La cybersicurezza delle pubbliche amministrazioni italiane è al centro di un cambiamento profondo che intreccia nuove norme europee, decreti nazionali e scenari emergenti. Dal recepimento della NIS 2 al DDL ransomware, si delinea una responsabilità sistemica che ridefinisce l’intero approccio alla sicurezza informatica.
La sicurezza informatica, insomma, non è più appannaggio di pochi soggetti critici, ma coinvolge l’intero apparato pubblico. Il recente provvedimento sanzionatorio del Garante della Privacy contro un ordine professionale territoriale ne costituisce una dimostrazione plastica, evidenziando come la cybersicurezza sia ormai un obbligo generalizzato che trascende i confini tradizionali dei perimetri normativi.
Indice degli argomenti
La fase 2 del decreto legislativo 138/2024: tra accountability e incertezze operative
Le amministrazioni pubbliche stanno vivendo un momento cruciale nell’implementazione della cosiddetta “fase 2” del recepimento della Direttiva NIS 2, avvenuto attraverso il decreto legislativo 4 settembre 2024, numero 138. Il decreto, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024, ha recepito la Direttiva (UE) 2022/2555 relativa a misure per un livello comune elevato di cybersicurezza nell’Unione.
Nei mesi scorsi, l’ACN ha comunicato a tutti i soggetti registrati se fanno parte o meno dell’elenco dei soggetti rientranti nel perimetro NIS 2, rappresentando una scadenza fondamentale per l’identificazione dei soggetti responsabili della sicurezza informatica.
Questo passaggio, apparentemente tecnico, racchiude in realtà una complessità operativa considerevole e una valenza strategica determinante. Non si tratta semplicemente di una formalità burocratica, ma dell’implementazione concreta del principio di accountability che permea l’intera architettura normativa europea e nazionale. L’identificazione delle figure incaricate della sicurezza all’interno della singola organizzazione pubblica costituisce il fondamento imprescindibile per edificare una governance solida e conforme alle aspettative del legislatore europeo e nazionale.
La difficoltà di questo processo risiede nella necessità di bilanciare competenze tecniche, responsabilità organizzative e risorse disponibili. Molte amministrazioni, infatti, si trovano a dover ripensare completamente i propri assetti interni, definendo ruoli che spesso non esistevano o erano frammentati tra diverse strutture. L’incertezza interpretativa che caratterizza alcuni aspetti della normativa aggiunge ulteriore complessità a un quadro già articolato, richiedendo alle pubbliche amministrazioni uno sforzo di interpretazione e adattamento che va ben oltre la mera ottemperanza formale[1].
Il DDL ransomware: l’estensione strutturale del paradigma di sicurezza
Parallelamente all’implementazione della NIS 2, il panorama normativo italiano si arricchisce di proposte legislative che promettono di rivoluzionare l’approccio alla cybersicurezza. Tra queste, particolare attenzione merita il cd. DDL ransomware avente ad oggetto: “Delega al Governo per la definizione di una strategia nazionale per il contrasto degli attacchi informatici a scopo di estorsione” [2], fenomeno che negli ultimi anni ha assunto proporzioni allarmanti, colpendo indiscriminatamente organizzazioni pubbliche e private di ogni dimensione.
L’elemento più innovativo e potenzialmente dirompente di questa proposta risiede nella delega che verrebbe conferita al Governo per l’adozione di decreti legislativi che dovranno rispettare un principio fondamentale: la previsione di un obbligo di notifica e di audit a carico di qualsiasi soggetto pubblico e privato che subisca un attacco informatico di tipo ransomware a scopo di estorsione.
Questa formulazione rappresenta un cambio di paradigma radicale rispetto all’attuale impostazione normativa. L’obbligo di notifica degli incidenti informatici da attacco ransomware travalica completamente i confini del perimetro NIS 2, abbracciando una concezione sistemica della sicurezza che riconosce l’interconnessione e l’interdipendenza di tutti gli attori del sistema-Paese.
