Ciberseguridad: el decreto es ley. Todo lo que necesitas saber

8 de septiembre de 2021

¿Qué aporta la nueva legislación italiana sobre ciberseguridad?

109 del 4 de agosto de 2021 se publicó en el Boletín Oficial que contiene " Disposiciones urgentes sobre ciberseguridad, definición de la arquitectura nacional de ciberseguridad y establecimiento de la Agencia Nacional de Ciberseguridad " que convierte el decreto ley del 14 de junio de 2021, n. 82 .

La Ley 109/2021 define la arquitectura nacional de ciberseguridad , introduce varias innovaciones en el campo y establece:

  • La Agencia Nacional de Ciberseguridad ;

  • El Comité Interministerial de Ciberseguridad ;

  • El núcleo de la ciberseguridad .

El Gobierno, a través de la aprobación de la ley, pretende promover la cultura de la ciberseguridad y concienciar sobre el tema en los sectores público y privado, poniendo el foco en los ciber riesgos y amenazas.

En los últimos años, de hecho, la mayor exposición a las ciberamenazas ha puesto de relieve la necesidad de desarrollar, en poco tiempo, mecanismos de protección y ciberseguridad adecuados y cada vez más estrictos : basta pensar que, según los últimos datos sobre ciberdelincuencia recopilados por La Comisión Europea y reportado por Ansa , los ciberataques de banda ancha en Europa pasaron de 432 en 2019 a 756 en 2020, registrando un incremento del 75% respecto a 2019.

Además, de la edición 2021 del Clusit Report sobre seguridad de las TIC en Italia y en el mundo, elaborado por la Asociación Italiana para la Seguridad de la Información, se desprende que ningún sector es inmune a posibles ciberataques: de hecho, solo en 2020, 1.871 Se registraron personas, ataques severos en el dominio público, o con un impacto sistémico en todos los aspectos de la sociedad, la política, la economía y la geopolítica.

El grupo de expertos que trabajó en la redacción del informe destaca el aumento de los ciberataques a nivel mundial, que en 2020 es igual al + 12% en comparación con 2019, y en el aumento de ataques graves con un +66% en comparación con 2017.

Además, el informe destaca un aumento en los ataques transmitidos a través del abuso de la cadena de suministro, es decir, a través de compromisos de terceros, lo que permite a los ciberdelincuentes apuntar a los clientes, proveedores y socios de una empresa.

Entre los sectores más afectados se encuentran los "Objetivos Múltiples" (20% del total de ataques), que incluye ataques llevados a cabo contra objetivos múltiples y a menudo indiferenciados, los sectores del Gobierno, el ejército, las fuerzas del orden y la inteligencia (14% del total de ataques). , atención médica (12% del total de ataques), investigación y educación (11% del total de ataques) y servicios en línea (10% del total de ataques). Además, han crecido los ataques a Banca y Finanzas (8%), productores de tecnologías de hardware y software (5%) e infraestructuras críticas (4%).

¿Qué es la seguridad cibernética?

En una sociedad cada vez más digital, donde el fenómeno Gig Economy está creciendo y es imposible prescindir de la tecnología, la Ciberseguridad es uno de los temas más relevantes de la agenda nacional e internacional.

¿Qué es la seguridad cibernética? Cyber ​​Security, en italiano con "ciberseguridad", se centra en aspectos relacionados con la seguridad de la información, accesible a través de sistemas informáticos, y se utiliza a menudo como sinónimo de seguridad de la información. En realidad, es una subclase de seguridad de TI, es decir, el conjunto de medios, tecnologías y procedimientos útiles para proteger los sistemas de TI en términos de disponibilidad, confidencialidad e integridad de los datos y activos de TI.

El término Cyber ​​Security también se utiliza para indicar las cualidades de resiliencia, robustez y reactividad que debe poseer una tecnología para hacer frente a ciberataques que pueden afectar a personas, empresas privadas, organismos públicos y organizaciones gubernamentales.

