in misura notevole incrina anche la sicurezza economica. Per tali evidenti ragioni, il fenomeno del ransomware è stato oggetto, con la ricordata legge 90, di un intervento legislativo di rafforzamento della risposta punitiva che ha introdotto severi inasprimenti delle pene. Ma la diffusione mondiale della minaccia e il suo inasprirsi hanno portato alla costituzione di una vasta alleanza internazionale, la Counter Ransomware Iniziative, il cui obiettivo consiste nel definire un piano d’azione condiviso, capace di contrapporsi in maniera coesa al fenomeno senza che alcun punto di permeabilità o di inefficace resistenza possa favorire la catena criminale, e ciò appunto in virtù della sostanziale convergenza delle policy nazionali di contenimento e di risposta. Questa iniziativa, che vede cooperare più di sessanta Paesi, è seguita con grande attenzione dall’Agenzia e rappresenta, accanto alla costante partecipazione ai Tavoli e ai gruppi di lavoro di Bruxelles, una parte significativa quanto rilevante della sua azione a livello internazionale. In questa come in altre forme di cooperazione multilaterale, sembra affacciarsi, anche sulla scena dello spazio virtuale, il principio di sicurezza collettiva, posto a mutua garanzia dell’integrità e dell’indipendenza dei Paesi che liberamente aderiscono ad un vincolo di alleanza.
Certamente il carattere incrementale della minaccia alla sicurezza nazionale è anche legato allo sviluppo delle tecnologie emergenti. Si stagliano, su questo sfondo, la tecnologia quantistica e l’intelligenza artificiale: la natura duale che le accomuna ci consente di dire, tuttavia, che lo sfruttamento positivo di entrambe può alimentare e rafforzare, rendere più incisiva ed efficace la risposta alla minaccia. È questo il campo di impegno più prospettico a cui corrisponderà una modificazione strutturale e anche operativa dell’Agenzia, prefigurata dalla creazione, prevista dalla legge 90, del Centro nazionale di Crittografia e dall’impiego, all’interno del nostro Organismo, di personale militare anche funzionale al disimpegno, nell’ambito del Nucleo di sicurezza cibernetica, dei compiti discendenti in materia di cyberdefence dal Memorandum d’Intesa sottoscritto con la NATO.
L’integrazione tra la componente civile e quella militare va perseguita e attuata convintamente, in considerazione della natura della minaccia e della sua offensività multidominio. Proprio per tale carattere, per la “fluidità” dei contesti in cui agisce e la sua a-territorialità, essa da sempre si connota come minaccia ibrida, con potenziali effetti di tipo sistemico.
In presenza di un siffatto scenario, sarebbe impossibile, ma soprattutto sbagliato, pensare in maniera non olistica alla sicurezza nazionale cibernetica, cioè in una maniera che non considerasse, con la dovuta attenzione, le esigenze della più stretta cooperazione tra tutte le strutture, comprese quelle dell’intelligence, deputate a tale forma di sicurezza del Paese. Ovviamente, ciascuna operante nel rispetto del proprio ruolo e secondo la propria missione.
***
English translation:
The following text reports the speech by Bruno Frattasi, Director of the Cybersecurity Agency, given at the collateral event to the G7, on ‘Virtual Space. Le Garanzie di Giurisdizione nella Resilienza e nella Difesa della Sicurezza Nazionale’, which took place on 11-12 October at the Vittorio Occorsio Foundation, Presidency of the Council of Ministers.
A brief but necessary introduction. Looking at the latest developments in the speculative debate on the definition of national security, precisely on its contents and limits, the current dramatic climate of belligerence has had a strong influence. For some time now, aspects concerning the preservation and stability of certain assets and interests, especially public ones, have been brought back to national security and made part of it, according to a vision that is excessively broad and, for this reason, such as to distort the authentic essence of the concept.
There is no doubt, however, that whatever the configuration of the concept of national security that we assume, the cyber dimension, which has come to be added to the political-institutional, economic-financial and energy dimensions, occupies an ever-increasing weight within it. All of them, each and as a whole, concern and call into question the safeguarding of the national political community, with the common goal of protecting citizens, institutions and businesses from any attempt at interference, interference or pressure, whether internal or external, that might even compromise the continuity of the country’s life, undermining its freedom and self-determination.
