Gli organismi civili e militari cui lo Stato attribuisce competenze in materia sono:
- Istituto superiore delle comunicazioni e delle tecnologie dell’informazione (ISCOM)
- L’Agenzia per l’Italia digitale (AgID) – CERT P.A., CNAIPIC – Polizia postale – Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche
- Nucleo per la sicurezza cibernetica istituito presso il DIS,
- Reparti specializzati di AISI e AISE,
- Comando interforze operazioni cibernetiche (CIOC) della Difesa
- Centro di valutazione e certificazione nazionale (CVCN)
- Garante della Privacy
E’ ovvio che la tutela delle informazioni passi anche attraverso le grandi aziende private che si occupano di telecomunicazioni
Tutte le aziende italiane di rilevanza nazionale, operanti a livello multinazionali e su settori strategici, hanno propri sistemi di sicurezza cibernetica e devono essere protette, e devono proteggerci, da attacchi anche internazionali
Normativa rilevante:
*) art.7-bis del decreto-legge 27 luglio 2005, n. 144, convertito con legge 31 luglio 2005, n. 155).
*) L. 3.8.2007 n. 124 (Sistemi di informazione per la sicurezza della Repubblica, PCDM, DIS, AISE, AISI, CISR, COPASIR)
*) d.l. 21.9.2019 n. 105 ( perimetro di sicurezza nazionale cibernetica, CVCN, reti di comunicazione elettronica a banda larga con tecnologia 5G, poteri speciali ampliati )
*) L. 133/2012
*) DPCM 24.1.2013 (istituisce un comitato scientifico, un nucleo permanente per la sicurezza cibernetica, un Tavolo interministeriale di sicurezza cibernetica, la collaborazione controllo degli operatori privati, prevede la classificazione delle informazioni riservate)
*) DPCM 17.2.2017 (specifica ulteriormente le modalità di gestione delle crisi di natura cibernetica e i compiti dei vari organismi dello Stato sopra detti e gli obblighi degli operatori privati)
In base ai due DPCM di cui sopra sono stato approvati due Quadri Strategici Nazionali per la Sicurezza dello Spazio Cibernetico (uno del 27.1.2014 e uno del 31.3.2017)
*) Legge stabilità del 2016 (articolo 1, comma 965, legge 28 dicembre 2015, n. 208), che ha istituito, per l’anno 2016, un fondo « per il potenziamento degli interventi e delle dotazioni strumentali in materia di protezione cibernetica e di sicurezza informatica nazionali » con una dotazione finanziaria di 150 milioni di euro, di cui un decimo destinato al « rafforzamento della formazione del personale del Servizio di polizia postale e delle comunicazioni, nonché all’aggiornamento della tecnologia dei macchinari e delle postazioni informatiche ».
*) direttiva (UE) 2016/1148, – direttiva NIS – Network and Information Security attuata con D. Lvo 18.5.2018 n. 65, che tra le altre disposizioni identifica i settori degli operatori di servizi essenziali, pubblici e privati, operanti nei settori energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali, nei quali vanno individuati in concreto i singoli soggetti a rischio, nonché i tipi di servizi digitali da monitorare sotto il profilo della vulnerabilità (Mercato online, Motore di ricerca online, cloud computing)