AGENZIA DELLA CYBERSECURITY NAZIONALE

SEZIONE CENTRALE DI CONTROLLO

SULLA GESTIONE DELLE AMMINISTRAZIONI DELLO STATO

AGENZIA DELLA CYBERSECURITY NAZIONALE

Deliberazione 14 luglio 2022, n. 31/2022/G

SEZIONE CENTRALE DI CONTROLLO

SULLA GESTIONE DELLE AMMINISTRAZIONI DELLO STATO

AGENZIA DELLA CYBERSECURITY NAZIONALE

Relatore

Pres. Xxxxx XXXXXXX

Hanno collaborato per l’istruttoria e l’elaborazione dei dati: dott.ssa Xxxxxx Xxxx, xxxx. Xxxxx

Xxxxx.

SOMMARIO

Pag.

Deliberazione 7

* * *

Rapporto 13

1. Agenzia per la cybersecurity nazionale 15

1.1 Quadro di riferimento normativo e organizzativo 16

1.2 Direttiva (UE) 2016/1148 del 6 luglio 2016 18

1.3 Perimetro di Sicurezza Cibernetica 20

1.4 Il Sistema di informazione per la sicurezza della Repubblica 21

1.5 Agenzia per la Cybersicurezza Nazionale 23

2. Il Piano nazionale di Ripresa e Resilienza (PNRR): la rilevanza dell’asse

strategico “Digitalizzazione e innovazione” 26

3. Amministrazione titolare e soggetto attuatore nell’ambito della realizzazione

della misura 36

4. Accordo ai sensi dell’art, 5, comma 6, del D.lgs. n. 50/2016 37

5. Strategia nazionale di Cybersicurezza 2020-2026 e relativo piano

di implementazione 39

6. Risorse finanziarie assegnate e impiegate 44

7. Attività gestoria svolta o da svolgere e le procedure da utilizzare o eseguite 55

8. Conclusioni e raccomandazioni 61

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

DELIBERAZIONE

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Deliberazione n. 31/2022/G

SEZIONE CENTRALE DI CONTROLLO

SULLA GESTIONE DELLE AMMINISTRAZIONI DELLO STATO

I Collegio

Camera di consiglio del 28 giugno 2022 Presieduta dal Presidente Xxxxx XXXXXXX

Composta dai magistrati:

Presidente della Sezione: Xxxxx XXXXXXX

Consiglieri: Xxxxxx Xxxxx Xxxxxxx X’XXXXX, Xxxxxxx XXXXXXXXX, Xxxxx XXXXXX, Xxxxx

XXXXXX, Xxxxx XXXXXXX;

Referendari: Xxxxxxx XXXXXXXXXX, Xxxxxx XXXXXXXX.

* * *

Visto l’art. 100, comma 2, Cost.;

vista la legge 14 gennaio 1994, n. 20 e, in particolare, l’art. 3, comma 4, ai sensi del quale la Corte dei conti svolge il controllo sulla gestione delle amministrazioni pubbliche verificando la corrispondenza dei risultati dell’attività amministrativa agli obiettivi stabiliti dalla legge e valutando comparativamente costi, modi e tempi dello svolgimento dell’azione amministrativa;

visto l’art. 7, c. 7, d.l. 31 maggio 2021, n. 77, convertito dalla l. 29 luglio 2021, n. 108, in base al quale “la Corte dei conti esercita il controllo sulla gestione di cui all’art. 3, c. 4, l. 14 gennaio 1994, n. 20, svolgendo in particolare valutazioni di economicità, efficienza ed efficacia circa l’acquisizione e l’impiego delle risorse finanziarie provenienti dai fondi di cui al PNRR”;

vista la deliberazione della Sezione 1° marzo 2022, n. 3/2022/G, con la quale è stato approvato il documento concernente il “Quadro programmatico dei controlli sulla gestione delle Amministrazioni dello Stato per l’anno 2022 e nel contesto triennale 2022-2024”;

visto il rapporto, presentato dal Presidente Xxxxx XXXXXXX, che illustra gli esiti

dell’intervento PNRR avente a oggetto “Agenzia della Cybersecurity nazionale”;

visto il decreto-legge 24 marzo 2022, n. 24 “Disposizioni urgenti per il superamento delle misure di contrasto alla diffusione dell’epidemia da COVID-19, in conseguenza della cessazione dello stato di emergenza”;

visti i decreti n. 2/2020 e n. 3/2020 e successive integrazioni e modificazioni del Presidente della Sezione con cui i Magistrati assegnati alla Sezione medesima sono stati ripartiti tra i diversi collegi;

visto il decreto n. 3/2022 con cui i Magistrati sono assegnati a tutti i collegi;

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

vista l’ordinanza n. 23/2022 prot. n. 1892 del 23 giugno 2022, con la quale il Presidente della Sezione ha convocato il I Collegio per la camera di consiglio del 28 giugno 2022, al fine della pronuncia sulla gestione in argomento;

vista la nota n. 1918 del 24 giugno 2022, in attuazione della succitata ordinanza presidenziale n. 23/2022, con la quale il Servizio di segreteria per le adunanze ha trasmesso il relativo rapporto alle seguenti amministrazioni:

Presidenza Consiglio dei ministri:

- Segretariato generale;

- Segreteria tecnica del PNRR;

- Agenzia per la Cybersicurezza nazionale – Dipartimento per la trasformazione digitale;

- Direttore generale;

Ministero dell’economia e delle finanze

- Ufficio di Gabinetto del ministro;

- Dipartimento della Ragioneria Generale dello Stato; Udito il relatore, Presidente Xxxxx XXXXXXX;

DELIBERA

di approvare, con le indicazioni formulate in sede di camera di consiglio, il rapporto avente a oggetto “Agenzia della Cybersecurity nazionale”;

La presente deliberazione e l’unito rapporto saranno inviati, a cura della Segreteria della Sezione, alla Presidenza del Senato della Repubblica e alla Presidenza della Camera dei deputati, alla Presidenza del Consiglio dei ministri, alla Presidenza della Commissione Bilancio del Senato della Repubblica, alla Presidenza della Commissione Bilancio della Camera dei deputati, Ministro dell’economia e delle finanze, nonché alle seguenti amministrazioni:

Presidenza Consiglio dei ministri:

- Segretariato generale;

- Segreteria tecnica del PNRR;

- Agenzia per la Cybersicurezza nazionale – Dipartimento per la trasformazione digitale;

- Direttore generale;

Ministero dell’economia e delle finanze

- Ufficio di Gabinetto del ministro;

- Dipartimento della Ragioneria Generale dello Stato.

Le amministrazioni interessate comunicheranno alla Corte e al Parlamento, entro quattro mesi dalla data di ricevimento del presente rapporto, le misure consequenziali adottate ai sensi dell’art. 3, c. 6, l. 14 gennaio 1994, n. 20, come modificato dall’art. 1, c. 172, l.

23 dicembre 2005, n. 266 (legge finanziaria 2006).

Le medesime, ove ritengano di non ottemperare ai rilievi formulati, adotteranno, entro trenta giorni dalla ricezione del presente rapporto, l’eventuale provvedimento motivato previsto dall’art. 3, c. 64, l. 24 dicembre 2007, n. 244.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

La presente deliberazione è soggetta a obbligo di pubblicazione, ai sensi dell’art. 31 d.lgs. 14 marzo 2013, n. 33 (concernente il “Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni”).

Il presente rapporto è inviato, altresì, alle Sezioni Riunite in sede di controllo.

Il Presidente Relatore Xxxxx Xxxxxxx x.xx digitalmente

Depositata in segreteria il 14 luglio 2022

Il Dirigente Dott.ssa Xxxxx Xxxxx Xxxxx

x.xx digitalmente

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

RAPPORTO

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

AGENZIA DELLA CYBERSECURITY NAZIONALE

Sommario: 1. Agenzia della cybersecurity nazionale. - 1.1 Quadro di riferimento normativo e organizzativo. – 1.2 Direttiva (UE) 2016/1148 del 6 luglio 2016. – 1.3 Perimetro di Sicurezza Cibernetica.

– 1.4 Il Sistema di informazione per la sicurezza della Repubblica. – 1.5 Agenzia per la Cybersicurezza Nazionale. – 2. Il Piano nazionale di Ripresa e Resilienza (Pnrr): la rilevanza dell’asse strategico “Digitalizzazione e innovazione.” – 3. Amministrazione titolare e soggetto attuatore nell’ambito della realizzazione della misura. – 4. Accordo ai sensi dell’art. 5, comma 6, del d.lgs. n. 50/2016. – 5. Strategia nazionale di Cybersicurezza 2020-2026 e relativo piano di implementazione. – 6. Risorse finanziarie assegnate e impiegate. – 7. Attività gestoria svolta o da svolgere e le procedure da utilizzare o eseguite.

– 8. Conclusioni e raccomandazioni.

1. Agenzia della cybersecurity nazionale

La Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato ha adottato, con deliberazione n. 3, del 1° marzo 2022, il programma annuale e i criteri di riferimento delle attività che la Sezione stessa si propone di svolgere nel 2022 e nel contesto triennale 2022-2024, nel cui ambito si inserisce l’esame dell’investimento M1C1 – 1.5 del PNRR, sulla “Cybersecurity”, il cui sindacato questa Corte è chiamata a svolgere ai sensi dell’art. 7, comma 7, del decreto-legge n. 77, del 31 maggio 2021,

convertito dalla legge 29 luglio 2021, n. 108.

L’obiettivo sotteso a tale investimento è volto a rafforzare principalmente la difesa nazionale contro i rischi derivanti dalla criminalità informatica, a partire dall’attuazione di un “Perimetro di sicurezza nazionale cibernetica (PNSC)”, in linea con i requisiti di sicurezza della Direttiva (UE) 2016/1148 sulla sicurezza delle reti e dei sistemi informatici, nonché tramite il rafforzamento delle capacità tecniche nazionali delle difese cyber in materia di valutazione e audit continuo del rischio.

In tale ambito l’Agenzia per la Cybersicurezza Nazionale, istituita con decreto-legge 14 giugno 2021, n. 82, ha assunto le funzioni già attribuite al DIS, in particolare in materia di sicurezza delle reti e dei sistemi informativi e di perimetro di sicurezza nazionale cibernetica, ed è stata individuata quale soggetto attuatore dell’investimento ai sensi dell’art. 9, comma 1, del citato decreto-legge n. 77 del 2021. L’Amministrazione titolare delle risorse dell’investimento in esame si rinviene nel Dipartimento per la

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

trasformazione digitale – Presidenza del Consiglio dei ministri, che opera ai sensi del decreto del Presidente del Consiglio dei ministri del 15 marzo 2021.

Al fine di addivenire ad una fattiva collaborazione tra il Dipartimento per la trasformazione digitale e l’Agenzia per la Cybersicurezza nazionale, volta alla realizzazione dell’investimento 1.5 sulla “Cybersecurity”, è stata ravvisata la necessità di stipulare tra le parti coinvolte, ai sensi dell’art. 5, comma 6, del d.lgs. 50/2016, un Accordo, corredato da un documento – Piano Operativo – predisposto dalla stessa Agenzia e volto a descrivere compiutamente le fasi delle attività progettuali necessarie ai fini dell’attuazione dell’intervento in oggetto.

1.1 Quadro di riferimento normativo e organizzativo nazionale e comunitario

L’apparato di intelligence nazionale ha subito un profondo processo di riforma negli ultimi quindici anni, a fronte di un mutato contesto sociale-nazionale e politico- internazionale e dettato, parimenti, dalla necessità di rispondere alle nuove sfide economiche, cyber ed energetiche che richiedono rinnovati strumenti operativi e nuove professionalità.

Si aggiunga che la acclarata esposizione alle minacce cibernetiche, che negli ultimi anni sono aumentate in modo esponenziale, ha fatto emergere l’esigenza di avvalersi in tempi celeri di più stringenti meccanismi di tutela. Misure tese, altresì, a garantire infrastrutture cloud sicure e centri dati con elevati standard di qualità nell’ambito di una crescente interoperabilità e condivisione delle informazioni.

Inoltre, le mutate modalità di svolgimento delle attività lavorative sia a livello sanitario che economico e sociale indotte dall’insorgere dello stato pandemico da Covid-19 ha reso ancora più urgente e più attuale la necessità di difendersi dagli attacchi informatici, conferendo alla materia della cybersecurity maggiore dignità e inducendo il legislatore ad una presa di coscienza sul fondamentale ruolo di rilevanza strategica ed operativa che la stessa riveste sia a livello nazionale che internazionale.

Nell’ambito della sicurezza informatica, una rappresentazione dello stato in cui versa attualmente il nostro Paese si evince dal Rapporto Clusit 2021 (Associazione

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

italiana per la sicurezza informatica)1, i cui dati rilevano che “Nell’anno della pandemia si registra il record negativo degli attacchi informatici…”; il Rapporto Clusit 2022, inoltre, mette in luce un aumento considerevole degli attacchi informatici anche in Italia da parte dei cyber criminali con modalità sempre più sofisticate, andando a colpire in particolare i settori di Finance/Insurance e la Pubblica Amministrazione (obiettivi che insieme costituiscono circa il 50% dei casi), unitamente a quello dell’industria, che presenta l’aumento più significativo (dal 7% del 2020 al 18% del 2021).