The same terms, with a strong reference to the essential functions of the State, are also expressed in Article 1 of the law that established the National Cyber Security Perimeter five years ago.
It seems evident, therefore, that national security is interpenetrated with the principle of sovereignty, understood in the classical sense of plenitudo potestatis; so that national security, in virtual space, is presented – first and foremost – as a predicate of national digital sovereignty.
But we are dealing, and have been for some time, with another form of digital sovereignty, the European one. An ‘imaginative and highly evocative expression’ that goes back to President Von der Layen’s State of the Union address in 2020.
As has been noted, this expression – European digital sovereignty – contains a political and not a legal statement, it indicates a goal to strive for and does not describe an already acquired and consolidated state of affairs. Above all, it is inscribed in a logic of competition and confrontation between global powers in which the national dimension is inevitably transcended, overlapped, but, as I will try to clarify, by no means obliterated or eclipsed; so that even in this form, the supranational European one, digital sovereignty still remains linked to national security, although it acquires a richness and a strength that go beyond the domestic dimension alone, and which cannot be drawn on except in the context of the Union.
My speech is aimed at illustrating, also by means of brief examples, how the Agency places itself at the service of national security, whether this remains functional to the affirmation of national digital sovereignty, or whether it is placed within the horizon of European digital sovereignty.
The Agency’s contribution to national security has its secure anchorage in the above-mentioned law establishing the Cyber National Security Perimeter. As we know, it was conceived and implemented to delimit – in the absence of a clear address in the first NIS directive – IT structures and surfaces (networks, systems and services) necessarily to be protected according to the highest standards of technological security, defined (and here the clarification is not a negligible form of legislator’s acumen) ‘at international and EU level’.
The Agency’s activity is expressed here in a number of substantial moments:
i) the first, consists in its participation in the process of defining, subjectively and objectively, the Perimeter; a participation that takes place by assuming a central role that is also declined in a function of coordination, according to the plot that the same provisions of the founding law of the Agency have been charged with bringing to light after the introduction of the Perimeter, and taking care to establish the appropriate links between the two bodies of legislation. Incidentally, wishing to carve out its coordinating role with greater incisiveness, it is here the case to recall what the Agency ordered in the aftermath of the outbreak of the Russian-Ukrainian conflict, when, in implementation of an urgent regulatory provision, issued in that climate ordered all public administrations to follow a criterion of necessary diversification in the procurement of protection devices, in order to avoid forms of technological dependence that could have inappropriately exposed our digital surface to cyber risks and compromised national security itself;
ii) another moment in which the peculiar function of the Agency is expressed with respect to the subjects as well as to the goods and services included in the Perimeter, concerns the activity of the National Assessment and Certification Centre, whose activity takes the form, of cases of particular complexity, of technological scrutiny of ICT goods, systems and services intended to be used in that part of the information surface included in the Perimeter, with the further consequence that the assessment, previously carried out, on the reliability of the new assets must also take into account the context of use, i.e. their scope of use, as the rule clearly clarifies. Conditions and prescriptions may result from the scrutiny, which is then transfused into the procurement procedures of the entities belonging to the constituency of the Perimeter and form the subject of binding clauses included in the calls for tenders so that the absolute respect of the indications given by the Agency is guaranteed;
(iii) the protection of the National Cyber Security Perimeter is also embodied in the setting of very tight deadlines within which the entities included therein are obliged to notify the Agency of the impacts suffered by the part of the digital surface subject to such special protection. Even more than in other areas, the immediacy of reaction and response to the incident appears fundamental here. Consequently, the interlocution to be established between the affected subject and the CSIRT-Italy – the Agency’s internal structure – cannot but conform to criteria and operational dictates of extreme promptness, capable of ensuring rapidity and precision of intervention. Therefore, the Agency’s prior and punctual knowledge of the impacted digital structures, as well as of those who have full responsibility for them and who, for this reason, are called upon to dialogue and cooperate, once the incident has occurred, with CSIRT-Italy, is essential. First with a directive issued by the Prime Minister in December 2023, and later with a law that partly replicated its contents by introducing them into the national legal system, particular emphasis was placed on the need – starting with the Perimeter Administrations – to refine and strengthen the collaborative aspects by urging public actors to prepare or update where they exist, incident response and management plans and, in case of an impact, to provide the Agency’s operators with maximum cooperation so that the restoration of full functionality of the compromised digital part takes place in the shortest possible time. The support and backup activity, in short, is all the more destined to succeed the more the subject, towards whom such activity is deployed and provided, is willing to accept it, giving any necessary information on the cybersecurity organisation, also with regard to third parties involved.