La ciberseguridad constituye una de las intervenciones contempladas por el Plan Nacional de Recuperación y Resiliencia (PNRR) transmitido por el Gobierno a la Comisión Europea el 30 de abril de 2021. Además, es una de las 7 inversiones en la digitalización de la administración pública. .

La inversión, que tiene como objetivo crear y fortalecer las infraestructuras relacionadas con la ciberprotección del país, involucra cuatro áreas diferenciadas:

  1. Fortalecimiento de los controles de primera línea para la gestión de alertas y eventos de riesgo hacia la AP y empresas de interés nacional;

  2. Consolidación de habilidades técnicas para la evaluación y auditoría de seguridad de hardware y software;

  3. Fortalecimiento del personal de las fuerzas policiales dedicadas a la prevención e investigación del ciberdelito;

  4. Implementación de activos y unidades a cargo de la protección de la seguridad nacional y respuesta a ciberamenazas.

Cuales son las principales novedades de la ley

Los artículos 1 a 4 de la Ley 109/2021 de Ciberseguridad definen el sistema nacional de ciberseguridad que encabeza el Presidente del Consejo de Ministros, a quien se le asigna la máxima dirección y la responsabilidad general de las " políticas de ciberseguridad ".

Además, el Primer Ministro es responsable de:

  • El nombramiento y cese del director general y subdirector general de la nueva Agencia Nacional de Ciberseguridad (Acn) tras informar al presidente de COPASIR (Comisión Parlamentaria para la Seguridad de la República);

  • La adopción de la estrategia nacional de ciberseguridad, previa consulta a la Comisión Interministerial de Ciberseguridad (CIC), órgano con funciones de asesoramiento, propuesta y supervisión en el ámbito de las políticas de ciberseguridad, también con el propósito de proteger la seguridad nacional en el ciberespacio.

Averigüemos en detalle cuáles son las características y funciones de la Agencia Nacional de Ciberseguridad (Acn) y del Comité Interministerial de Ciberseguridad (CIC):

  • Agencia Nacional de Ciberseguridad : establecida para proteger los intereses nacionales en el campo de la ciberseguridad, tiene personalidad jurídica de derecho público y tiene autonomía regulatoria, administrativa , patrimonial, organizativa, contable y financiera, dentro de los límites de lo establecido por la ley. La Acn tiene hasta un número máximo de ocho oficinas de nivel gerencial general, así como hasta un número máximo de treinta secciones de nivel gerencial no general dentro de los recursos disponibles. La Agencia podrá ̀ solicitar, también sobre la base de undeterminados convenios y en el cumplimiento de las áreas de competencia primaria, la colaboración de otros órganos del Estado, otras administraciones, las Fuerzas Armadas, las fuerzas policiales o los organismos públicos para el desempeño de sus funciones institucionales. Las principales tareas de la Agencia son:

    • Promover la implementación de acciones comunes encaminadas a garantizar la ciberseguridad y la resiliencia para el desarrollo de la digitalización del país, el sistema productivo y las administraciones públicas;

    • Elaborar la estrategia nacional de ciberseguridad;

    • Llevar a cabo todas las actividades necesarias ̀ para apoyar el funcionamiento del Núcleo de Ciberseguridad ;

    • Desarrollar capacidades nacionales de prevención, monitoreo, detección y mitigación, para hacer frente a incidentes de seguridad cibernética y ciberataques, también a través del Equipo Italiano de Respuesta a Incidentes de Seguridad Informática (CSIRT) y la puesta en funcionamiento del Centro Nacional de Evaluación y Certificación;

    • Cuidar y promover la definición y mantenimiento de un marco legal nacional actualizado y coherente en el ámbito de la ciberseguridad, teniendo también en cuenta los lineamientos y desarrollos en el ámbito internacional;