In tale contesto si deve necessariamente menzionare anche la Relazione sulla politica dell’informazione per la sicurezza della Repubblica relativa all’anno 2021, redatta dal Comparto intelligence ai sensi della legge sul Sistema di informazione per la sicurezza della Repubblica, n. 124, del 3 agosto del 2007. Nel documento si evidenzia che gli “Organismi informativi sono stati chiamati a misurarsi con sfide globali suscettibili di ridefinire la nozione stessa di sicurezza nazionale, nel contestuale, incessante ridisegnarsi del perimetro al cui interno la comunità intelligence nazionale opera a tutela degli interessi politici, militari, economici, scientifici e industriali della Nazione”. La ripresa economica, registrata a livello mondiale dopo la grave crisi del 2020, e che vede l’Italia all’avanguardia tra i Paesi europei, richiede necessariamente il costante impegno anche dell’intelligence “per garantirne continuità e solidità, preservando adeguatamente le precondizioni essenziali dello sviluppo in una cornice di sostenibilità e di coesione sociale che ancori saldamente la crescita e la stabilità finanziaria del Paese alla ripresa internazionale”.

A fronte di tale panorama, negli ultimi anni l’Italia si è attivata per rendere

maggiormente efficaci le difese di tutte le strutture più sensibili agli attacchi cyber

1 Il Clusit, nato nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano, è la più numerosa ed autorevole associazione italiana nel campo della sicurezza informatica. Oggi rappresenta oltre 500 organizzazioni, appartenenti a tutti i settori del Sistema-Paese. Gli obiettivi: diffondere la cultura della sicurezza informatica presso le Aziende, la Pubblica Amministrazione e i cittadini. • Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la sicurezza informatica, sia a livello nazionale che europeo. • Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle diverse figure professionali operanti nel settore della sicurezza. • Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza delle varie realtà. In ambito nazionale, Clusit opera in collaborazione con: Presidenza del Consiglio, Ministero dell’interno, Ministero della giustizia, Ministero della difesa, Ministero dell’economia e delle finanze, Banca d’Italia, Ministero dello sviluppo economico, Ministero per i beni e le attività culturali e il turismo, Presidenza della Repubblica, Polizia postale e delle comunicazioni, Arma dei Carabinieri e Guardia di Finanza, Agenzia per l’Italia Digitale, Autorità Garante per la tutela dei dati personali, Autorità per le Garanzie nelle comunicazioni, università e centri di ricerca, Associazioni professionali e Associazioni dei consumatori, Confindustria e Confcommercio - xxxxx://xxxxxx.xx/xxx-xxxxx/

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

attraverso la costituzione sia del “Perimetro di Sicurezza Cibernetica”, che della Agenzia per la Cybersicurezza Nazionale (ACN).

1.2 Direttiva (UE) 2016/1148 del 6 luglio 2016

La Direttiva sulla sicurezza delle reti e dei sistemi informativi (la c.d. direttiva NIS

- Network and Information Security") è il primo atto legislativo sulla sicurezza

informatica approvato dall’Unione Europea.

La direttiva (UE) 2016/1148 del 6 luglio 2016, reca misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione, al fine di conseguire un "livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea". La direttiva è stata recepita nell'ordinamento italiano con il decreto legislativo n. 65 del 18 maggio 2018, che detta quindi la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva NIS.

Si deve sottolineare che nell’attuare la direttiva NIS, il Governo ha optato per un approccio abbastanza soft, limitandosi per lo più ad incorporare nel decreto legislativo NIS quanto già stabilito dalla Direttiva. In seguito all’adozione del decreto in esame, tuttavia, la normativa italiana in materia di cybersecurity è stata rafforzata attraverso l’istituzione del Perimetro di sicurezza nazionale cibernetica ed i decreti attuativi dello stesso.

In ordine alla normativa contenuta nel provvedimento di recepimento della direttiva NIS, si deve evidenziare innanzitutto la previsione di cui all’art. 6 del decreto legislativo, che attribuisce al Presidente del Consiglio dei ministri l'adozione, sentito il Comitato interministeriale per la sicurezza della Repubblica - CISR (il decreto-legge 82/2019 ha sostituito il parere del CISR con quello del CIC), della Strategia nazionale di sicurezza cibernetica per la tutela della sicurezza delle reti e dei sistemi di interesse nazionale. Con la medesima procedura sono adottate linee di indirizzo per l'attuazione della strategia nazionale di sicurezza cibernetica.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Nel decreto legislativo n. 65 del 2018, inoltre, non era prevista una autorità nazionale NIS, ma ciascun Ministero e, per taluni ambiti, ciascuna Regione, era definita autorità competenze NIS per il settore di competenza, mentre “Il Dipartimento delle informazioni per la sicurezza (DIS) è designato quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi”. Solo in seguito, con l’entrata in vigore decreto-legge n. 82 del 2021, la nuova Agenzia per la cybersicurezza nazionale assume la qualifica di Autorità nazionale competente NIS, mentre i singoli Ministeri sono designati quali autorità di settore in base alle rispettive competenze (Ministero dello sviluppo economico, Ministero delle infrastrutture e della mobilità sostenibili, Ministero dell’economia e delle finanze, Ministero della salute, Ministero della transizione ecologica).

L’art. 3, comma 1, lett. d), invece, riconosce come autorità di contrasto l'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione (Polizia postale), al quale è attribuita la competenza ad assicurare i servizi di protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale, operando mediante collegamenti telematici definiti con apposite convenzioni con i responsabili delle strutture interessate.

Nonostante la Direttiva NIS abbia compiuto sforzi significativi verso un cambiamento dell'approccio istituzionale e normativo alla sicurezza informatica dei vari Stati membri, nel corso del tempo sono emerse diverse criticità, acuite certamente dall’intensificarsi della crisi da Covid-19 che, con la rapida trasformazione della società orientata sempre di più ad utilizzare gli strumenti digitali, ha agevolato l’esposizione sempre più pressante alle minacce cyber, che richiedono pertanto risposte adeguate e innovative.

A fronte di tale necessità la Commissione europea ha accelerato la revisione della direttiva, effettuando una valutazione d'impatto e presentando una nuova proposta legislativa, che mira a colmare le carenze della precedente direttiva NIS e ad adattarla, parimenti, alle esigenze attuali.

A tal proposito, recentemente il Parlamento europeo e il Consiglio UE hanno trovato l’accordo sulla direttiva NIS 2 con cui l’Europa punta a raggiungere un più alto livello di cyber security.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

1.3 Perimetro di Sicurezza Cibernetica

Al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, è stato adottato il decreto-legge 21 settembre 2019, n. 105, il quale ha istituito un Perimetro di sicurezza nazionale cibernetica, proprio a fronte del quale l'investimento sulla cybersicurezza previsto dal PNRR è chiamato a dare attuazione alla relativa disciplina, attraverso la creazione e il rafforzamento delle infrastrutture legate alla protezione cibernetica del Paese.

Il decreto-legge n. 105, oltre alla previsione del Perimetro di sicurezza nazionale sancito all’art. 1, prevede una serie di altre misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi alla sicurezza cibernetica. La determinazione puntuale dei soggetti inclusi nel perimetro è affidata ad un atto amministrativo del Presidente del Consiglio ai sensi dell’art. 1, comma 2-bis, così come successivamente stabilito dal decreto-legge n. 162, del 30 dicembre 2019, anziché ad un DPCM, come originariamente previsto dal decreto-legge n. 105.

In attuazione di tali disposizioni il Governo ha adottato il DPCM 30 luglio 2020, n. 131, recante il “Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105”, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133. A seguito della pubblicazione del DPCM è stato adottato, pertanto, un primo elenco dei soggetti inclusi nel perimetro di sicurezza cibernetica (22 dicembre 2020). Successivamente, il 15 giugno 2021, il Presidente del Consiglio, a seguito della proposta formulata dal Comitato interministeriale per la sicurezza della Repubblica (CISR), ha firmato l’aggiornamento dell’elenco dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica. È stato, così, previsto un allargamento dell’ambito di applicazione del perimetro ad ulteriori soggetti pubblici e privati che, complessivamente, esercitano, attraverso reti, sistemi informativi e servizi informatici, 223 funzioni essenziali dello Stato, ovvero erogano servizi essenziali per il mantenimento di attività civili, sociali o economiche

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

strategiche. Allo stesso tempo, si è provveduto ad un affinamento di alcune funzioni e servizi essenziali dello Stato già ricompresi nel Perimetro2.

Da rilevare, infine, che il provvedimento in esame reca quindi un articolato sistema sanzionatorio per i casi di violazione degli obblighi ivi previsti ed individua le autorità competenti all'accertamento delle violazioni e all'irrogazione delle sanzioni (art. 1, commi 9-14, decreto-legge 105/2019).

Occorre citare, in ultimo, l'istituzione della Direzione generale per lo sviluppo della prevenzione e tutela informatiche presso il Dipartimento della pubblica sicurezza del Ministero dell'interno ad opera del decreto-legge n. 34, del 19 maggio 2020 (c.d. decreto Rilancio, art. 240). A tale Direzione generale sono attribuiti le seguenti funzioni:

a) lo sviluppo della prevenzione e tutela informatica e cibernetica (quale struttura per la sicurezza e per la regolarità dei servizi di telecomunicazione, preposta ad assicurare i servizi di protezione informatica e quelli delle infrastrutture critiche informatizzate di interesse nazionale individuate con decreto del Ministro dell'interno, operando mediante collegamenti telematici definiti con apposite convenzioni con i responsabili delle strutture interessate);

b) lo sviluppo delle attività attribuite al Ministero dell'interno in materia di perimetro di sicurezza nazionale cibernetica;

c) l'unità di indirizzo e coordinamento delle attività svolte dalla polizia postale e delle comunicazioni, specialità della Polizia di Stato - e degli altri compiti che costituiscano il completamento di supporto alle attività investigative.

1.4 Il Sistema di informazione per la sicurezza della Repubblica

Il Sistema di informazione per la sicurezza della Repubblica è costituito dal complesso di organi e autorità che hanno il compito di assicurare le attività di informazione per la sicurezza, allo scopo di salvaguardare la Repubblica da ogni pericolo e minaccia proveniente sia dall’interno sia dall’esterno del Paese. Lo stesso è composto dai seguenti organi: Presidente del Consiglio dei ministri, Autorità delegata,

2 Comunicato della Presidenza del Consiglio dei ministri 15 giugno 2021, “Cyber: aggiornato l’elenco dei soggetti del “perimetro di sicurezza cibernetica nazionale”, in xxxxx://xxx.xxxxxxx.xx/xx/xxxxxxxx/xxxxx-xxxxxxxxxx-x- elenco-dei-soggetti-del-perimetro-di-sicurezza-cibernetica-nazionale.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

il Comitato interministeriale per la sicurezza della Repubblica (CISR), il Dipartimento delle informazioni per la sicurezza (DIS), l’Agenzia informazioni e sicurezza esterna (AISE), l’Agenzia informazioni e sicurezza interna (AISI).

Al Presidente del Consiglio dei ministri è affidata l’alta direzione e la responsabilità generale della politica dell’informazione per la sicurezza, nell’interesse e per la difesa della Repubblica e delle sue istituzioni democratiche. Il Presidente del Consiglio dei ministri può delegare le funzioni che non gli sono attribuite in via esclusiva a un’Autorità delegata, la quale fa parte del Comitato interministeriale per la sicurezza della Repubblica e presiede il Collegio di vertice, composto dal Direttore generale del DIS e dai Direttori dell’AISE e AISI.

Per quanto concerne il CISR, invece, ossia il Comitato interministeriale per la sicurezza della Repubblica (CISR), trattasi di un organismo di consulenza, proposta e deliberazione sugli indirizzi e sulle finalità generali della politica dell’informazione per la sicurezza. Il Comitato svolge una serie di attività che consistono sia nel deliberare sulla ripartizione delle risorse finanziarie e sui bilanci preventivi e consuntivi di DIS, AISE e AISI, sia nell’indicare il fabbisogno informativo necessario ai Ministri per svolgere l’attività di governo.

Notevole rilevanza riveste poi il Dipartimento delle informazioni per la sicurezza (DIS), che rappresenta l’organo di cui si avvalgono il Presidente del Consiglio dei ministri e l’Autorità delegata per l’esercizio delle loro funzioni e per assicurare unitarietà nella programmazione della ricerca informativa, nell’analisi e nelle attività operative di AISE e AISI.

Con l’approvazione da parte del Parlamento della legge 7 agosto 2012, n. 133, recante “ Modifiche alla legge 3 agosto 2007, n. 124, concernente il Sistema di informazione per la sicurezza della Repubblica e la disciplina del segreto”, questo ruolo di coordinamento conferito al Dipartimento è stato ulteriormente rafforzato, in particolare per quanto riguarda l’analisi strategica di intelligence e la gestione unitaria delle risorse umane e materiali a disposizione del Comparto, funzioni che sono state espressamente demandate alla responsabilità del Dipartimento stesso.