Now, but here the issue for obvious reasons of brevity can only be made in broad strokes, the advent of the NIS2 directive – the transposing decree is recent and will enter into force on 16 October next – will entail a heavy commitment to strengthening the cybersecurity posture in many sectors, including those now covered by the Perimeter discipline. It will be a question of whether, precisely because of this broad protective umbrella represented by the new NIS framework, it might not be more than appropriate to reconsider the configuration and current scope of the Perimeter, so that national digital security is even better specified and defined, thus coming to fully represent that ideal ‘safe’ in which to store and guard the ‘crown jewels’. This is also in order to establish the most convenient reciprocity between the perimeter system and the NIS-system, to be considered more on a level of integration than of mere alternation.
It was said earlier that the defence of digital sovereignty passes through the ability to guarantee national security by preventing forms of interference that could lead to the loss of control of data or technology of strategic assets.
From this point of view, it is worth dwelling on two engagement profiles of the Agency which, albeit from different angles, are nonetheless both demonstrative of the assumption mentioned in the introduction, regarding the reconcilability of national digital sovereignty with European sovereignty; in the sense that it is not that one should give way to the other, having somehow lost the prerequisite for its exercise, but in the sense that the former represents the brick, the layer of digital security on which, precisely, the latter can be well founded. The ascent towards the supranational dimension cannot and must not correspond to the ‘sacrifice’ of the national one, nor to its obliteration: weaker European countries and fewer guarantors of their security in the virtual space could only contribute to keeping Europe in a condition of greater fragility and vulnerability, as well as making it less present and influential in the global context. Let us take as an example, in this direction, the effort made to support the transition to the cloud of central and territorial public administrations, which has seen the Agency engaged in the qualification of the National Strategic Hub, the first cloud structure in the country to have been certified at the highest level of security, thus, able to host any type of data, including strategic data, as such relevant to national security. I am also referring here to the recent approval of the national certification scheme for cloud platforms, which precedes the definition and launch of the European scheme. Here the construction of a regulatory model for the EU digital market that avoids its internal fragmentation is indeed measured by the need to promote, in the competitive game, continental technological autonomy, but also, and above all, by the need to ensure full control of data, without distinctions or exceptions of any kind, a prerequisite for a real sovereignty of the national information heritage, of each nation. The objective of a European sovereign cloud cannot, once realised, be other than at the service of the national security of the various member states, strengthening it. This confirms that we are not talking about different and incommunicable demands, but about the same demand, seen, on the one hand, in the interest of the sovereignty of the individual country, and on the other, in the European perspective, therefore, within the strategy of regional technological independence that has been mentioned several times.
A further example, among others possible, of the contribution made by the Agency to the defence of national security can be drawn from the exercise of the special governmental powers connected to the application of theGolden Power regulation, after it came to include among the activities of strategic importance broadband electronic communication services based on 5G technology, as well as ‘goods, relations, activities and technologies relevant to cybersecurity’, in the list of which the cloud is also included.
Actually, the Agency’s contribution to the activities of the Coordination Group, which sits at the Presidency of the Council of Ministers with the task of instructing the Government’s decisions, has also concerned areas other than, stricto sensu, cybersecurity, and has extended, in fact, also to other goods and relations whenever aspects sensibly linked to digital were touched upon, confirming the enabling nature of cybersecurity and its transversal relevance.
To provide a measure of this contribution, in 2023 the Agency expressed its opinion, also contributing to the decision to exercise veto powers, in about 30 per cent of the notifications submitted under the Golden Power legislation. This percentage has increased in the current year, covering, at present, almost half of the notifications.
