Atto Camera
Risoluzione in commissione 7-00109
presentato da
testo di
Le Commissioni IX e X,
premesso che:
i processi di digitalizzazione del Paese devono necessariamente essere accompagnati dalla loro messa in sicurezza da possibili attacchi cibernetici. Tuttavia, la componente 2 della missione 1 «Digitalizzazione, innovazione e competitività nel sistema produttivo» del Piano nazionale di ripresa e resilienza non prevede un intervento in tal senso e si prevede un investimento di soli 0,62 miliardi di euro in cybersicurezza sui 220 miliardi di euro previsti dal piano, pari allo 0,2 per cento;
secondo la Relazione annuale 2022 sulla politica dell'informazione per la sicurezza, presentata dalla Presidenza del Consiglio, il 43 per cento degli attacchi cibernetici nel Paese ha avuto come obiettivo il settore pubblico; di questi, il 62 per cento aveva come obiettivo le amministrazioni statali, seguito dalle strutture sanitarie pubbliche (11 per cento), dagli enti locali e da istituti e agenzie nazionali (entrambi al 9 per cento). Riguardo al settore privato, i soggetti che hanno subito il maggior numero di azioni ostili sono quelli del settore delle infrastrutture digitali e servizi IT (22 per cento), dei trasporti (18 per cento), del settore bancario (12 per cento) e infine di quello energetico (11 per cento), tutti comparti di importanza strategica per il Paese;
secondo il Rapporto «L'ecosistema italiano della sicurezza informatica tra regolazione, competitività e consapevolezza», pubblicato lo scorso 28 febbraio 2023 dall'Osservatorio sulla Cybersicurezza dell'I-Com (Istituto per la competitività), il 48 per cento o delle imprese ritiene poco importante o non rilevante la formazione digitale e solo poco più della metà dei dirigenti riceve una formazione specifica nel campo della cybersicurezza in azienda, con percentuali che scendono per impiegati ed operai, per una media del 40 per cento di lavoratori che riceve formazione. In generale, le aziende italiane sono tra quelle che investono meno in cybersicurezza risultando soltanto al 19° posto nell'Unione europea per quota del budget IT investita in sicurezza dell'informazione (6,6 per cento rispetto al 7,2 per cento della media EU);
secondo l'indice Desi (Digital economy and society index) formulato dalla Commissione europea, l'Italia si trova al diciottesimo posto sui 27 Paesi membri dell'Unione europea per livello di digitalizzazione complessivo, con un punteggio di 49,3 contro una media europea di 52,3. In Italia il livello è particolarmente basso nell'ambito del capitale umano, risultando penultima tra i Paesi membri: in particolare, solo il 46 per cento degli italiani risulta essere in possesso di competenze digitali di base (contro il 54 per cento della media europea) e la quota di laureati in ambito ICT sul totale della popolazione con una laurea risulta essere pari all'1,3 per cento (contro il 3,9 per cento della media europea), vale a dire la più bassa in assoluto. Anche nel settore dei servizi pubblici digitali, l'Italia registra una performance inferiore alla media europea, ricoprendo il diciannovesimo posto sui 27 Paesi membri, soprattutto a causa della bassa percentuale di utenti di «e-government» (pari al 40 per cento a fronte di una media europea del 65 per cento);
il numero di corsi di formazione in materia di sicurezza cibernetica è in crescita: secondo il già citato Rapporto di I-Com, a gennaio 2023 è stata registrata la presenza di 234 corsi di formazione universitaria (contro i 79 di inizio 2022). I corsi analizzati includono sia insegnamenti singoli all'interno di corsi di laurea generici («offerta formativa non specializzata»), sia corsi di laurea specifici, insieme a master e dottorati («offerta formativa specializzata»). Risultano essere attivi 112 insegnamenti singoli all'interno di corsi di laurea magistrale, 56 insegnamenti singoli all'interno delle lauree triennali e 13 corsi singoli all'interno di dottorati di ricerca, a fronte di 4 lauree triennali, 22 lauree magistrali, 7 dottorati e 18 master interamente dedicati alla cybersicurezza;
sono state intraprese numerose iniziative europee per creare un ecosistema favorevole allo sviluppo e alla messa in atto della sicurezza cibernetica nell'Unione, come l'istituzione, con il regolamento (UE) 2021/887, del Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca (Eccc), con sede a Bucarest, che ha la funzione di coordinare la rete costituita dai centri nazionali di coordinamento (Nccs) degli Stati membri;