La succitata legge assegna, altresì, al DIS il coordinamento delle attività informative indirizzate alla protezione delle infrastrutture critiche e dello spazio cibernetico del

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Paese, un settore nel quale il Governo è attivamente impegnato sia sul versante della prevenzione sia su quello della gestione di eventuali atti ostili.

Si devono, infine, menzionare sia l’Agenzia informazioni e sicurezza esterna (AISE), che ha il compito di ricercare ed elaborare tutte le informazioni utili alla difesa dell’indipendenza, dell’integrità e della sicurezza della Repubblica dalle minacce provenienti dall’estero, sia l’Agenzia informazioni e sicurezza interna (AISI), con funzioni volte a ricercare ed elaborare tutte le informazioni utili per difendere la sicurezza interna della Repubblica e le istituzioni democratiche da ogni minaccia, da ogni attività eversiva e da ogni forma di aggressione criminale o terroristica.

1.5 Agenzia per la Cybersicurezza Nazionale

La sicurezza cibernetica è compresa tra i progetti finanziati dal Piano nazionale di ripresa e resilienza (PNRR). L’investimento del Piano, volto alla creazione ed al rafforzamento delle infrastrutture legate alla protezione cibernetica del Paese a partire dalla attuazione della disciplina prevista dal Perimetro di sicurezza nazionale cibernetica, prevede espressamente l’individuazione di un nuovo organismo per la sicurezza informatica nazionale per guidare l’architettura nazionale generale della cybersicurezza: “Nell’ambito delle capacità previste, tale autorità contribuirebbe alla creazione di programmi di accelerazione per le PMI e le start-up in materia di cybersicurezza, alla direzione delle pertinenti attività di ricerca e all’individuazione del punto di contatto”.

Il Decreto-legge 14 giugno 2021, n. 82 recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale” (convertito, con modificazioni, dalla legge 4 agosto 2021, n.109), pertanto, prevede all’art. 5 la nascita dell’Agenzia per la cybersicurezza nazionale (ACN), posta a tutela degli interessi nazionali nel campo della cybersicurezza. L’Agenzia ha personalità giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria.

Tale intervento, nel collocare la nuova Agenzia al di fuori della comunità intelligence nazionale, ha introdotto una linea di demarcazione tra le attività di cyber-

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

intelligence e quelle di cyber-resilience. Mentre le prime sono attribuite, ai sensi della legge 124/2007, così come successivamente modificata dalla legge 133/2012, agli Organismi di informazione e sicurezza, le seconde sono state affidate al nuovo soggetto, verso il quale sono confluiti pure il Nucleo per la Cybersicurezza (prima incardinato nel DIS), luogo di coordinamento e gestione delle crisi cibernetiche nazionali, e il CSIRT-Italia. L’Agenzia, infatti, ha assunto tutte le funzioni della Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica, nonché quelle già attribuite al DIS.

L’Agenzia rappresenta l’Autorità nazionale per la cybersicurezza e opera sotto la responsabilità del Presidente del Consiglio dei ministri e dell’Autorità delegata per la sicurezza della Repubblica e in stretto raccordo con il Sistema di informazione per la sicurezza della Repubblica.

Tra le diverse funzioni intestate all’Agenzia si evidenziano quella volta ad assicurare il coordinamento tra i soggetti pubblici coinvolti nella materia della cybersicurezza, unitamente a quella deputata alla promozione della realizzazione di azioni comuni volte a garantire la sicurezza e la resilienza cibernetica necessarie allo sviluppo digitale del Paese. L’Agenzia ha anche il compito di perseguire il conseguimento dell’autonomia strategica nazionale ed europea nel settore del digitale, in sinergia con il sistema produttivo nazionale, nonché attraverso il coinvolgimento del mondo dell’università e della ricerca. Favorisce, altresì, specifici percorsi formativi per lo sviluppo della forza lavoro nel settore e sostiene campagne di sensibilizzazione oltre che una diffusa cultura della cybersicurezza.

L’Autorità, inoltre, deve contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD).

Da rilevare, infine, il suo ruolo fondamentale nel contribuire allo sviluppo di capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

L’art. 8 del decreto-legge n. 82 del 2021, prevede la costituzione in seno all’Agenzia, in via permanente, del citato Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, in ordine agli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle relative procedure di allertamento.

Si aggiunga, altresì, che il decreto di che trattasi ha introdotto all’art. 4 il Comitato interministeriale per la cybersicurezza (CIC) con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.

Il decreto-legge istitutivo dell’Agenzia, inoltre, attribuisce al Copasir (Comitato parlamentare per la sicurezza della repubblica) alcune specifiche competenze ricalcando sostanzialmente quanto previsto dalla legge n. 124 del 2007 nell’ambito del Sistema di informazione per la sicurezza della Repubblica. A tal proposito, il Presidente del Consiglio e l’ACN sono sottoposti, infatti, ad una serie di oneri informativi che hanno come destinatari il Copasir e le Commissioni parlamentari competenti. In primo luogo, il Presidente del Consiglio informa preventivamente tali destinatari sulle nomine del direttore e del vicedirettore dell’Agenzia (articolo 2, comma 3). Inoltre, l’Agenzia invia al Copasir e alle Commissioni competenti il bilancio consuntivo accompagnato dalla relazione della Corte dei conti (articolo 11, comma 3) e dà tempestiva e motivata comunicazione dei provvedimenti adottati in materia di dotazione organica (articolo 12, comma 5).

In merito alla dotazione massima di personale, si segnala che il provvedimento

istitutivo dell’Agenzia prevede come unità massime previste:

- 8 unità per i dirigenti generali;

- 24 unità per i dirigenti non generali;

- 268 unità per il personale non dirigenziale.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

2. Il Piano nazionale di Ripresa e Resilienza (PNRR): la rilevanza dell’asse strategico “Digitalizzazione e innovazione”

Allo scopo di porre rimedio ai danni economici e sociali causati dall’emergenza sanitaria da coronavirus e di contribuire a gettare le basi per rendere le economie e le società dei Paesi europei più sostenibili, resilienti e preparate alle sfide e alle opportunità della transizione ecologica e digitale, con l’avvio del periodo di programmazione 2021-2027 e il potenziamento mirato del bilancio a lungo termine dell’UE, la Commissione europea, il Parlamento europeo e i leader dell’UE, hanno concordato un piano di ripresa basato su uno strumento finanziario da 750 miliardi di euro (il più grande pacchetto per supportare l’economia mai finanziato dall’UE) denominato Next Generation EU, strumento pensato per stimolare una “…ripresa sostenibile, uniforme, inclusiva ed equa”.

Volta a garantire la possibilità di far fronte ad esigenze impreviste, l’iniziativa della

Commissione europea si presenta strutturata, fondamentalmente, su tre pilastri: 1) Sostegno agli Stati membri per investimenti e riforme; 2) Rilanciare l’economia dell’UE incentivando l’investimento privato; 3) Trarre insegnamento dalla crisi.

Per accedere alle risorse del Next Generation EU gli Stati membri sono stati chiamati a predisporre articolati Piani con indicazione delle relative strategie nei vari settori economici d’intervento e il dettaglio dei progetti e investimenti necessari per darvi attuazione.

In questo contesto si inserisce Il Piano Nazionale di Ripresa e Resilienza (PNRR) strumento che traccia obiettivi, riforme ed investimenti che l’Italia intende realizzare grazie all’utilizzo di tali fondi comunitari, al fine di attenuare l’impatto economico e sociale della pandemia e migliorare l’economia del Paese cercando di renderla maggiormente competitiva, dinamica ed innovativa.

Il Piano, dal valore complessivo di 235 miliardi di euro (tra risorse europee e nazionali), è strutturato in quattro capitoli fondamentali:

Obiettivi generali e strutture del Piano; 2. Riforme e investimenti: a) le riforme b) le missioni 3. Attuazione e monitoraggio 4. Valutazione dell’impatto macroeconomico.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Il Piano si sviluppa intorno a tre assi strategici condivisi a livello europeo: 1.

Innovazione 2. Transizione ecologica 3. Inclusione sociale.

Articolato, inoltre, in sedici Componenti raggruppate in sei Missioni rappresentanti le aree “tematiche” strutturali di intervento: 1)Digitalizzazione, innovazione, competitività, cultura e turismo; 2) Rivoluzione verde e transizione ecologica; 3) Infrastrutture per una mobilità sostenibile; 4) Istruzione e Ricerca; 5) Inclusione e Coesione; 6) Salute, il PNRR italiano è stato presentato, ai sensi dell’art. 18 del regolamento (UE) 2021/2414, alla Commissione Europea in data 30 aprile 2021 e definitivamente approvato con decisione del Consiglio ECOFIN del 13 luglio 2021.

Il PNRR italiano prevede 151 investimenti all’interno delle diverse Componenti delle sei Missioni, che hanno l’obiettivo di rilanciare la produttività del Paese e la crescita dell’economia italiana. Le linee d’intervento del PNRR sono accompagnate da una strategia di riforme che, in linea con le raccomandazioni della Commissione, affrontano le debolezze del Paese sia in ottica strutturale sia ai fini della ripresa del sistema economico e sociale a fronte delle trasformazioni provocate dalla crisi pandemica. Le azioni messe in campo mirano, altresì, a ridurre le perduranti disparità regionali, interregionali e di genere che, di fatto, frenano lo sviluppo dell’economia. Nel PNRR sono previste 63 riforme che del piano sono parte integrante perché fondamentali per l’attuazione degli interventi.

Alla succitata decisione del Consiglio ECOFIN del 13 luglio 2021, è stato allegato un ampio documento in cui vengono definiti, in relazione a ciascun investimento e riforma, precisi obiettivi e traguardi (milestone e target) cadenzati temporalmente, al cui conseguimento si lega l’assegnazione delle risorse su base semestrale.

Relativamente all’oggetto di questo report, rileva il primo asse strategico su cui è sviluppato il PNRR, concernente la digitalizzazione e l’innovazione dei processi, prodotti e servizi, inevitabilmente destinata a divenire un fattore determinante della trasformazione del Paese e a caratterizzare ogni politica di riforma del Piano.

Nel suo ambito, la Missione 1 - Digitalizzazione, innovazione, competitività, cultura e turismo, si pone l’obiettivo di dare un impulso decisivo al rilancio della competitività

4 Regolamento (UE) 2021/241 del Parlamento europeo e del Consiglio del 12 febbraio 2021 che istituisce il dispositivo per la ripresa e la resilienza

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

e della produttività del Sistema Paese, per raggiungere il quale si ritiene necessario un intervento profondo che agisca su elementi chiave del nostro sistema economico come la connettività per cittadini, imprese e pubbliche amministrazioni così da poter rendere maggiormente fruibili dagli stessi cittadini e dal sistema produttivo i servizi di una moderna PA ed, infine, la valorizzazione del patrimonio culturale e turistico, anche in funzione di promozione dell’immagine del Paese.

L’Italia occupa in Europa, come livello di digitalizzazione, una posizione di retroguardia a causa di fattori che includono sia la limitata diffusione di competenze digitali, sia la bassa adozione di tecnologie avanzate; si avverte, pertanto, l’esigenza di produrre un intenso sforzo di digitalizzazione e innovazione, sicuramente centrale in questa Missione, ma che riguarda trasversalmente anche le altre: la digitalizzazione è, infatti, necessità trasversale riguardante il continuo e necessario aggiornamento tecnologico nei processi produttivi, le infrastrutture nel loro complesso, da quelle energetiche a quelle dei trasporti, dove i sistemi di monitoraggio con sensori e piattaforme dati rappresentano un sistema innovativo di gestione in qualità e sicurezza degli asset (Missioni 2 e 3); la scuola, nei programmi didattici, nelle competenze di docenti e studenti, nelle funzioni amministrative, della qualità degli edifici (Missione 4); la sanità, nelle infrastrutture ospedaliere, nei dispositivi medici, nelle competenze e nell’aggiornamento del personale, al fine di garantire il miglior livello di assistenza sanitaria a tutti i cittadini (Missioni 5 e 6).

Gli investimenti delineati nella Missione 1, per effettuare i quali sono stati previste nel PNRR risorse per un totale di 40,29 miliardi di euro sono, pertanto, finalizzati a ridurre tali divari strutturali di competitività, produttività e digitalizzazione con gli altri Paesi europei tramite un approccio unitario in grado di produrre un impatto rilevante sugli investimenti privati e sull’attrattività del Paese, attraverso un insieme articolato d’interventi su Pubblica amministrazione, sistema produttivo, turismo e cultura.

Le linee d’intervento della Missione 1 si sviluppano nelle seguenti tre componenti progettuali:

- M1C1 - digitalizzazione, innovazione e sicurezza nella PA;

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

- M1C2- digitalizzazione, innovazione e competitività nel sistema produttivo;

- M1C3- turismo e cultura 4.0.

ed in una serie d’interventi riguardanti, in particolare, l’innovazione strutturale della

Pubblica Amministrazione e la velocizzazione dei tempi della giustizia.

