Agenzia per la cybersicurezza nazionale
Die Agenzia per la cybersicurezza nazionale (ACN, deutsch „Agentur für nationale Cybersicherheit“) ist eine 2021 gegründete italienische Agentur mit Sitz in Rom. Sie ist zuständig für Informationssicherheit, insbesondere für Netzwerksicherheit und die Abwehr von Cyber-Angriffen. Die ACN gehört zum Geschäftsbereich des Amtes des italienischen Ministerpräsidenten.
| |||
---|---|---|---|
Staatliche Ebene | Nationale Behörde | ||
Stellung der Behörde | Sicherheitsbehörde | ||
Aufsichtsbehörde(n) | Ministerratspräsidium | ||
Bestehen | seit 2021 | ||
Entstanden aus | u. a. DIS, Industrie-, Innenministerium, Agenzia per l’Italia digitale | ||
Hauptsitz | Via di Santa Susanna 15, Rom | ||
Behördenleitung | Roberto Baldoni[1] | ||
Mitarbeiter | 300 (800 bis 2027) | ||
Website | acn.gov.it |
Aufgaben
Die vom Parlament verabschiedeten Rechtsgrundlagen[2] der ACN wurden im Wesentlichen von dem Staatssekretär Franco Gabrielli entworfen, der die Zuständigkeiten im Grundsatz folgendermaßen unterteilt hat:[3]
- Cyber investigation: Polizeien (Verhütung und Verfolgung von Straftaten)
- Cyber defence: Streitkräfte (Schutz der militärischen Infrastruktur, Cyberkrieg)
- Cyber intelligence: Nachrichtendienste (Verfassungsschutz, Spionage)
- Cyber resilience: ACN (Informations- und Netzwerksicherheit und Cyberabwehr im Bereich der öffentlichen Verwaltung und der Wirtschaft)
Die Zuordnungen sind nicht ausschließlich. Unter Berücksichtigung der jeweiligen grundsätzlichen Zuständigkeiten hat die ACN gegenüber anderen Behörden und sonstigen staatlichen Stellen, die im Bereich der Netzwerk- und Informationssicherheit (Network and Information Security, NIS) aktiv sind, Koordinierungsaufgaben und kann von ihnen Amtshilfe verlangen. Die ACN ist in Italien zentraler Ansprechpartner vergleichbarer außeritalienischer Organisationen und der Agentur der Europäischen Union für Cybersicherheit, zu der die ACN einen Verbindungsbeamten entsendet.
Die ACN schützt insbesondere IT-Systeme und Netzwerke in einem offiziell festgelegten Bereich von strategischem nationalen Interesse (perimetro di sicurezza nazionale cibernetica). Dieser umfasst die öffentliche Verwaltung sowie öffentliche und private Organisationen oder Unternehmen in den Bereichen Sicherheit, Verteidigung, Luft- und Raumfahrttechnik, Energieversorgung, Telekommunikation, Verkehr, Forschung, Finanzdienstleistungen, Sozialversicherungen, Gesundheitssystem und digitale Dienste sowie andere Unternehmen, deren Schädigung zu ernsten Beeinträchtigungen der nationalen Sicherheit führen würde.[4]
Darüber hinaus ist die ACN in Italien die zentrale Zertifizierungsstelle von IT-Systemen. Hinsichtlich des europäischen Zertifizierungsrahmens für die Cybersicherheit ist die ACN nationale Akkreditierungsstelle. Sie akkreditiert Konformitätsbewertungsstellen der Ministerien für Verteidigung und Inneres, die zur Ausstellung von europäischen Cybersicherheitszertifikaten ermächtigt werden.
