MIMIT e Cyber 4.0: il Programma di Cybersecurity Awareness per le PA, un tassello della Strategia Nazionale di Cybersicurezza

Cyber 4.0, 15 Aprile 2024

Il Ministero delle Imprese e del Made in Italy (MIMIT) e Cyber 4.0 insieme per una importante iniziativa di formazione e sensibilizzazione sulla cyber security per i livelli apicali delle Pubbliche Amministrazioni (PA) italiane. 

L’iniziativa, che si inserisce nel quadro di azioni in carico al MIMIT nel contesto della Strategia Nazionale di Cybersicurezza, punta a fornire nozioni di base sul quadro delle minacce cyber nazionali e internazionali, sugli aspetti normativi, regolamentari e di policy, sulle buone pratiche di gestione del rischio, sia delle rispettive organizzazioni che personale, e infine sul quadro più ampio della Strategie e del ruolo che il Ministero di riferimento ha.

I corsi sono stati avviati nel 2023, con un ciclo di seminari rivolti ai Direttori Generali del MIMIT, co-disegnato ed erogato da Cyber 4.0 e alcuni dei suoi soci accademici (Università Sapienza e Luiss), e con la partecipazione dell’Agenzia di Cybersicurezza Nazionale (ACN). 

L’interesse suscitato da questa prima realizzazione ha portato altre Amministrazioni Pubbliche a richiedere lo sviluppo e l’erogazione di analoghi percorsi formativi per i propri vertici, con l’obiettivo di promuovere conoscenze e competenze di base in materia di cybersecurity presso le rispettive direzioni generali. 

In coordinamento con il MIMIT, il Centro ha quindi sviluppato, a partire dal mese di aprile 2024, un programma formativo esteso che vede già coinvolte alcune PA centrali:

• il Ministero dell’Interno, e in particolare il Corpo Nazionale dei Vigili del Fuoco, nel mese di Aprile;
• il Ministero dell’Economia e delle Finanze, e in particolare la Ragioneria Generale dello Stato, a Maggio;
• il Ministero dell’Ambiente e della Sicurezza Energetica, nel mese di Giugno.

Altre Amministrazioni seguiranno nei mesi successivi, a testimonianza di una consapevolezza sempre più diffusa, anche a livelli apicali, dei rischi connessi all’incremento della minaccia cibernetica nel panorama nazionale e internazionale, e della conseguente proliferazione normativa a livello europeo.

In particolare, l’Italia nel 2022 ha registrato un incremento degli attacchi cibernetici del 169% rispetto all’anno precedente, confermando anche nel 2023 un ulteriore incremento del 65%. 

Simili tendenze sono state riscontrate anche presso gli altri stati membri dell’Unione Europea, rendendo urgente una risposta congiunta al problema. A partire dall’anno corrente, il programma normativo europeo in ambito cybersecurity prevede un’agenda serrata che vedrà l’entrata in vigore di diverse direttive e regolamenti. 

Questo scenario in continua evoluzione, aggravato da fattori esogeni come le tensioni geopolitiche e la spinta verso una digitalizzazione pervasiva, implica un sempre maggiore coinvolgimento delle istituzioni pubbliche. 

Queste saranno infatti chiamate a svolgere un ruolo fondamentale di coordinamento, non solo in adempimento passivo delle normative europee, ma anche in risposta agli incarichi diretti previsti dalla Strategia Nazionale di Cybersicurezza.

È dunque sempre più necessario definire un programma di formazione e sensibilizzazione coordinato a livello di Sistema Paese che sia in grado di fornire in tempi brevi un supporto pratico alle Pubbliche Amministrazioni. L’iniziativa promossa dal MIMIT, e co-organizzata da Cyber 4.0, si pone come principale obiettivo proprio quello di rispondere questa esigenza, promuovendo un processo top-down di sensibilizzazione a partire dalle direzioni generali.

Coprendo argomenti che spaziano dalle principali minacce cibernetiche al quadro normativo di riferimento, dalla gestione del rischio cyber ai principi di cyber hygiene, il ciclo di seminari propone un programma di capacity building e upskilling volto ad accrescere le conoscenze e la consapevolezza dei direttori generali in ambiti specifici della cybersecurity. Un focus particolare sarà dedicato al ruolo specifico che le amministrazioni coinvolte saranno chiamate a svolgere nel contesto degli adeguamenti normativi e all’interno della Strategia Nazionale di Cybersicurezza. 

Tra gli aspetti più rilevanti, alcune tematiche come gli adempimenti relativi alla Direttiva “Network and Information Security 2” (NIS-2) e al “Perimetro di Sicurezza Nazionale Cibernetica” (PSNC), riguarderanno trasversalmente tutte la amministrazioni coinvolte. Mentre approfondimenti specifici saranno dedicati, all’interno dei singoli corsi, a direttive e norme di settore come il “Digital Operational Resilience Act” (DORA), il “Cyber Resilience Act” (CRA), “l’Artificial Intelligence Act” (AI Act) e la Direttiva “Critical Entities Resilience” (CER).