In sintesi:

la Componente 1 della Missione (M1C1) persegue l’obiettivo di trasformare profondamente la Pubblica Amministrazione attraverso una strategia incentrata sulla digitalizzazione intesa a rendere la Pubblica Amministrazione sempre più efficiente e facilmente accessibile, agendo sia sugli aspetti di “infrastruttura digitale” come, ad esempio, spingendo la migrazione al cloud delle amministrazioni, accelerando l’interoperabilità tra gli enti pubblici e rafforzando le difese di cybersecurity, sia su quelli legati ai servizi ai cittadini, al fine di migliorarne l’accessibilità e adeguando i processi prioritari delle Amministrazioni Centrali agli standard condivisi da tutti gli Stati Membri della UE. La Componente 1 si prefigge, inoltre, il rafforzamento delle competenze del capitale umano nella PA e una drastica semplificazione burocratica.

La Componente 2 della Missione (M1C2) persegue, altresì, l’obiettivo di promuovere l’innovazione e la digitalizzazione del sistema produttivo tramite significativi interventi trasversali ai settori economici come l’incentivo degli investimenti in tecnologia (Transizione 4.0 – con meccanismi che includono l’utilizzo della leva finanziaria per massimizzare le risorse disponibili e l’ampliamento degli investimenti ammissibili), ricerca e sviluppo e l’avvio della riforma del sistema di proprietà industriale.

Infine, con gli investimenti di cui alla Componente 3, s’intende rilanciare i settori economici della cultura e del turismo che, all’interno del sistema produttivo, assumono fondamentale importanza sia in quanto espressione dell’immagine del Paese sia per il relativo peso nell’economia nazionale (il solo turismo rappresenta circa il 12 per cento del Pil).

Una prima linea di azione riguarda interventi di valorizzazione di siti storici e culturali, volti a migliorare capacità attrattiva, sicurezza e accessibilità dei luoghi.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Nella tabella e grafico seguenti vengono evidenziate, per ciascuna componente della Missione in esame, le relative risorse previste per esse nel PNRR.

Missione 1: digitalizzazione, innovazione, competitività, cultura e turismo

Componenti della Missione

Risorse PNRR (mld di euro)

Percentuale sul totale

M1C1 - digitalizzazione, innovazione e sicurezza nella PA

9,72

24,13%

M1C2- digitalizzazione, innovazione e competitività nel sistema produttivo

23,89

59,29%

M1C13- turismo e cultura 4.0

6,68

16,58%

Totale

40,29

100%

Risorse (mld di euro) Componenti Missione 1 del PNRR: DIGITALIZZAZIONE, INNOVAZIONE, COMPETITIVITA', CULTURA E TURISMO

M1C1 - digitalizzazione, innovazione e sicurezza nella PA

M1C2- digitalizzazione, innovazione ecompetitività nel sistema produttivo

M1C13- turismo e cutura 4.0

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Dalla tabella si evidenzia come circa il 60 per cento delle risorse complessivamente previste per la realizzazione degli interventi della Missione, siano attribuite alla Componente 2 - digitalizzazione, innovazione e competitività nel sistema produttivo, mentre alla Componente 1 – digitalizzazione, innovazione e sicurezza nella PA, componente in cui è inserito il progetto di investimento sulla cybersicurezza sono attribuite risorse per 9,72 mld di euro, che rappresentano circa un quarto di quelle totali stanziate per la missione.

Gli obiettivi generali che con l’attuazione dei progetti di tale componente (M1C1) si intendono perseguire possono così essere sintetizzati:

A) Digitalizzare la Pubblica amministrazione italiana con interventi tecnologici ad ampio spettro accompagnati da riforme strutturali:

- Supportare la migrazione al cloud delle Amministrazioni centrali e locali, creando un’infrastruttura nazionale e supportando le amministrazioni nel percorso di trasformazione;

- Garantire la piena interoperabilità tra i dati delle amministrazioni;

- Digitalizzare le procedure/interfacce utente (di cittadini e imprese) chiave e i processi interni più critici delle amministrazioni;

- Offrire servizi digitali allo stato dell’arte per i cittadini (identità, domicilio

digitale, notifiche, pagamenti);

- Rafforzare il perimetro di sicurezza informatica del Paese;

- Rafforzare le competenze digitali di base dei cittadini;

- Innovare l’impianto normativo per velocizzare gli appalti ICT e

incentivare l’interoperabilità da parte delle amministrazioni.

B) Abilitare gli interventi di riforma della PA investendo in competenze e innovazione e semplificando in modo sistematico i procedimenti amministrati (riduzione di tempi e costi).

C) Xxxxxxxxx gli interventi di riforma della giustizia attraverso investimenti nella digitalizzazione e nella gestione del carico pregresso di cause civili e penali.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Di seguito si riportano, in relazione a tali obiettivi, le risorse previste per ciascuno di essi in rapporto al totale dello stanziamento per la Componente 1 della Missione 1 in esame, pari, come detto, a 9,72 miliardi.

M1C1 – DIGITALIZZAZIONE, INNOVAZIONE E SICUREZZA NELLA PA

Ambiti di intervento/Misure

Risorse PNRR (mld di euro)

Percentuale sul totale

1. Digitalizzazione PA (A)

6,14

63,17%

2. Innovazione PA (B)

1,27

13,06%

3 . Innovazione organizzativa del sistema giudiziario (C)

2,31

23,77

Totale

9,72

100%

La quota parte più rilevante viene riservata all’ambito di intervento inerente alla Digitalizzazione della PA. Trattasi di 6,14 miliardi pari al 63,16 per cento dell’importo totale stanziato per la Componente 1 della Missione 1 (M1C1) – digitalizzazione, innovazione e sicurezza nella PA.

Il percorso di digitalizzazione della PA di seguito descritto (di cui all’obiettivo

generale 1), si compone di sette investimenti e di tre riforme.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

In dettaglio:

M1C1 – DIGITALIZZAZIONE, INNOVAZIONE E SICUREZZA NELLA PA

1. Digitalizzazione PA

Investimenti e Riforme

Risorse previste nel PNRR

Percentuale sul totale

Investimento 1.1: Infrastrutture digitali

0,90

14,64%

Investimento 1.2: Abilitazione e facilitazione migrazione cloud

1,00

16,26%

Investimento 1.3: Dati e interoperabilità

0,65

10,56%

Investimento 1.4: Servizi digitali e cittadinanza digitale

2,01

32,72%

Investimento 1.5: Cybersecurity

0,62

10,08%

Investimento 1.6: Digitalizzazione delle grandi amministrazioni centrali

0,61

9,92%

Investimento 1.7: Competenze digitali

di base

0,20

3,22%

Riforma 1.1: Processo di acquisto ICT

Riforma 1.2: Supporto alla trasformazione della PA locale

0,16

2,60%

Riforma 1.3: Introduzione linee guida

cloud first e interoperabilità

Totale

6,14

100%

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

M1C1 - Digitalizzazione, innovazione e sicurezza nella PA -

Obiettivo Generale 1. Digitalizzazione PA - Risorse per

investimento previste nel PNRR

2,5

1,5

0,5

Risorse previste nel PNRR

Dalle tabelle e dai grafici riportati, si evince come l’investimento 1.4 “Servizi digitali e cittadinanza digitale” risulti il progetto al quale sono state destinate il maggior numero di risorse (2,01 miliardi pari al 32 per cento circa dell’importo complessivamente previsto per finanziare l’obiettivo generale 1- Digitalizzazione PA). Per quanto più specificatamente interessa la cyber sicurezza l’investimento 1.5 ha destinato 623.000.000 milioni di euro, pari a circa il 10 per cento delle risorse

complessive dell’obiettivo generale 1- Digitalizzazione PA in esame.

Tale investimento si presenta tanto più necessario quanto maggiore è il processo di

digitalizzazione che s’intende innescare.

Quest’ultimo, infatti, comporta non solo l’aspetto negativo della crescente dipendenza da servizi “software” (con conseguente esposizione alle intenzioni degli sviluppatori/proprietari degli stessi) e l’aumento d’interdipendenza delle “catene del valore digitali” (PA, aziende controllate dallo Stato, privati) ma anche dell’aumento del livello di vulnerabilità della società nel suo complesso da minacce cyber, come, ad es. frodi, ricatti informatici, attacchi terroristici.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

La trasformazione digitale della PA, pertanto, contiene importanti misure di rafforzamento delle difese cyber del Paese, a partire dalla piena attuazione della disciplina in materia di “Perimetro di Sicurezza Nazionale Cibernetica”.

Gli investimenti, definiti in pieno raccordo con le iniziative europee per assicurare la protezione degli interessi comuni dei cittadini e delle imprese, sono organizzati su quattro aree d’intervento principali:

- Rafforzamento dei presidi di front-line per la gestione degli alert e degli eventi a rischio intercettatati verso la PA e le imprese di interesse nazionale;

- Implementazione delle capacità tecniche di valutazione e audit continuo della sicurezza degli apparati elettronici e delle applicazioni utilizzate per l’erogazione di servizi critici da parte di soggetti che esercitano una funzione essenziale;

- Immissione di nuovo personale sia nelle aree di pubblica sicurezza e polizia giudiziaria dedicate alla prevenzione e investigazione del crimine informatico diretto contro singoli cittadini, sia in quelle dei comparti preposti a difendere il paese da minacce cibernetiche;

- Irrobustimento degli asset e delle unità cyber incaricate della protezione della sicurezza nazionale e della risposta alle minacce cyber.

Come accennato in precedenza, al fine dell’erogazione delle risorse comunitarie è stato necessario definire, per ciascun progetto d’investimento, precisi obiettivi e traguardi (milestone e target) cadenzati temporalmente, al cui conseguimento si deve collegare l’assegnazione delle risorse per essi previste dal Next Generation EU.

A tal fine, relativamente all’Investimento 1.5 della Missione 1 – Componente 1 – Asse 1 del PNRR, si prevede l’erogazione delle risorse al raggiungimento, entro il dicembre 2022, delle seguenti milestone e target europei:

- Milestone UE (M1C1-5): Creazione della Nuova agenzia nazionale per la sicurezza informatica;

- Milestone UE (M1C1-6): Primo dispiegamento dei servizi nazionali di sicurezza informatica;

- Milestone UE (M1C1-7): Avvio della rete dei laboratori di screening e certificazione della cybersecurity;

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

- Milestone UE (M1C1-8): Attivazione di un’unità centrale di audit per misure di

sicurezza PSNC e NIS;

- Target intermedio UE (M1C1-9): Supporto all’aggiornamento delle misure di

sicurezza – 5 strutture di sicurezza adeguate.

Entro il dicembre 2024 dovranno, altresì, essere conseguiti i seguenti traguardi:

- Target finale UE (M1C1-19): Supporto all’aggiornamento delle misure di sicurezza – 50 strutture di sicurezza adeguate;

- Milestone UE (M1C1-20): Implementazione completa dei servizi nazionali di sicurezza informatica;

- Milestone UE (M1C1-21): Completamento della rete dei laboratori di screening e certificazione della cybersecurity, Evaluation center;

- Milestone UE (M1C1-22): Piena operatività dell’unità centrale di audit per le

misure di sicurezza PSNC e NIS con almeno 30 ispezioni completate.

3. Amministrazione titolare e soggetto attuatore nell’ambito della realizzazione

della misura

Il decreto del Ministro dell’Economia e delle finanze del 6 agosto 2021 individua il Ministro per l’innovazione tecnologica e la transizione digitale quale Amministrazione titolare di risorse per l’investimento 1.5, in collaborazione con il Dipartimento delle informazioni per la sicurezza (DIS) della Presidenza del Consiglio dei ministri.

Si consideri, altresì, che il Ministro per l’innovazione tecnologica e la transizione digitale si avvale del Dipartimento per la trasformazione digitale, istituita come detto in precedenza presso la Presidenza del Consiglio dei ministri, per l’esercizio delle deleghe di cui al DPCM del 15 marzo 2021.

L’Agenzia per la Cybersicurezza Nazionale, istituita dalla più volte citata legge n. 82 del 2021 ha assunto le funzioni già attribuite al DIS in materia, in particolare, di sicurezza delle reti e dei sistemi informativi di cui al decreto legislativo 18 maggio 2018, n. 65, e di Perimetro di sicurezza nazionale cibernetica di cui al decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n.

133. Con successiva nota del Dipartimento per la trasformazione digitale, (del 22 ottobre 2021, prot. n. 2982) dunque, l’Agenzia è stata individuata quale soggetto

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

attuatore dell’investimento 1.5, ai sensi dell’art. 9, comma 1 del decreto-legge 31

maggio 2021, n. 77.

4. Accordo ai sensi dell’art, 5, comma 6, del D.Lgs. n. 50/2016

Ai fini della realizzazione dell’investimento 1.5 del PNRR, l’Amministrazione titolare e il soggetto attuatore dell’investimento di cui sopra hanno ritenuto di stipulare un accordo, quale strumento più idoneo per il perseguimento dei reciproci fini istituzionali.

A tal fine è stato stipulato un accordo di collaborazione (il 15 dicembre 2021), ai sensi dell’art. 5, comma 6, del d.lgs. n. 50, del 18 aprile 2016 tra il Dipartimento per la trasformazione digitale e l’Agenzia per la cybersicurezza, attraverso il quale si è ritenuto di poter conseguire i milestone e i target connessi all’investimento 1.5.