In one specific case dealt with this year – an acquisitive transaction involving the financial sector – the Agency requested that the binding requirements also include the preservation of the organisational measures adopted by the target company, including the maintenance of the location of the information assets on national, or at least European, territory, to protect the confidentiality, security and control of data, classified as sensitive.
The extension of the regulations on the control of the acquisition of strategic assets also to the cyber sector has shifted the focus to the procurement of goods and services insofar as they are the subject of certain contracts and only if the contractual counterparties are non-European suppliers.
In this direction, there is also the recent provision in this year’s Law 90, according to which a soon-to-be adopted presidential regulation will define the cases in which, in order to guarantee national security, preference will have to be given to proposals or tenders that include the use of trustworthy cybersecurity technologies. In the list of trustworthy technologies, the provision includes, of course, Italian technologies, but adds those of countries belonging to the European Union or adhering to NATO. The implementing provision will also be able to identify third countries with which the above-mentioned supranational entities and organisations have cooperation agreements in the areas of cybersecurity, protection of classified information, research and innovation.
The rule establishes that the same decree will define the essential cybersecurity elements that public administrations required to comply with the CAD must consider when procuring IT goods and services when they are used in a context of use pertaining to the protection of strategic national interests.
It is the same regulation that makes it clear that the term ‘essential elements of cybersecurity’ is to be understood as the criteria and technical rules that together guarantee, with respect to the importance of the interests to be protected, the confidentiality, integrity and availability of the data to be processed.
In this way, the request to affirm the principle of technological independence and data sovereignty in sectors crucial to the life and integrity of the country is reaffirmed.
The cyber threat is global and incremental, and it is so in both the quantitative and qualitative sense. Attacks by cybercriminals on critical infrastructures are steadily increasing, especially in the economically richer parts of the world and where the expansion of the exposed digital surface is more substantial. The most feared threat is represented by ransomware, which is doubly insidious because it seriously compromises data security, the exfiltration and encryption of which is functional to extortion blackmail, and to a considerable extent also undermines economic security. For these obvious reasons, the ransomware phenomenon has been the subject, with the aforementioned Law 90, of a legislative intervention to strengthen the punitive response that has introduced severe tightening of penalties. But the worldwide spread of the threat and its worsening have led to the establishment of a vast international alliance, the Counter Ransomware Initiative, whose goal is to define a shared action plan capable of cohesively countering the phenomenon without any point of permeability or ineffective resistance that might foster the criminal chain, and this precisely by virtue of the substantial convergence of national containment and response policies. This initiative, in which more than sixty countries cooperate, is followed with great attention by the Agency and represents, alongside its constant participation in the Brussels Tables and Working Groups, a significant and relevant part of its action at the international level. In this as in other forms of multilateral cooperation, the principle of collective security seems to be appearing, even on the scene of virtual space, as a mutual guarantee of the integrity and independence of the countries that freely adhere to an alliance bond.
Certainly, the incremental nature of the threat to national security is also linked to the development of emerging technologies. Quantum technology and artificial intelligence stand out against this backdrop: the dual nature that they share allows us to say, however, that the positive exploitation of both can nourish and strengthen, making the response to the threat more incisive and effective. This is the most prospective field of endeavour to which a structural and operational change of the Agency will correspond, prefigured by the creation, provided for by Law 90, of the National Cryptography Centre and by the employment, within our Body, of military personnel also functional to the disengagement, within the Cybersecurity Nucleus, of the tasks deriving in the matter of cyberdefence from the Memorandum of Understanding signed with NATO.
The integration between the civil and military components must be pursued and implemented with conviction, given the nature of the threat and its multi-domain offensiveness. Precisely because of this nature, because of the ‘fluidity’ of the contexts in which it acts and its a-territoriality, it has always been characterised as a hybrid threat, with potential systemic effects.
In the face of such a scenario, it would be impossible, but above all wrong, to think in a non-holistic way about national cyber security, i.e. in a way that did not consider, with due attention, the needs of the closest cooperation between all the structures, including those of the intelligence, deputed to this form of security of the country. Obviously, each operates within its own role and according to its mission.