    • Contribuir a incrementar la seguridad de los sistemas de tecnologías de la información y las comunicaciones (TIC) de sujetos incluidos en el perímetro nacional de ciberseguridad, administraciones públicas, operadores de servicios esenciales (OSE) y proveedores de servicios digitales (FSD);

    • Apoyar el desarrollo de competencias industriales, tecnológicas y científicas, impulsando proyectos de innovación y desarrollo con el objetivo de estimular el crecimiento de una fuerza laboral nacional sólida en el campo de la ciberseguridad con miras a la autonomía estratégica nacional en el sector;

    • Asumir las funciones de interlocutor nacional único para entidades públicas y privadas en el campo de las medidas de seguridad y actividades de inspección en las áreas del perímetro de ciberseguridad nacional, seguridad de redes y sistemas de información (directiva NIS), y seguridad de redes de comunicación electrónica;

    • Realizar actividades de comunicación y promoción de la conciencia en el ámbito de la ciberseguridad, con el fin de contribuir al desarrollo de una cultura nacional en la materia.

  • Comisión Interministerial de Ciberseguridad : la Comisión Interministerial de Ciberseguridad (CIC), constituida en la Presidencia del Consejo de Ministros, tiene las funciones de asesorar, proponer y supervisar las políticas de ciberseguridad, también con la finalidad de proteger la seguridad nacional en cibernética espacial. Estas son las funciones del Comité:

    • Proponer al Presidente del Consejo de Ministros los lineamientos generales a seguir en el marco de las políticas nacionales de ciberseguridad;

    • Ejercer una alta vigilancia sobre la implementación de la estrategia nacional de ciberseguridad;

    • Promueve la adopción de las iniciativas necesarias para fomentar la colaboración efectiva, a nivel nacional e internacional, entre sujetos institucionales y operadores privados interesados ​​en la ciberseguridad, así como para el intercambio de información y para la adopción de mejores prácticas y medidas focalizadas el objetivo de ciberseguridad y desarrollo industrial, tecnológico y científico en el campo de la ciberseguridad;

    • Expresa la opinión sobre el presupuesto y el saldo final de la Agencia Nacional de Ciberseguridad.

Actúa como secretario del Comité el Director General de la Agencia Nacional de Ciberseguridad.

Como ya hemos dicho, una de las funciones de la ACN es realizar todas las actividades de apoyo necesarias al funcionamiento del Núcleo de Ciberseguridad presidido por el Director General de la Agencia o, por delegación, por el Director General Adjunto.

El Núcleo de Ciberseguridad fue creado para apoyar al Presidente del Consejo de Ministros en materia de ciberseguridad, en los aspectos relacionados con la prevención y preparación para situaciones de crisis y para la activación de procedimientos de alerta, y está compuesto por:

  • por el Asesor Militar del Presidente del Consejo de Ministros;

  • por un representante:

    • del DIS (Departamento de Información para la Seguridad);

    • AISE (Agencia de Seguridad e Información Externa);

    • AISI (Agencia de Información y Seguridad Interior);

    • de cada uno de los Ministerios representados en el Comité, del Ministerio de Universidad e Investigación y del Departamento de Protección Civil de la Presidencia del Consejo de Ministros.

El Core puede:

  • Formular propuestas de iniciativas en materia de ciberseguridad en el país, también en el marco del contexto internacional en la materia;

  • Promover la programación y planificación operativa de la respuesta a situaciones de cibercrisis por parte de las administraciones y operadores privados interesados;

  • Promover y coordinar la realización de ejercicios interministeriales o la participación nacional en ejercicios internacionales de simulación de eventos cibernéticos para incrementar la resiliencia del país;

  • Evaluar y promover, junto con las administraciones competentes para perfiles específicos de ciberseguridad , procedimientos de intercambio de información, incluso con operadores privados interesados, con el fin de difundir alarmas relacionadas con ciberataques y para la gestión de crisis.