L’Accordo in esame è volto a disciplinare lo svolgimento in collaborazione tra le parti coinvolte delle attività di interesse comune, comprensivo della ripartizione delle responsabilità e degli obblighi connessi alla gestione, controllo e rendicontazione in adempimento a quanto prescritto dalla regolamentazione europea e dal citato decreto- legge n. 77 del 2021.

Tra le attività di interesse comune, oggetto della collaborazione di cui all’Accordo, si devono evidenziare quelle volte a:

a) Xxxxxxxxxx le capacità di cyber resilience in modo diffuso nel Paese, favorendo xxxxxxxx e interconnessione nella capacità di monitoraggio e di risposta agli eventi di natura cyber;

b) Rafforzare la capacità dell’Agenzia per la Cybersicurezza Nazionale nell’ambito di scrutinio e di certificazione tecnologica al fine di valutare e certificare beni, sistemi e servizi ICT;

c) Potenziare le capacità cyber della Pubblica amministrazione al fine di migliorare il livello della postura di sicurezza e delle capacità cyber defence delle Amministrazioni centrali, garantendo così il conseguimento di milestone e di target europei previsti dall’investimento.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Ai sensi dell’art. 1 dell’Accordo in esame, costituiscono parte integrante dello stesso sia le sue premesse che il Piano operativo, redatto dall’Agenzia per la Cybersicurezza e inviato dalla stessa al Dipartimento per la trasformazione digitale con nota del 3 dicembre 2021 (prot. n. 731). Il Piano operativo descrive le fasi delle attività progettuali necessarie ai fini dell’attuazione dell’intervento, nonché il relativo cronoprogramma e i relativi costi.

L’art. 4 del provvedimento in esame specifica che le Parti dell’Accordo individuano come referenti, per la gestione e per il coordinamento delle attività oggetto dell’Accordo stesso, il Capo del dipartimento per la trasformazione digitale per l’Amministrazione titolare, mentre per il Soggetto attuatore il Direttore dell’Agenzia o un suo delegato.

Sempre all’art. 4 dell’Accordo viene stabilito che le Parti costituiscono un Comitato di Attuazione, composto di 5 componenti, di cui 3 nominati dall’Amministrazione titolare e 2 dal soggetto attuatore, per l’esercizio delle funzioni di coordinamento tecnico operativo delle attività di cui al presente Accordo.

In ordine ai compiti posti in capo all’Amministrazione titolare, l’art. 5 dell’Accordo descrive compiutamente una serie di obblighi, tra i quali, in particolare, quello di assicurare che le attività vengano espletate dal Soggetto attuatore in coerenza con le indicazioni contenute nel PNRR, nonché di assicurare il coordinamento delle attività di gestione, monitorare lo stato di attuazione e curare la rendicontazione e il controllo complessivo del sub-investimento. L’Amministrazione titolare deve, altresì, rappresentare, attraverso l’Unità di missione istituita con DPCM 30 luglio 2021, il punto di contatto con il Servizio centrale per il PNRR di cui all’art. 6 del decreto-legge

n. 77 del 2021, per l’espletamento degli adempimenti previsti dal Regolamento (UE) 2021/241. L’Amministrazione titolare deve, inoltre, adottare tutte le iniziative necessarie volte sia a prevenire eventuali frodi e conflitti di interesse, che ad evitare il rischio di doppio finanziamento degli interventi secondo le disposizioni del citato Regolamento (UE) 2021/241. Altra attività, infine, da rilevare concerne quella di garantire l’avvio delle procedure di recupero e restituzione delle risorse indebitamente utilizzate, ovvero oggetto di frode o doppio finanziamento pubblico.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Il successivo art. 6 dell’Accordo, invece, riporta gli obblighi che il Soggetto attuatore si è impegnato a rispettare circa la garanzia della realizzazione operativa dell’intervento 1.5, per il raggiungimento dei già descritti milestone e target, indicando parimenti, gli eventuali fattori che possano determinare ritardi che incidano in maniera considerevole sulla tempistica attuativa e di spesa, definita nel cronoprogramma, notiziandone l’Amministrazione titolare. Il soggetto attuatore, inoltre, deve effettuare i controlli amministrativi-contabili previsti dalla legislazione nazionale per garantire la regolarità delle procedure e delle spese prima della loro rendicontazione all’Amministrazione titolare. Nella sua azione il Soggetto attuatore deve, altresì, garantire il rispetto degli obblighi in materia di informazione e di pubblicità di cui all’art. 34 del regolamento (UE) 241/2021.

In merito alle risorse stabilite, l’art. 8 dell’Accordo di che trattasi stabilisce che, ai fini della realizzazione dell’intervento in esame, l’Amministrazione titolare riconosce al Soggetto attuatore, reciprocamente impegnati ad eseguire le rispettive attività con massima cura e diligenza, l’importo massimo di euro 623.000.000,00, come ristoro delle spese effettivamente sostenute per le attività svolte secondo le indicazioni riportate nel Piano operativo.

Il documento in esame descrive all’art. 10, infine, una dettagliata disciplina dell’ipotesi in cui si dovesse verificare il mancato raggiungimento dei milestone e dei target legati all’investimento 1.5, ovvero della mancata tutela degli interessi finanziari dell’UE di cui all’art. 22 del regolamento 241/2021, oltre al mancato rispetto di una serie di principi e di disposizioni indicate nell’Accordo stesso. Ciò determinerebbe un’eventuale riduzione del sostegno da parte della Commissione europea, con revoca anche parziale del contributo e attivazione dell’esercizio dei poteri sostitutivi di cui all’art. 13 dell’Accordo.

5. Strategia nazionale di Cybersicurezza 2020-2026 e relativo piano di implementazione

In considerazione dei rischi legati alla rapida evoluzione tecnologica che caratterizza il mondo attuale, rischi destinati ad aumentare con il progredire della stessa e delle tecniche di attacco cibernetico è stata predisposta dall’Agenzia per la

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Cyber-sicurezza Nazionale (ACN) ed approvata recentemente dal Comitato Interministeriale per la Cybersicurezza (CIC) la Strategia nazionale di Cybersicurezza 2022-2026, al fine di affrontare le sfide inerenti al rafforzamento della resilienza nella transazione digitale del sistema Paese, promuovendo un uso sicuro delle tecnologie, indispensabili per la prosperità economica e sociale dei cittadini, per il conseguimento dell’autonomia strategica nella dimensione cibernetica, l’anticipazione dell’evoluzione della minaccia cyber, la gestione di crisi cibernetiche in scenari geopolitici complessi, nonché il contrasto della disinformazione online, nel rispetto dei diritti umani, dei nostri valori e principi.

Basata su una struttura logica che poggia su quattro pilastri tecnico operativi: 1- cyber sicurezza e resilienza;

2- prevenzione e contrasto della criminalità informatica; 3- difesa e sicurezza militare del Paese;

4- ricerca ed elaborazione informativa,

che consente di individuare, con esattezza, attori e ruoli per la sicurezza cibernetica del Paese, tale strategia si è resa necessaria per:

1- Assicurare una transizione digitale cyber resiliente della PA e del tessuto produttivo mediante l’incremento della cybersicurezza degli assetti e dei servizi digitali, elemento imprescindibile della loro fruibilità da parte del cittadino che sarà, pertanto, incentivato al loro utilizzo nel momento in cui avrà totale fiducia nel fatto che i suoi dati saranno adeguatamente protetti. Il concetto di resilienza è da intendere anche come disponibilità di adeguata forza lavoro qualificata nella quale incrementare il numero delle donne che intraprendono studi informatici, (in particolare sulla cybersicurezza) ancora troppo esiguo;

2- Aumentare l’autonomia strategica nazionale ed europea nel settore del digitale, considerando che, l’eccessiva frammentazione e competizione tra gli stati membri, di fatto, non ha consentito lo sviluppo di una tecnologia europea e la creazione, nell’unione, di grandi aziende di erogazione di servizi digitali, lasciando così la stessa Unione europea in una situazione di dipendenza tecnologica da altri Paesi, leader nella produzione di software e di altre particolare tecnologie (come, ad esempio, l’intelligenza artificiale);

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

3- Anticipare l’evoluzione della minaccia cyber al fine di aumentare i costi di eventuali attività “cyber offensive”, così da renderle economicamente svantaggiose, non essendo più sufficiente attivarsi dopo il concretizzarsi della minaccia occorrendo, per converso, prevenirla così da mitigarne il più possibile gli effetti;

4- la gestione di crisi cibernetiche. Un meccanismo sempre più efficiente di gestione delle crisi cibernetiche che consenta, con l’apporto di tutti i soggetti interessati, di graduare le attività sulla base di scenari predefiniti della minaccia cyber, risulta di fondamentale importanza per rispondere, con rapidità, agli eventi cyber che possano verificarsi;

5- Contrastare la disinformazione on line nel più ampio contesto della c.d. minaccia ibrida, in considerazione del fatto che la digitalizzazione di ogni aspetto della vita sociale è sempre più utilizzata per azioni che mirano ad interferire o condizionare il libero esercizio delle libertà fondamentali (ad es. a ridosso di consultazioni elettorali).

Per implementare la presente strategia e affrontare le richiamate sfide, è previsto un adeguato programma d’investimenti e leve finanziarie.

Oltre agli strumenti finanziari già assegnati alle Amministrazioni con competenza in materia cyber, potranno anche essere messi a disposizione appositi fondi previsti di anno in anno da apposite leggi, per supportare specifici progetti di interesse.

A tale fine sarà riservata una quota percentuale (1,2%) degli investimenti nazionali lordi su base annuale. Queste risorse saranno dedicate a specifiche progettualità volte a traguardare il conseguimento dell’autonomia tecnologica in ambito digitale, oltre che l’ulteriore innalzamento dei livelli di cyber-sicurezza dei sistemi informativi nazionali.

Tali leve finanziarie potranno anche consistere in sgravi fiscali per le aziende o nell’introduzione di aree nazionali a tassazione agevolata per la costituzione, ad esempio, di un “parco nazionale della cybersicurezza” e dei relativi “hub” delocalizzati sull’intero territorio nazionale.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Al fine di fronteggiare al meglio le sfide per il sistema-Paese sopra delineate, nella Strategia nazionale di Cyber-sicurezza sono stati individuati, inoltre, tre obiettivi fondamentali:

1) protezione

2) risposta

3) sviluppo

con relative misure funzionali ad assicurare la concreta attuazione della strategia, raggruppate per aree tematiche e declinabili sia dal punto di vista organizzativo e di policy che operativo.

Ciascuna misura è stata associata all’obiettivo maggiormente caratterizzante, per ognuna delle quali è indicato il novero degli attori responsabili dell’implementazione e tutti gli altri soggetti a vario titolo interessati, al netto di quelli direttamente beneficiari delle misure (Istituzioni, operatori privati, società civile) per attuare le quali le Amministrazioni indicate come attori responsabili sono chiamate a porre in essere tutte le attività necessarie allo scopo.

In sintesi:

- in relazione all’Obiettivo PROTEZIONE fissato dalla Strategia nazionale di Cybersicurezza, nel relativo piano di implementazione vengono previste, per le sei aree tematiche ivi individuate, un totale di 24 misure da attuare, secondo il seguente schema:

Obiettivo	Area tematica	Numero misure
PROTEZIONE	Scrutinio tecnologico	4
	Definizione e mantenimento di un quadro giuridico nazionale aggiornato e coerente	7
	Conoscenza approfondita del quadro della minaccia cibernetica	5
	Sviluppo di capacità di protezione per le infrastrutture nazionali	5
	Promozione dell'uso della crittografia	2
	Definizione e implementazione di un piano di contrasto alla disinformazione online	1
Totale		24

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

- in relazione al secondo Obiettivo: RISPOSTA, fissato dalla Strategia nazionale di Cybersicurezza, nel relativo piano di implementazione vengono previste, per le sei aree tematiche ivi individuate, un totale di 21 misure da attuare, secondo il seguente schema:

Obiettivo	Area tematica	Numero misure
RISPOSTA	Sistema di gestione crisi nazionale e transazionale	5
	Servizi cyber nazionali	8
	Esercitazioni di cyber-sicurezza	2
	Definizione dl posizionamento e della procedura nazionale in materia di attribuzione	1
	Contrasto al cyber-crime	4
	Capacità di deterrenza in ambito cibernetico	1
Totale		21

- in relazione, infine, al terzo Obiettivo: SVILUPPO, fissato dalla Strategia nazionale di Cybersicurezza, nel relativo piano di implementazione vengono previste, per le cinque aree tematiche ivi individuate, un totale di 13 misure da attuare, secondo il seguente schema:

Obiettivo	Area tematica	Numero misure
SVILUPPO	Centro nazionale di coordinamento	2
	Sviluppo di tecnologia nazionale ed europea	1
	Realizzazione di un parco nazionale della cyber-sicurezza	1
	Sviluppo industriale, tecnologico e della ricerca	3
	Impulso all’innovazione tecnologica e alla digitalizzazione	6
Totale		13

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Un complesso di 58 misure cui si aggiungono quelle relative ai FATTORI ABILITANTI, quali la Formazione (12 misure), Promozione della cultura della sicurezza cibernetica (3 misure), Cooperazione (8 misure), Metriche e Key Performance Indicators (1 misura) che elevano a 82 le misure di cui si compone il Piano di implementazione della Strategia nazionale di Cyber-sicurezza 2022-2026, misure comunque soggette a controlli annuali al fine di garantirne la corretta e tempestiva applicazione.