in Italia, la recente istituzione dell'Agenzia per la Cybersicurezza nazionale (Acn) ha completato la definizione del quadro normativo per la cybersicurezza del Paese, che include le misure nazionali di difesa contro attacchi informatici per i soggetti inclusi nel perimetro di sicurezza nazionale cibernetica (introdotto dal decreto-legge n. 105 del 2019), la pianificazione e il proseguimento dell'implementazione della Strategia nazionale per la cybersicurezza 2022-2026, oltre all'importante inserimento nel codice degli appalti dell'obbligo per le stazioni appaltanti pubbliche di tenere sempre in considerazione gli elementi di cybersicurezza nella valutazione complessiva dell'offerta. Queste iniziative sul piano legislativo hanno certamente rafforzato il sistema normativo italiano nell'ambito della sicurezza cibernetica; nonostante ciò, la disciplina nazionale riguardante il perimetro è caratterizzata da una stratificazione e frammentazione normativa che pongono diverse sfide applicative ed interpretative;
a livello europeo, il processo normativo in materia di sicurezza cibernetica, iniziato nel 2013 con il regolamento (UE) n. 526 del 2013 e proseguito con la direttiva «NIS» del 2016 (direttiva 2016 n. 1148), successivamente sostituita nel 2022 dalla direttiva «NIS2» (direttiva 2022 n. 2555), ha dato vita a un sistema che assicura standard di sicurezza per le infrastrutture, comprese le infrastrutture critiche. La disciplina europea in materia si sta ulteriormente sviluppando lungo quattro direttrici: 1) stabilendo degli standard per i prodotti e i servizi che possono essere commercializzati all'interno dell'Unione europea grazie al Cyber Resilience Act (attualmente in discussione); 2) potenziando l'Agenzia europea per la cybersicurezza (Enisa) per una migliore governance; 3) stanziando fondi europei dedicati al tema; 4) armonizzando il sistema di certificazioni per la cybersicurezza (Cybersecurity Act, Regolamento (EU) 2019 n. 881);
dalla stessa Unione europea provengono diverse proposte, le cui bozze in larga parte non sono ancora state presentate, per sviluppare ulteriormente il sistema infrastrutturale per la cybersicurezza europea. Ne è un esempio il Cyber Solidarity Act, recentemente presentato dalla Commissione Unione europea, che andrebbe ad istituire un'infrastruttura comune europea di rilevamento avanzato, costituita da Centri operativi di sicurezza (Soc), con la funzione di scansionare la rete utilizzando tecnologie di intelligenza artificiale e individuare gli attacchi cyber rivolti ai Paesi membri;
il settore produttivo nel comparto della sicurezza informatica in Italia sembra destinato a crescere notevolmente nei prossimi anni. Si prevede che i ricavi del settore aumentino del 25 per cento entro i prossimi tre anni, passando da 1,75 miliardi di euro del 2022 a 2,18 miliardi di euro nel 2026, con una crescita soprattutto nei servizi IT, ma anche in software e hardware,
impegnano il Governo:
a proseguire il lavoro di potenziamento e sviluppo degli Its allo scopo di fornire una adeguata offerta formativa atta a colmare le carenze del Paese riguardanti le competenze, sia di base che avanzate, nel settore della sicurezza cibernetica, anche ampliando la collaborazione tra istituti Its e gli enti della pubblica amministrazione;
ad intervenire, anche con iniziative di tipo normativo, favorendo iniziative di «bug bounty» e «vulnerability assessment», anche alla luce delle ultime evoluzioni delle norme europee;
a definire, consultando anche Acn, criteri e requisiti di cybersicurezza uniformi, chiari e facilmente implementabili per l'acquisizione di tutte le forniture in ambito Ict per la pubblica amministrazione, al fine di armonizzare i requisiti di gara delle centrali di acquisto pubbliche e ottenere una maggiore uniformità nell'applicazione della Strategia di cybersicurezza nazionale a complemento di quanto già previsto sul tema nel nuovo codice dei contratti pubblici e in linea con quanto prescritto dal Cyber Resilience Act, in fase di approvazione in sede europea;
ad adottare iniziative volte a prevedere, nella rimodulazione e aggiornamento del piano nazionale Industria 4.0, incentivi per l'acquisto di beni materiali (hardware), quali sonde, sensori e altri dispositivi necessari alla messa in atto di misure di sicurezza cibernetica e al monitoraggio degli attacchi cibernetici verso i sistemi informatici delle aziende, ivi inclusi tutti i servizi di cybersicurezza (progettazione, implementazione, servizi gestiti) necessari per la messa in sicurezza delle soluzioni realizzate;
ad adottare iniziative volte ad estendere le risorse dei voucher Pmi per la formazione in ambito cyber al fine di aumentare il livello di competenze nelle imprese italiane ed ampliare il novero dei soggetti a cui è possibile commissionare attività di formazione ammissibili al credito d'imposta, includendo le aziende che sviluppano e possono erogare corsi in materia di cybersicurezza, al fine di colmare il gap di conoscenza presente nel mercato del lavoro, contribuendo agli obiettivi di Formazione 4.0.
(7-00109) «Pastorella, Benzoni».