Zu den weiteren Aufgaben gehören die Entwicklung der Kryptographie und des Cloud Computing für die öffentliche Verwaltung, die Kooperation mit Forschungseinrichtungen, Hochschulen und Unternehmen, die Unterstützung von Studenten und Wissenschaftlern, die Zusammenarbeit mit vergleichbaren Organisationen im Ausland und die Teilnahme an internationalen Projekten und Übungen, die Unterstützung bei der Aktualisierung einschlägiger Rechtsnormen und im Allgemeinen die Sensibilisierung der Gesellschaft für das Thema Cybersicherheit.[5]
Organisation
Wegen ihrer ressortübergreifenden Aufgaben untersteht die ACN keinem Fachministerium, sondern dem Amt des Ministerpräsidenten. Der Ministerpräsident bestimmt die Richtlinien der Cyber-Sicherheitspolitik und ist für diese politisch verantwortlich. Beim Amt des Ministerpräsidenten besteht ein interministerielles Komitee für die Cybersicherheit, das dem Ministerpräsidenten Vorschläge für die Cyber-Sicherheitspolitik unterbreitet, die Umsetzung der nationalen Cyber-Sicherheitsstrategie überwacht, die Zusammenarbeit mit anderen Einrichtungen auf nationaler und internationaler Ebene fördert und zu Haushaltsangelegenheiten der ACN Stellung nimmt. Vorsitzender des Komitees ist der Ministerpräsident, Mitglieder sind die Minister für Äußeres, Inneres, Justiz, Verteidigung, Finanzen, Industrie, Umwelt, Infrastruktur und Verkehr, Forschung und Technologie (sowie bei Bedarf andere Minister, hohe Beamte und Militärs, jedoch ohne Stimmrecht). Der Ministerpräsident kann Aufgaben an einen Staatssekretär delegieren, der dann ebenfalls Mitglied des Komitees ist.[6]
Die ACN ist eine rechtsfähige Körperschaft des öffentlichen Rechts mit organisatorischer, administrativer und finanzieller Autonomie. Der ACN-Generaldirektor (der auch Sekretär des interministeriellen Steuerungskomitees ist) und dessen Stellvertreter werden nach Kabinettsbeschluss und Unterrichtung der zuständigen Parlamentsausschüsse vom Ministerpräsidenten auf vier Jahre ernannt; bis zu vier weitere Jahre sind möglich. Es muss sich um ausgewiesene Fachleute handeln. Neben einem kleinen Rechnungsprüfungsorgan besteht ein wissenschaftlicher Beirat, dessen Mitglieder sowohl von der ACN, als auch aus der Industrie, dem Forschungsbereich oder von relevanten Vereinigungen kommen.[7]
Innerhalb der ACN existiert das sogenannte „CSIRT Italia“ (Computer Security Incident Response Team) sowie das nationale Validierungs- und Zertifizierungszentrum. Für technische Grundsatz- und Planungsangelegenheiten sowie zur Koordinierung bei Krisen besteht ein besonderes Gremium (Nucleo per la cybersicurezza), das aus dem ACN-Generaldirektor oder dessen Stellvertreter (Vorsitz), dem Militärberater des Ministerpräsidenten, aus Vertretern des nachrichtendienstlichen Koordinierungsorganes DIS, des Auslandsnachrichtendienstes AISE, des Inlandsnachrichtendienstes AISI, den im genannten Steuerungskomitee vertretenen Ministerien und des Zivilschutzes besteht. Bei Bedarf können auch andere Fachleute hinzugezogen werden, in anderen Fällen ist auch ein kleineres Format möglich.[8]
Das Gesetz über die Errichtung der ACN setzt (Stand 2021) ein organisatorisches Limit von acht Abteilungen und 30 Referaten. Eine Ausweitung der zunächst autorisierten 300 Planstellen auf bis zu 800 im Jahr 2027 ist vorgesehen.[9] Die Vergütung des Personals richtet sich nach dem Vergütungssystem für das Personal der italienischen Zentralbank. Mit der Gründung des ACN wurde zunächst vorwiegend Personal von anderen Behörden übernommen. Davon abgesehen kann die ACN grundsätzlich bis zu 50 abgeordnete Fachleute anderer Verwaltungen beschäftigen. Externen Bewerbern können befristete und unbefristete Arbeitsverträge angeboten werden.[10]
Für organisatorische Angelegenheiten, die nicht gesetzlich geregelt sind, besteht eine Geschäftsordnung.