6. Risorse finanziarie assegnate e impiegate

Come detto in precedenza, ai fini della realizzazione dell’Investimento 1.5 del Piano nazionale di Ripresa e Resilienza, l’Agenzia per la Cybersicurezza nazionale, di recente istituzione, è stata individuata quale soggetto attuatore, mentre il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri, che opera ai sensi del DPCM 15 marzo 2021, risulta essere l’Amministrazione titolare delle relative risorse.

E’ importante evidenziare come le risorse finanziarie previste nel PNRR, destinate alla Presidenza del Consiglio per la realizzazione dei relativi progetti, interventi ed investimenti, non confluiscono nel bilancio autonomo della stessa ma sono gestite tramite conti aperti presso la Tesoreria statale, come espressamente previsto all’art. 1 comma 1039-1041, della legge 30 dicembre 2020, n. 178, normativa nella quale viene precisato come le risorse erogate all’Italia dal bilancio dell’Unione europea, per l’attuazione del PNRR, affluiscono all’entrata del bilancio dello Stato in due distinti capitoli rispettivamente relativi ai contributi a fondo perduto e ai prestiti.

Nei medesimi capitoli, altresì, affluiscono le somme del programma Next Generation EU oggetto di anticipazione nazionale da parte del Fondo di cui al comma 1037, dell’art. 1 della legge succitata, tramite apposite procedure contabili descritte in seguito.

Le attività progettuali di cui all’l’investimento 1.5 sulla “Cybersecurity” in esame,

sono organizzate sulla base di una strutturazione in n. 12 Work Packages (WP) che, di

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

seguito, si riportano, definiti in accordo alla suddivisione del progetto complessivo in tre sotto progetti:

1- Servizi Cyber Nazionali (ambito: da WP 2 a WP 8); 2- Interventi Cyber per la PA (ambito: WP 9 e WP 10);

3- Laboratori di Scrutinio e Certificazione (WP 11 e WP 12).

Nella tabella seguente, viene, pertanto, riportato il quadro economico finanziario con separata indicazione, per ciascun gruppo di attività (WP), della dotazione finanziaria complessiva fino al 2026 (per un totale pari a euro 623.000.000) e della previsione degli impegni per l’anno in corso, intendendo per quest’ultima l’importo relativo alle risorse finanziarie pianificate in base allo svolgimento delle attività progettuali programmate per il 2022.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Si avrà pertanto:

Investimento 1.5 Cybersecurity:

Quadro economico finanziario

Dotazione finanziaria complessiva fino al 2026

Previsione Impegni 2022

WP 1 - Project Management

8.000.000,00

1.900.000,00

WP 2 - Agenzia per la Cybersicurezza

Nazionale

53.000.000,00

5.200.000,00

WP 3 - Hyper SOC

18.000.000,00

3.450.000,00

WP 4 - Servizi PSNC an NIS

12.600.000,00

1.050.000,00

WP 5 - HPC & AI/ML

30.000.000,00

900.000,00

WP 6 - ISAC

12.300.000,00

1.200.000,00

WP 7 - CERT

32.000.000,00

3.300.000,00

WP 8 - Ispezioni PSNC/NIS

8.000.000,00

800.000,00

WP 9 - Interventi di potenziamento delle capacità cyber della PA

151.750.000,00

52.350.000,00

WP 10 - Interventi di potenziamento di capacità cyber - defence

150.000.000,00

16.500.000,00

WP 11 - CVCN & Interno e Difesa

35.350.000,00

5.600.000,00

WP 12 - Rete di laboratori

112.000.000,00

6.050.000,00

Totale

623.000.000,00

98.300.000,00

Dall’analisi del quadro economico, si evidenzia come i soli Work Package 9, 10 e 12 valgano più dei due terzi (66,4%) delle risorse totali previste dal PNRR per questo investimento di cui, di seguito, si riporta una breve descrizione delle singole attività con riferimento ai vari gruppi (WP):

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

- WP1 – Project Management

Descrizione attività: Coordinamento tecnico, amministrativo e finanziario di tutto il progetto al fine di supportare la realizzazione delle attività progettuali interne nonché la rendicontazione tecnico-amministrativa verso gli organi competenti.

- WP 2 – Start – up Agenzia per la Cyber-sicurezza Nazionale (ambito: Sotto- Progetto n. 1)

Descrizione attività: Attivazione del sistema informatico e informativo nonché dei processi e procedure di gestione interna, dell’ACN. Concettualizzazione, disegno, implementazione e messa a terra di un programma di supporto alle attività d’ innovazione e trasferimento tecnologico per il mondo della ricerca e dell’industria nazionale.

- WP 3 – Hyper SOC (ambito: Sotto-Progetto n. 1)

Descrizione attività: Attività di concettualizzazione, disegno, implementazione e messa a terra di un sistema di monitoraggio della minaccia cyber a livello nazionale. Mediante la raccolta e la correlazione di flussi dati opportunamente identificati, il sistema HYPER SOC permetterà di supportare attività di identificazione veloce di attacchi a larga scala e loro potenziali conseguenze.

- WP 4 – Servizi PSNC e NIS (ambito: Sotto-Progetto n. 1)

Descrizione attività: Attività di potenziamento dei servizi a supporto delle organizzazioni nazionali nell’ambito del PSNC e della NIS, nonché attività di concettualizzazione, disegno, implementazione e messa a terra di servizi a supporto dell’analisi del rischio cyber nazionale e delle principali supply chain.

- WP 5 – High Performance Computing e Artificial Intelligence / Machine Learning (ambito: Sotto-Progetto n. 1)

Descrizione attività: Attività a supporto del disegno, implementazione e integrazione di una infrastruttura di High Performance Computing (HPC)e delle reali capacità di analisi basate su tecniche di AI/ML volte a supportare l’analisi di grandi

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

quantità di dati (es. flussi di dati dal sistema di HyperSOC) per effettuare monitoraggio e predizione di eventi cyber a valenza nazionale.

- WP 6 - Rete di Information Sharing and Analysis Center (ISAC) (ambito: Sotto- Progetto n. 1)

Descrizione attività: Creazione di una rete di ISAC settoriali integrati con le strutture e i sistemi dell’ACN per favorire la diffusione di buone pratiche e raccomandazioni, nonché di opportuni flussi di cyber intelligence per il potenziamento continuo del livello di cyber resilience del Paese.

- WP 7 - Rete di Computer Emergency Response Team (CERT) (ambito: Sotto- Progetto n. 1)

Descrizione attività: Creazione di una rete di CERT regionali/settoriali integrati con le strutture e i sistemi dello CSIRT e dell’ACN per potenziare le capacità di risposta contro incidenti informatici, coordinando attività di contenimento, eradicazione e ripristino.

- WP 8 – Ispezioni PSNC e NIS (ambito: Sotto-Progetto n. 1)

Descrizione attività: Supporto alle attività ispettive in carico all’ACN per il monitoraggio dell’implementazione delle misure di sicurezza in ambito PSNC e NIS.

- WP 9 – Intervento per il potenziamento cyber per la PA (ambito: Sotto-Progetto n. 2)

Descrizione attività: Coordinamento, disegno e attuazione di un piano organico di intervento nella PA per il potenziamento delle capacità di cyber resilience in accordo ai requisiti di sicurezza definiti dalle normative PSNC e NIS.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

- WP 10 – Intervento di potenziamento cyber–defence (ambito: Sotto-Progetto n.

Descrizione attività: Attività di potenziamento delle capacità cyber delle amministrazioni cyber-defence (Ministero dell’Interno, Ministero della Giustizia, Ministero della Difesa, Arma dei Carabinieri, Guardia di Finanza e Consiglio di Stato).

- WP 11 – Centro di Valutazione e Certificazione Nazionale (CVCN) e i Centri di Valutazione (CV) di Interno e Difesa (ambito: Sotto-Progetto n. 3)

Descrizione attività: Attività di potenziamento infrastrutturale e delle capacità del CVCN, nonché delle attività di disegno e implementazione dei CV di Interno e Difesa e della loro integrazione con la rete di laboratori e con il CVCN.

- WP 12 – Rete di laboratori di scrutinio e certificazione tecnologica (ambito: Sotto- Progetto n. 3)

Descrizione attività: Attività di supporto alla realizzazione di una rete di laboratori di scrutinio e certificazione tecnologica, integrata con il CVCN, i CV e allineata con lo schema di certificazione europeo per la cyber-security.

Per quanto concerne l’erogazione delle risorse precedentemente indicate, si prevede

la seguente scansione temporale:

2021

500.000,00

2022

50.000.000,00

2023

200.000.000,00

2024

200.000.000,00

2025

150.000.000,00

2026

22.500.000,00

Totale

623.000.000,00

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Relativamente ai temi afferenti al proprio bilancio, va osservato come la Presidenza del Consiglio dei ministri sia caratterizzata da una spiccata flessibilità organizzativa, riconosciutale dal d.lgs. 30 luglio 1999, n. 303, considerata la specificità delle funzioni da essa svolte in materia d’indirizzo e coordinamento dell’attività di Governo nonché dei compiti di gestione di alcune specifiche politiche di settore che rivestono, per il Governo stesso, un obiettivo di primaria importanza.

Con riferimento alle entrate provenienti dal bilancio dello Stato per il triennio 2020- 2022 ripartite per Centri di responsabilità, si evidenzia la rilevanza, per i temi inerenti a questo report, del Centro di Responsabilità n. 12 – Innovazione tecnologica e trasformazione digitale di cui, di seguito, oltre agli stanziamenti previsti si evidenziano le Missioni ed i Programmi di spesa interessati dalle relative attività, nel cui ambito, tra le spese in conto capitale, tra gli investimenti, è stato inserito il fondo per l’innovazione tecnologica e la digitalizzazione. Tale fondo è stato istituito nello stato di previsione del Ministero dell’economia e finanze dall’art. 239, comma 1 del decreto-legge n. 34 del 2020, con una dotazione, per l’anno 2020, di 50 milioni di euro da destinare alla copertura delle spese per interventi, acquisti e misure di sostegno a favore di una strategia di condivisone e utilizzo del patrimonio informativo pubblico a fini istituzionali, della diffusione dell’identità digitale, del domicilio digitale e delle firme elettroniche, della realizzazione dell’erogazione di servizi in rete, dell’acceso ai servizi in rete tramite le piattaforme abilitanti nonché per i servizi e le attività di assistenza tecnico-amministrativa necessarie. Con legge n. 178, del 30 dicembre 2020 è stata, successivamente, prevista la stabilizzazione della relativa dotazione attraverso lo stanziamento a regime di una somma pari a 50 milioni di euro a partire dal 2021. Con uno o più decreti del Presidente del Consiglio dei ministri o del Ministro delegato per l’innovazione tecnologica e la digitalizzazione sono individuati gli interventi a cui sono destinate le risorse del fondo, tenendo conto degli aspetti correlati alla sicurezza cibernetica. Con i predetti decreti, tali risorse possono essere trasferite, in tutto o in parte, anche alle pubbliche amministrazioni e ai soggetti di cui all’art. 2, comma 2, lett.

a) del codice dell’amministrazione digitale di cui al d.lgs. n. 82/2005, per la

realizzazione di progetti di trasformazione digitale coerenti con le finalità sopra

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

descritte. Con DPCM 15 marzo 2021 precedentemente citato (reg. alla Corte dei conti in data 24 marzo 2021 al n. 684) sono state delegate al Ministro per l’innovazione e la transizione digitale (senza portafoglio) le funzioni spettanti al Presidente del Consiglio dei ministri nelle materie dell’innovazione tecnologica, dell’attuazione dell’Agenda digitale italiana e europea e della trasformazione, crescita e transizione digitale del Paese, in ambito privato e pubblico, funzioni per lo svolgimento delle quali si avvale del Dipartimento per la trasformazione digitale, struttura della Presidenza del Consiglio dei ministri competente in materia.

Per provvedere ad un primo riparto delle risorse di questo fondo allocate sul cap. 920, denominato “Fondo per l’innovazione tecnologica e la digitalizzazione” iscritto nell’ambito del CdR n. 12 “Innovazione tecnologica e trasformazione digitale” del bilancio autonomo della Presidenza del Consiglio dei ministri, per l’anno 2021, risorse pari a euro 32.000.000, il Ministro per l’innovazione e la trasformazione digitale ha emanato il decreto 30 giugno 2021 mediante il quale dei 32.000.000 euro di disponibilità del fondo sono state attribuiti: euro 29.000.000 per il finanziamento di interventi, acquisti e misure di sostegno finalizzati a favorire la digitalizzazione della PA tramite lo sviluppo delle piattaforme nazionali; euro 2.000.000 per il finanziamento di interventi, acquisti e misure di sostegno atti a favorire la diffusione delle competenze digitali necessarie per poter consentire ai cittadini un uso consapevole dei servizi e degli strumenti digitali realizzati ed erogati dalla PA; euro 1.000.000 per le attività e i servizi di assistenza tecnica necessari alla realizzazione dei progetti, degli interventi e delle iniziative finalizzati all’innovazione tecnologica e alla digitalizzazione.

