Torniamo a parlare di cybersecurity, dopo lo speciale del mese di ottobre 2022, focalizzato sulle misure agevolative offerte dall’UE. In quell’occasione avevamo analizzato la Call Increased Cybersecurity 2022, composta da una RIA (Research and Innovation Action) e da tre Innovation Action.
Questa volta giochiamo in casa, perché la nuova Legge di Bilancio 2023 ha apportato una ventata di novità, con disposizioni che danno attuazione alla Strategia Nazionale di Cybersicurezza e l’istituzione di due appositi Fondi per la gestione e l’implementazione della materia.
Dunque, tra risorse governative e fondi PNRR, il 2023 fa presupporre interessanti movimenti per i progetti in ambito cybersecurity. Senza dimenticare che, comunque, anche a Bruxelles si continua a lavorare, per velocizzare e rendere sempre più incisiva la tutela dei sistemi informatici e dei relativi dati.
La Strategia Nazionale di Cybersicurezza
Partiamo dall’inizio. Nel mese di maggio 2022 è stata varata la Strategia Nazionale di Cybersicurezza, predisposta dall’ACN, l’Agenzia per la Cybersicurezza Nazionale, con l’intento di pianificare, coordinare e attuare una serie di misure che rendano il Paese più sicuro e resiliente – oggi più che mai, in un contesto così connesso e digitalizzato.
Sono 82 le misure da raggiungere, entro il 2026, per poter realizzare i tre obiettivi (protezione degli asset strategici nazionali; risposta alle minacce, agli incidenti e alle crisi cyber nazionali; sviluppo di tecnologie digitali per rispondere alle esigenze del mercato).
Per arrivare preparati alla gestione di nuovi rischi, la Strategia Nazionale di Cybersicurezza affronta anche cinque importanti sfide, ovvero:
- assicura una transizione digitale cyber resiliente della PA e del tessuto produttivo;
- anticipa l’evoluzione della minaccia cyber;
- contrasta la disinformazione online nel più ampio contesto della cosiddetta minaccia ibrida;
- gestisce le crisi cibernetiche;
- persegue un’autonomia strategica nazionale ed europea nel settore del digitale.
Tutto molto interessante, ma in che modo bisognerà agire e, soprattutto, con quali risorse economiche?
L’implementazione della Strategia nel PNRR…
Oltre alla Strategia, l’ACN ha altresì presentato il Piano di implementazione, dove sono indicati gli attori (i vari Ministeri, in primis) che dovranno provvedere all’attuazione degli obiettivi, così come gli altri soggetti interessati. Tutti dovranno agire attraverso le necessarie azioni, per concretizzare le misure, utilizzando le risorse finanziarie che derivano dal PNRR e dalla Legge di Bilancio.
In particolare, il Piano Nazionale di Ripresa e Resilienza prevede l’Investimento 1.5 della Missione 1 Componente 1, Cybersecurity, a cui sono destinati 623 milioni di euro per garantire la piena attuazione della disciplina in materia di Perimetro di Sicurezza Nazionale Cibernetica (PSNC).
Nel dettaglio, 174 milioni sono destinati ai “servizi cyber nazionali”, per l’operatività dell’Agenzia, delle reti e dei servizi in fase di realizzazione (anche futura). Ben 301,7 milioni serviranno invece per il potenziamento e la resilienza cyber della PA, mentre 147,3 milioni andranno ai laboratori di scrutinio e certificazione tecnologica.
…e nella Legge di Bilancio
Alle risorse del PNRR, però, se ne aggiungeranno altre, nel 2023 – e a seguire. Si attendeva con forte interesse la manovra finanziaria di fine anno, per capire quali sarebbero state le disponibilità economiche destinate alla materia cybersecurity. Con la Legge di Bilancio sono arrivate le prime risposte. Sono infatti 4 i commi dell’articolo 1 (da 899 a 902) dedicati alla cybersecurity, per rendere effettivo il piano di implementazione, e conseguire i tre obiettivi della Strategia Nazionale di Cybersicurezza.
Il comma 899 istituisce due importanti Fondi, nello stato di previsione del Ministero dell’Economia e delle Finanze (quindi con risorse gestite dal MEF). Il primo, il Fondo per l’attuazione della Strategia Nazionale Di Cybersicurezza, finanzia gli investimenti volti al conseguimento dell’autonomia tecnologica in ambito digitale, innalzando così i livelli di cybersecurity nazionale. Per questo è prevista una dotazione di 70 milioni di euro per l’anno 2023, di 90 milioni di euro per l’anno 2024, di 110 milioni di euro per l’anno 2025 e di 150 milioni di euro annui dal 2026 al 2037.
Il secondo Fondo, invece, ha come obiettivo la gestione dei progetti di cybersecurity, di cui è incaricata l’Agenzia, con risorse pari a 10 milioni di euro per l’anno 2023, 50 milioni di euro per il 2024 e 70 milioni di euro annui a decorrere dall’anno 2025.
Questi Fondi sono assegnati alle amministrazioni individuate dall’Agenzia, d’intesa con il MEF, e le risorse verranno erogate attraverso l’apertura di diversi sporteli, durante l’anno. Attendiamo, quindi.
Le ulteriori risorse: dal Decreto Legge 21/2021 ai Programmi Europei
L’Agenzia per la Cybersicurezza Nazionale ha un ruolo chiave nell’indirizzo, coordinamento e monitoraggio dell’attuazione sia della Strategia che del Piano di implementazione. È lei che, rilevando i fabbisogni finanziari necessari agli “attori” responsabili, d’intesa con il Ministero dell’Economia e delle Finanze, assegna loro i fondi. Di fatto, però, per espletare i propri compiti, la stessa Agenzia ha bisogno di risorse.
Queste erano già statuite dall’articolo 18 del Decreto Legge 21/2021, istitutivo dell’Agenzia: 2 milioni di euro per l’anno 2021, 41 milioni per l’anno 2022, 70 milioni per l’anno 2023, 84 milioni per l’anno 2024, 100 milioni per l’anno 2025, 110 milioni per l’anno 2026, 122 milioni di euro dal 2027 in poi. A suddetti, poi, si aggiungono ulteriori 2 milioni annui a decorrere dall’anno 2023, come stabilito dal comma 902, art. 1 della Legge di Bilancio 2023.
Intanto, non dimentichiamo che anche a Bruxelles ci sono diverse risorse destinate alla cybersecurity. In particolare, Horizon Europe – il programma di finanziamento per la ricerca e l’innovazione 2021-2027 – mette a disposizione 60 milioni di euro per la materia – come abbiamo avuto modo di appurare con la Call Increased Cybersecurity 2022, partita il 30 giugno 2022 e attiva fino al 16 novembre 2022 – a cui farà seguito Increased Cybersecurity 2023, in apertura il 29 giugno 2023.
C’è poi Digital Europe, il programma di finanziamento europeo incentrato sulla diffusione della tecnologia digitale alle imprese, ai cittadini e alle pubbliche amministrazioni. Questo, nell’arco temporale 2021-2027, destina 176 milioni per la sicurezza in ambito cyber. Anche Digital Europe ha lanciato diverse Call nel 2022, e altre (secondo rumors) partiranno entro il primo semestre del 2023.