Obwohl die ACN kein Nachrichtendienst ist, unterliegt sie in bestimmten Angelegenheiten der Aufsicht des parlamentarischen Gremiums für die Kontrolle der Nachrichtendienste. Das Parlament erhält jährlich einen Bericht über die Tätigkeit der ACN, und das genannte parlamentarische Kontrollgremium einen weiteren, über Aktivitäten von nachrichtendienstlichem Interesse.[11]
Geschichte
Mit der Gründung der ACN wurden vormals zersplitterte Zuständigkeiten bei einer nationalen Fachbehörde konzentriert. Etliche Aufgaben der ACN lagen in der Vergangenheit beim nachrichtendienstlichen Koordinierungsorgan DIS, bei den Ministerien für Inneres und Industrie, bei der staatlichen IT-Agentur Agenzia per l’Italia digitale und deren Vorgängern sowie bei anderen Stellen.[12] Mit dem Gesetz über die Errichtung der ACN (und des Steuerungskomitees beim Amt des Ministerpräsidenten) wurden nicht nur Zuständigkeiten und organisatorische Angelegenheiten neu geregelt, sondern klare und umfassende Grundlagen für eine Gesamtstrategie im Bereich der Cybersicherheit geschaffen.[13]
Das auf dem Logo der ACN stehende Motto Sapientia Adiuvat („Wissen/Weisheit hilft“, eine Abwandlung von Fortes fortuna adiuvat) ist auch eine Hommage an die römische Universität La Sapienza, deren Fachbereich Informatik direkt und indirekt den Aufbau der Agentur unterstützt hat. Zum Zeitpunkt der ACN-Gründung waren viele Mitarbeiter Absolventen des Fachbereichs. Der erste Leiter der Agentur, Roberto Baldoni, war zuvor unter anderem Professor an diesem Fachbereich und leitete bis 2021 die Cyber-Abwehr-Abteilung des DIS, die unmittelbar neben dem Fachbereich lag. Diese DIS-Abteilung bildete den Grundstock für den Aufbau der ACN.[14]
Dienstsitz
Der ACN-Dienstsitz befindet sich in der römischen Altstadt, an der Via di Santa Susanna 15, in der Nähe bedeutender Ministerien, unter anderem des Finanz- und des Verteidigungsministeriums. In dem Gebäude der ACN befand sich früher der Dienstsitz des nachrichtendienstlichen Koordinierungsorganes CESIS (ab 2007 DIS).
Weblinks
Einzelnachweise
- Francesco Bechis: Chi è Roberto Baldoni, il nuovo cyber zar di Draghi. In: formiche.it. 5. August 2021, abgerufen am 8. August 2021 (italienisch).
- Testo del decreto-legge 14 giugno 2021, n. 82, coordinato con la legge di conversione 4 agosto 2021, n. 109, recante: «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale». In: Gazzetta Ufficiale. Abgerufen am 8. August 2021 (italienisch).
- Emanuele Scagliusi: L’Italia verso l’Agenzia per la cybersicurezza nazionale: i nodi da sciogliere subito. In: agendadigitale.eu. 18. Juni 2021, abgerufen am 8. August 2021 (italienisch).
- Luisa Franchina: Perimetro di sicurezza cibernetica e Agenzia dedicata: così la cyber italiana cerca il salto di qualità. In: agendadigitale.eu. 20. April 2021, abgerufen am 8. August 2021 (italienisch).
- Gesetzesdekret Nr. 82 vom 14. Juni 2021, Art. 7. In: gazzettaufficiale.it. Abgerufen am 9. August 2021 (italienisch).
- Gesetzesdekret Nr. 82 vom 14. Juni 2021, Art. 4. In: gazzettaufficiale.it. Abgerufen am 9. August 2021 (italienisch).
- Gesetzesdekret Nr. 82 vom 14. Juni 2021, Art. 5. In: gazzettaufficiale.it. Abgerufen am 9. August 2021 (italienisch).
- Gesetzesdekret Nr. 82 vom 14. Juni 2021, Art. 8 und 9. In: gazzettaufficiale.it. Abgerufen am 9. August 2021 (italienisch).
- Gabriele Carrer: Nasce l’Agenzia cyber di Draghi e Gabrielli. Tutti i dettagli. In: formiche.net. 9. Juni 2021, abgerufen am 9. August 2021 (italienisch).
- Gesetzesdekret Nr. 82 vom 14. Juni 2021, Art. 12. In: gazzettaufficiale.it. Abgerufen am 9. August 2021 (italienisch).
- Gesetzesdekret Nr. 82 vom 14. Juni 2021, Art. 14. In: gazzettaufficiale.it. Abgerufen am 9. August 2021 (italienisch).
- Samuele De Tomas Colatin: National Cybersecurity Organisation: Italy. In: ccdcoe.org. NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), 2020, abgerufen am 9. August 2021 (englisch).
- Marco Santarelli: Come sta cambiando la cybersecurity in Italia: la conversione del decreto legge 82. In: agendadigitale.eu. 9. Juli 2021, abgerufen am 6. August 2021 (italienisch).
- Fabio Tonacci: Ecco la Cyber Agenzia di Baldoni, l’ingegnere che recluta gli hacker. In: repubblica.it. 11. Juni 2021, abgerufen am 2. Februar 2022 (italienisch).