- Fondo di rotazione per l’attuazione del Next Generation EU-Italia

Istituito, ai sensi dell’art. 1 comma 1037, della legge 178, del 30 dicembre 2020, nello stato di previsione del MEF, al capitolo n. 8003 (con unico piano gestionale avente denominazione:” fondo di rotazione per l’attuazione del Next Generation EU Italia”), quale anticipazione rispetto ai contributi provenienti dall’UE, con una dotazione di 32,766 miliardi per l’anno 2021, di 40,307 miliardi per l’anno 2022 e di 44,573 miliardi per

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

l’anno 2023, tali risorse, unitamente a quello del Fondo sviluppo e coesione (come espressamente previsto dal decreto del MEF dell’ 11 ottobre 2021 concernente le procedure relative alla gestione finanziaria delle risorse previste nell’ambito del PNRR) affluiscono, entro il 15 febbraio di ciascun anno, in due appositi conti correnti infruttiferi aperti presso la tesoreria centrale dello Stato, denominati rispettivamente: “Ministero dell’economia e delle finanze – Attuazione del Next Generation EU-Italia – Contributi a fondo perduto” (c/c n. 25091) e “Ministero dell’economia e delle finanze

– Attuazione del Next Generation EU-Italia – Contributi a titolo di prestito” (c/c n. 25092) alla cui gestione provvede il Dipartimento della Ragioneria Generale dello Stato

- Servizio Centrale per il PNRR che le assegna agli interventi che compongono l’iniziativa Next Generation EU ed, in particolare, il Piano Nazionale di Ripresa e Resilienza (PNRR), distintamente per la parte relativa ai contributi a fondo perduto e per la parte relativa ai prestiti, sulla base del rispettivo cronoprogramma di spesa.

Allo stato attuale, dai riscontri effettuati tramite l’applicativo SICR sui due conti aperti presso la tesoreria centrale (n. 350), rispettivamente il c/c n. 000025091 con intestazione MEF – NGEU – SC – PNRR – FPERD – L. 178-20 per i contributi a fondo perduto e il c/c n. 000025092 con intestazione MEF – NGEU – SC – PNRR – PREST –

L. 178-20 per i contributi sotto forma di prestiti provenienti dal bilancio comunitario, risultano emessi, nel periodo 1 gennaio – 30 aprile 2022, n. 7 titoli di pagamento con riversamento in contabilità speciale – Gruppo 286 – GESTIONE FINANZIARIA INTERVENTI PNRR, codice conto n. 6288 intestato al Dipartimento per la transizione digitale (struttura di supporto al Ministro per l’innovazione tecnologica e la transizione digitale) aperto il 22 ottobre 2021 presso la tesoreria di Roma - cod. 348.

In dettaglio, sul x/x x. 000000000 xxxxxx xxxxxx xx xxxxxxxxx centrale (cod. n. 350) per i contributi a fondo perduto risultano emessi 4 titoli di pagamento:

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Data movimento

Numero conto

Tipo conto

Anno emissione

Numero titolo

Competenza/ residui

Importo

Cassa pagatrice

Dettaglio cassa pagatrice

10/02/2022

000025091 - MEF- NGEU-SC-PNRR- FPERD-L178-20

2022

Competenza

9.000.000,00

Riversamento su C.S.

348/6288/CC

22/03/2022

000025091 - MEF- NGEU-SC-PNRR- FPERD-L178-20

2022

Competenza

62.300.000,00

Riversamento su C.S.

348/6288/CC

12/04/2022

000025091 - MEF- NGEU-SC-PNRR- FPERD-L178-20

2022

Competenza

15.500.000,00

Riversamento su C.S.

348/6288/CC

20/04/2022

000025091 - MEF- NGEU-SC-PNRR- FPERD-L178-20

2022

Competenza

2.500.000,00

Riversamento su C.S.

348/6288/CC

Sul x/x x 000000000 xxxxxx xxxxxx xx xxxxxxxxx centrale (cod. n. 350) per i contributi sotto forma di prestiti si evidenziano i seguenti tre titoli di pagamento:

Data movimento

Numero conto

Tipo conto

Anno emission e

Numer o titolo

Competenza/ residui

Importo

Cassa pagatrice

Dettaglio cassa pagatrice

02/03/2022

000025092 - MEF- NGEU-SC- PNRR-PREST- L178-20

2022

Competenza

8.000.000,00

Riversamen to su C.S.

348/6288/CC

22/03/2022

000025092 - MEF- NGEU-SC- PNRR-PREST- L178-20

2022

Competenza

11.600.000,00

Riversa mento su

C.S.

348/6288/CC

01/04/2022

000025092 - MEF- NGEU-SC- PNRR-PREST- L178-20

2022

Competenza

21.400.000,00

Riversamen to su C.S.

348/6288/CC

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

L’esame dei suindicati titoli di spesa evidenzia che l’unico movimento di fondi sul c/c n. 000025091 proveniente dal conto n. 23211 intestato: “Ministero del Tesoro-Fondo di rotazione per l’attuazione delle politiche comunitarie – Finanziamenti CEE” e con versamento al c. n. 6288 intestato al Dipartimento per la transizione digitale riguardante l’investimento 1.5 Cyber-security risulta:

Data movimento

Numero conto

Tipo conto

Anno emissione

Numero titolo

Competenza/ residui

Importo

Cassa pagatrice

Dettaglio cassa pagatrice

22/03/2022

000025091 - MEF- NGEU-SC-PNRR- FPERD-L178-20

2022

Competenza

62.300.000,00

Riversamento su C.S.

348/6288/CC

Trattasi del titolo n. 3 del 22 marzo 2022 mediante il quale viene riversata la somma di 62.300.000 euro provenienti da risorse comunitarie a fondo perduto in favore del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri, a titolo di anticipo (10 per cento del totale dell’importo dell’Investimento pari a 623 milioni di euro) per l’Accordo che, come Amministrazione titolare dell’investimento in esame, lo stesso ha concluso in data 14 dicembre 2021 con l’Agenzia della Cybersicurezza Nazionale che dell’investimento è il soggetto attuatore, ai sensi dell’art. 5 comma 6 del d.lgs n. 50/2016, che esclude l’applicazione del Codice dei contratti pubblici rispetto ad accordi conclusi esclusivamente tra due o più amministrazioni aggiudicatrici al ricorrere delle condizioni ivi previste.

- Fondo complementare al PNRR

L’art. 1 del decreto-legge n. 59, del 6 maggio 2021, convertito con modificazioni dalla legge n. 101, del 1° luglio 2021, ha istituito, allo scopo di sostenere il rilancio dell’economia del Paese, con dotazione complessiva pari a 30,622 miliardi per gli anni dal 2021 al 2026 (ripartiti tra i Ministeri interessati), il Piano Nazionale degli investimenti Complementari (PNC) finalizzato ad integrare, con risorse nazionali, il Piano Nazionale di Ripresa e Resilienza (PNRR).

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

A tale scopo, nell’allegato n. 1 al DM del MEF del 15 luglio 2021, sono stati indicati gli obiettivi iniziali, intermedi e finali dei singoli programmi presenti nel PNC. In particolare, per gli anni 2021 – 2026, sono da iscrivere nei pertinenti capitoli dello stato di previsione del MEF per il trasferimento al bilancio della Presidenza del Consiglio dei ministri per i seguenti programmi e interventi, gli importi (art. 1 commi 1-2 del decreto-legge 59/2021):

1. Servizi digitali e cittadinanza digitale: 50 milioni per il 2021, 100 milioni per ciascuno degli anni 2022 e 2023, 50 milioni per il 2024, 40 milioni per il 2025 e 10 milioni per il 2026.

2. Servizi digitali e competenze digitali: 0,73 milioni per il 2021, 46,81 per il 2022, 26,77 milioni per il 2023, 29,24 milioni per il 2024, 94,69 milioni per il 2025 e 51,76 milioni per il 2026.

7. Attività gestoria svolta o da svolgere e le procedure da utilizzare o eseguite

Per quanto concerne la roadmap dell’Agenzia, si deve evidenziare che il 13 settembre 2021 il Presidente del Consiglio ha conferito la delega in materia di cybersecurity al Sottosegretario di Stato-Autorità delegata per la sicurezza della Repubblica.

Il DPCM del 16 settembre 2021, “Definizione dei termini e delle modalità del trasferimento di funzioni, beni strumentali e documentazione dal Dipartimento delle informazioni per la sicurezza all’Agenzia per la cybersicurezza nazionale”, pubblicato in Gazzetta Ufficiale il 30 ottobre 2021, ha stabilito le istruzioni operative per portare a compimento il passaggio di funzioni tra il DIS e la nuova ACN, Agenzia nazionale di cybersicurezza. Il trasferimento delle funzioni di cui all'art. 7 del decreto-legge n. 82/2021, comprende quelle già assicurate dal DIS, relative al CSIRT Italia, all’istituzione del Nucleo per la cybersicurezza.

Tra le varie tappe raggiunte si registra, anche, la pubblicazione dei regolamenti attuativi dell’Agenzia nella Gazzetta Ufficiale:

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

-Regolamento di organizzazione e funzionamento dell’Agenzia per la cybersicurezza nazionale (Decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223);

-Regolamento del personale dell’Agenzia per la cybersicurezza nazionale

(Decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 224.);

-Regolamento di contabilità dell’Agenzia per la cybersicurezza nazionale

(Decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 222).

Il 26 gennaio 2022, inoltre, è stato firmato il Protocollo d’intesa dal Presidente dell’Autorità Garante per la protezione dei dati personali e dal Direttore generale dell’ACN, per lo scambio di informazioni e la promozione di buone pratiche di sicurezza cibernetica.

Dal 19 aprile 2022, tramite la piattaforma PA digitale 2026, le amministrazioni possono effettuare la classificazione, propedeutica al processo di migrazione previsto dal quadro normativo della Strategia Cloud Italia, volta a rafforzare la sicurezza di dati e servizi pubblici. La classificazione abilita le Amministrazioni a predisporre i piani di migrazione verso il Polo Strategico Nazionale e verso infrastrutture e servizi cloud qualificati. Inoltre, essa è propedeutica alla partecipazione agli avvisi pubblici dedicati al cloud per beneficiare delle risorse del Piano Nazionale di Ripresa e Resilienza. È possibile completare la classificazione entro il 18 luglio 2022. I risultati verranno utilizzati, nell’ambito del processo di migrazione al cloud della PA, come base decisionale per l’identificazione delle opportune tipologie di soluzioni cloud di destinazione per ogni servizio. Ai livelli di criticità, infatti, sono associate diverse misure di sicurezza, qualità e affidabilità che i servizi e le infrastrutture cloud dovranno implementare per poterli erogare.

Come già specificato in precedenza, nel mese di maggio, nel corso della riunione del Comitato interministeriale per la Cybersicurezza (CIC) è stata approvata la Strategia nazionale di Cybersicurezza (2022-2026), con l’annesso Piano di implementazione.

Nel corso della medesima riunione è stato contestualmente approvato anche l’ultimo DPCM del “Perimetro Cyber”, volto a regolare la rete di controlli di sicurezza dei soggetti pubblici e privati, che svolgono attività essenziali per lo Stato. Con questi

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

due atti, si è dunque concluso la fase di attuazione della normativa del Perimetro di sicurezza cibernetica.

In merito all’approvazione dello schema di DPCM, il cui fine è quello di attuare la normativa di cui all’art. 1, comma 7, del decreto-legge n. 105 del 2019, lo stesso è volto ad indicare i criteri che i laboratori devono rispettare per accreditarsi come laboratori di prova per il Centro di valutazione e certificazione nazionale (CVCN) per verificare sicurezza, assenza di vulnerabilità note, contenuti, comunicazione tra il CVCN e i laboratori stessi e tra il CVCN e i Centri di Valutazione del Ministero dell’interno e del Ministero della difesa.

A tal proposito, si deve necessariamente premettere che il succitato decreto-legge

n. 105 del 2019, aveva conferito al Centro di Valutazione e Certificazione Nazionale (CVCN) – istituito presso il Ministero dello sviluppo economico – il compito di effettuare la valutazione di beni, sistemi e servizi ICT destinati ad essere impiegati su infrastrutture ICT che supportano la fornitura di servizi essenziali o di funzioni essenziali per lo Stato. Il DPCM 31 luglio 2020, n. 131, ha poi indicato i soggetti pubblici e privati che offrono tali servizi o funzioni e che sono individuati sulla base di specifici criteri, nell’ambito di diversi settori strategici– interno, difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche, enti previdenziali/lavoro – dalle Amministrazioni competenti nei rispettivi settori. I soggetti inclusi nel perimetro di sicurezza cibernetica, così individuati, sono tenuti a predisporre annualmente l’elenco degli asset ritenuti “strategici” per la fornitura dei servizi e funzioni essenziali di rispettiva pertinenza e, con riferimento a tali asset, ad adottare misure nell’ottica di assicurare elevati livelli di sicurezza e a notificare eventuali incidenti al CSIRT (Computer Security Incident Response Team) attivo presso la Presidenza del Consiglio. Il DPCM 14 aprile 2021, n. 81 è poi intervenuto per definire le misure di sicurezza che i soggetti inclusi nel Perimetro sono tenuti ad adottare e le modalità di notifica degli incidenti.

Inoltre, i soggetti inclusi nel perimetro, ai sensi dell’articolo 1, comma 6, del decreto- legge n. 105/2019 sono tenuti a comunicare al CVCN l’intenzione di acquisire beni, sistemi e servizi ICT da impiegare sui propri asset “strategici” e appartenenti a determinate categorie individuate sulla base di specifici criteri tecnici.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

Per le acquisizioni destinate alle proprie reti, sistemi informativi e servizi informatici, il Ministero della difesa e il Ministero dell’interno possono avvalersi di propri Centri di Valutazione (CV), e, pertanto, il CVCN dovrà raccordarsi con tali Centri di valutazione onde evitare che il fornitore esegua più volte i test su uno stesso prodotto.

Infine, con l’adozione del decreto del Presidente della Repubblica 5 febbraio 2021,

n. 54, sono state definite procedure, modalità e termini di funzionamento del CVCN, le procedure per la verifica del rispetto delle disposizioni del decreto-legge n. 105/2019, nonché i criteri tecnici per l’individuazione delle categorie di beni, sistemi e servizi ICT (da effettuarsi con DPCM) che saranno oggetto della valutazione del CVCN nel caso in cui siano destinati agli asset “strategici”. Tali categorie sono state individuate con il DPCM 15 giugno 2021.

La rivisitazione dello scenario normativo nel campo della cybersicurezza, come già descritto in precedenza, è avvenuta ad opera del più volte citato decreto-legge 14 giugno 2021, n. 82, che ha istituito l’Agenzia per la cybersicurezza nazionale, presso la quale è stato, dunque, trasferito il Centro di Valutazione e Certificazione Nazionale (CVCN), la cui operatività è assicurata dal 30 giugno 2022.

Entro il mese di giugno, inoltre, è prevista l’adozione del DPCM volto al

trasferimento delle funzioni in materia di cybersicurezza di MISE e AgID.

Si deve anche rilevare che il 3 marzo 2022 l’Agenzia per la Cybersicurezza Nazionale ha promosso l’iniziativa di cui all’Avviso n. 1, avente lo scopo di individuare, mediante procedura valutativa selettiva con graduatoria, le proposte progettuali finalizzate al potenziamento del livello di maturità delle capacità cyber dei sistemi informativi degli Organi Costituzionali e di rilievo Costituzionale, delle Agenzie Fiscali di cui al titolo II del Decreto legislativo n. 300 del 30 luglio 1999 e di tutte le Amministrazioni facenti parte del Nucleo per la cybersicurezza, istituito ai sensi dell’articolo 8 del decreto-legge 14 giugno 2021, n. 82. Nel perseguimento degli obiettivi sopra indicati, in accordo alle regole e principi trasversali individuati dal framework normativo di riferimento del PNRR, il presente Avviso costituisce una delle iniziative che l’Agenzia, in accordo con il DTD, intende attuare per l’individuazione dei Soggetti attuatori, mediante una selezione di progetti cd. “a

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

regia”, volti al potenziamento della resilienza cyber dei sistemi informativi. La realizzazione degli interventi inseriti nel presente Avviso dovrà avvenire coerentemente con gli obiettivi dell’Investimento e delle regole definite nello stesso. Il presente Avviso si è chiuso il 7 aprile 2022.

Il fine ultimo degli interventi è quello di potenziare il livello di resilienza cyber dei sistemi informativi per la messa in sicurezza dei dati e dei servizi dei cittadini. Questi interventi, nonché il complesso degli interventi dell’Investimento 1.5, rappresentano un elemento fondante per la transizione digitale sicura della PA. Pertanto, l’investimento 1.5 rappresenta una opportunità imprescindibile per la PA, e nel complesso per il Paese, per irrobustire le infrastrutture e i servizi digitali, nonché le competenze specialistiche necessarie a garantire adeguati livelli di cyber resilienza per il paese.

La dotazione finanziaria dell’Avviso n. 1 ammonta complessivamente ad €

15.000.000,00 (quindicimilioni/00), a valere sull’Investimento 1.5 “Cybersecurity”.

Il secondo Avviso dell’Agenzia, aperto il 3 marzo e chiuso il 23 dello stesso mese, è volto all’individuazione, mediante una procedura a sportello, dei Soggetti destinatari dei servizi che l’Agenzia intende erogare per il potenziamento e il miglioramento delle capacità cyber degli Organi Costituzionali e di rilievo Costituzionale, delle Agenzie Fiscali e delle Amministrazioni facenti parte del Nucleo per la cybersicurezza, finanziati nell’ambito dell’Investimento 1.5 – Cybersecurity nell’ambito del PNRR, Missione M1C1 “Digitalizzazione, innovazione e sicurezza nella P.A.”.

L’Avviso si rivolge ai Soggetti, individuati al paragrafo 3 dello stesso Avviso, con l’obiettivo ultimo di supportare gli stessi nella realizzazione di un percorso virtuoso di gestione del rischio cyber. In particolare, l’oggetto dell’avviso concerne:

- il finanziamento della realizzazione di un censimento dei livelli di maturità della postura di sicurezza dei servizi e delle infrastrutture digitali delle PA;

- il finanziamento della realizzazione di interventi di potenziamento dell’organizzazione, dei processi e procedure volte alla gestione del rischio cyber nella PA;

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

- il finanziamento della realizzazione di un piano programmatico di potenziamento, sia a breve che medio-lungo termine, delle capacità cyber volto a supportare il percorso di trasformazione digitale sicura della PA.

La dotazione finanziaria dell’Avviso ammonta complessivamente ad €

10.000.000,00 (diecimilioni/00), a valere sull’Investimento 1.5 “Cybersecurity”.

Il 21 aprile 2022, è stata pubblicata la determina di approvazione della graduatoria per l'Avviso n. 2/2022 "Interventi di potenziamento della resilienza cyber - Sportello per finanziamenti a servizio", dalla quale si evince che tutte le domande delle Amministrazioni richiedenti sono state ritenute idonee, secondo un ordine cronologico e sulla base di criteri indicati nell’Avviso stesso. Si riporta qui di seguito la relativa tabella con gli importi assegnati e il numero degli interventi richiesti:

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

In merito al processo di reclutamento dell’organico necessario all’espletamento dei compiti propri dell’Agenzia, la fase è stata avviata con la pubblicazione il 22 febbraio 2022 del primo bando di concorso (chiusura dei termini il 25 marzo), per l'assunzione di 50 unità a tempo indeterminato di laureati per l'Information and Communication Technology (ICT). Allo stato attuale sono stati pubblicate le graduatorie di coloro che hanno superato le prove scritte suddivisi per figure professionali.

Il 1° marzo, invece, è stato pubblicato l’Avviso relativo alle candidature per 11 assunzioni di personale a tempo determinato, con contratto di diritto privato per lo svolgimento di attività assolutamente necessarie all'operatività dell’Agenzia ovvero per la realizzazione di specifiche progettualità da portare a termine in un arco di tempo prefissato (personale senior anche dirigenziale con esperienza). Le relative candidature sono attualmente in fase di valutazione.

Nei prossimi mesi saranno messi a concorso anche posizioni per dottori di ricerca (PhD) con esperienza in cybersecurity, neolaureati e laureati in giurisprudenza, scienze politiche, scienze economiche e della comunicazione con esperienza, oltre ad altre posizioni per candidati in possesso di una laurea nel settore ICT.

Saranno anche disponibili bandi di concorso per posizioni riservate ai candidati in possesso di diploma di scuola media secondaria con specifica esperienza nel settore della cyberecurity, oltre ad altre posizioni a tempo determinato per personale senior.

Infine, è previsto l’impiego di 50 esperti in possesso di specifica ed elevata competenza nel campo dell’ICT e della cybersicurezza per un iniziale periodo di 3 anni.

Il completamento del piano di reclutamento è previsto entro l’anno 2023.

8. Conclusioni e raccomandazioni

Come recentemente ricordato anche dal Presidente Xxxxxx le nuove forme di competizione strategica che caratterizzano lo scenario geopolitico impongono all’Italia, in aderenza agli impegni assunti nell’ambito delle organizzazioni internazionali cui essa aderisce, di proseguire e, ove possibile, incrementare le

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

iniziative in materia di cybersicurezza, anche tenuto conto degli elevati standard e dei massicci investimenti realizzati in questo campo dai principali alleati e partner internazionali. Questo ha evidenziato la necessità di una totale rivisitazione nella concezione e nella visione strategica dell’architettura nazionale di cybersicurezza.

Va da sé che l’efficacia di una strategia è strettamente correlata alla possibilità di misurare i risultati progressivamente raggiunti, anche al fine di poter assumere in corso d’opera gli opportuni correttivi o integrazioni, laddove necessari.

In relazione alla road map prevista nell’ambito degli investimenti finanziati con le risorse del PNRR, non può non essere evidenziato come in realtà si tratti di un processo assai giovane soprattutto se riferito alla creazione dell’Agenzia per la cyber sicurezza. Ciò nonostante, appare apprezzabile lo sforzo, regolamentare ed organizzativo, condotto in tempi brevissimi al fine di poter mettere le strutture in grado di operare e di fornire i servizi destinati alla sicurezza, nell’ambito del più vasto settore della sicurezza nazionale.

Di rilievo, in proposito, appare il piano di implementazione 2022-2026 elaborato dall’Agenzia che riporta, per ciascuno degli obiettivi della Strategia Nazionale di Cybersicurezza – protezione, risposta e sviluppo – le misure da porre in essere per il loro conseguimento, suddivise per aree tematiche, per ognuna delle quali è indicato il novero degli attori responsabili per la loro attuazione e tutti gli altri soggetti a vario titolo interessati. E, cosa ancora più importante, viene precisato il motivo per cui l’Agenzia viene creata … “Considerato l’impatto trasversale delle politiche definite in relazione all’ambito cyber, era stata avvertita l’esigenza di una specifica autorità di raccordo con il livello politico-strategico e di coordinamento degli attori coinvolti in materia, nonché di regolamentazione, certificazione e vigilanza del settore. Ciò, in particolare, al fine di assicurare iniziative coerenti, rappresentare un chiaro e aggiornato quadro situazionale all’Autorità politica, nonché fornire un’interfaccia unica a livello nazionale, europeo e internazionale, assicurando una postura nazionale unitaria”.

Ma se quindi appare necessario e non può non raccomandarsi un costante monitoraggio nei rapporti tra i diversi attori, vecchie e nuovi, che agiscono nel settore della sicurezza nazionale al fine di verificare l'assenza di sovrapposizioni e la costante

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

efficienza di quella che si può definire la catena di comando, per altrettanto in particolare l'attenzione merita l'elemento finanziario.

Nel corso della relazione si è fatto riferimento alla dotazione finanziaria apportata dal PNRR nell'ambito della cyber security, dotazione pari ad oltre 620 milioni di euro, e si è detto anche di come tale investimento vada a strutturarsi nell'ambito di una serie di work packages (12 per la precisione) destinati a coprire esigenze diversificate.

Come si è già avuto modo di far notare il valore di questi interventi appare assai differenziato tanto che solo tre di essi coprono più dei 2/3 delle risorse disponibili previste dal PNRR (interventi di potenziamento delle capacità cyber della pubblica amministrazione; interventi di potenziamento delle capacità cyber- defence ; reti dei laboratori di scrutinio e certificazione tecnologica).

Peraltro, ciascuno di questi macrosettori appare sufficientemente generico tanto da rendere possibile, in questa sede, solo un auspicio sulla corretta spendita del denaro disponibile, corretta spendita che potrà essere verificata solo in un momento successivo e durante il corso dell'implementazione del Piano.

Tuttavia, non può non richiamarsi l'attenzione sulla necessità quindi di una equa distribuzione dei fondi in relazione a tutte le esigenze che sono state evidenziate nell'ambito di questo ampio discorso di rafforzamento della sicurezza cibernetica, ovvero sulla necessità, che potrà essere riscontrata solo di fatto in un momento successivo, di una maggiore concentrazione dei fondi laddove si riscontrano le maggiori carenze nel sistema di sicurezza nazionale tuttora esistente.

Si tratta evidentemente di scelte politiche, ancorate tuttavia al raggiungimento degli obiettivi fissati dal Piano e comunque vincolate ai principi di efficienza ed efficacia ed economicità che devono comunque accompagnare la gestione dei fondi pubblici.

In questo senso, questa Corte prende atto dell'impegno finora profuso per il raggiungimento dei risultati previsti e dei relativi tempi impiegati nel rispetto degli obblighi contratti con l'Unione europea, ma richiama fortemente l'attenzione dei soggetti gestori ed attuatori sulla necessità che l'attuale quadro trovi prontamente un riscontro in una serie di iniziative di spesa concrete che potranno essere valutate nel proseguo degli anni previsti dal Piano stesso.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 31/2022/G

CORTE DEI CONTI - CENTRO UNICO PER LA FOTORIPRODUZIONE E LA STAMPA - ROMA

Document Metadata

Table of Contents

AGENZIA DELLA CYBERSECURITY NAZIONALE

Document Metadata