Le conseguenze operative di questa estensione sono significative: ogni soggetto pubblico, indipendentemente dalla propria collocazione rispetto ai perimetri tradizionali, dovrà necessariamente dotarsi di procedure interne di governance e di protocolli di notifica degli incidenti. Tale notifica, secondo il disegno di legge, dovrà essere effettuata al Gruppo nazionale di risposta agli incidenti di sicurezza informatica (CSIRT Italia) entro sei ore dal momento in cui il soggetto ne sia venuto a conoscenza, pena una sanzione amministrativa commisurata alla violazione.
Viene, inoltre, specificato che l’adempimento dell’obbligo di notifica dell’attacco informatico a scopo di estorsione lascia impregiudicati eventuali ulteriori obblighi di notifica di incidenti informatici già previsti della normativa vigente. La nuova notificazione prevista dal disegno di legge consentirà, pertanto, di avere un quadro più aggiornato sui dati degli attacchi alle imprese e pubbliche amministrazioni[3].
Il DDL prevede inoltre che l’Agenzia per la cybersicurezza nazionale predisponga un piano di azione a sostegno dei soggetti pubblici e privati colpiti da un attacco informatico a scopo di estorsione con particolare riguardo anche delle pubbliche amministrazioni locali e le piccole e medie imprese, che preveda almeno il supporto operativo nelle fasi di gestione degli attacchi informatici a scopo di estorsione, di contenimento dei loro effetti, di recupero dell’operatività delle reti, dei sistemi informativi e dei servizi informatici colpiti, e di valutazione delle alternative all’eventuale pagamento del riscatto. Il piano di azione deve indicare anche le buone prassi e le misure di sicurezza informatica preventive a cui i soggetti pubblici e privati possono fare riferimento per mitigare il rischio di essere colpiti da un attacco informatico a scopo di estorsione. Inoltre, viene previsto un punto di riferimento unico per la raccolta, analisi e condivisione delle informazioni per la resilienza agli attacchi informatici a scopo di estorsione, sia a livello nazionale che internazionale.
Il DDL prevede che venga istituito il Fondo nazionale di risposta agli attacchi informatici a scopo di estorsione per supportare i soggetti pubblici e privati nel ristoro, anche solo parziale, delle perdite economiche subite a seguito di un attacco informatico a scopo di estorsione. Questo purché tali soggetti dimostrino di aver adempiuto all’obbligo di notifica e di aver applicato quanto previsto nel piano di azione sul modello dell’ACN.
Il DDL, infine, anticipa l’introduzione di audit pre e post incidente, strumenti che dovrebbero essere applicati universalmente, senza distinzioni basate sulla dimensione o sulla criticità del soggetto coinvolto. Questa previsione sottolineerebbe la volontà del legislatore di costruire un sistema di prevenzione e risposta che non lasci spazi vuoti o zone grigie, riconoscendo che la sicurezza informatica è una responsabilità collettiva che richiede l’impegno di tutti gli attori del sistema.
Il caso dell’ordine professionale e le carenze strutturali
La ratio sottesa alle proposte legislative in materia di ransomware trova una conferma drammatica nella realtà operativa quotidiana. Gli attacchi informatici non rispettano i confini normativi e non si fermano alle soglie dei perimetri individuati dal legislatore europeo o nazionale. Il caso dell’Ordine professionale territoriale, colpito da un attacco ransomware e successivamente sottoposto a procedimento sanzionatorio da parte del Garante per la protezione dei dati personali, rappresenta un esempio paradigmatico di questa dinamica.
Il Garante ha inflitto all’Ordine una sanzione di 30.000 euro, evidenziando una serie di carenze strutturali nelle misure tecniche e organizzative adottate. L’autorità, più precisamente, ha segnalato l’insufficienza e inadeguatezza delle misure conformi alla circolare AGID sugli standard minimi di sicurezza adottate dall’organizzazione professionale, richiamando l’attenzione sull’aggiornamento costante e sul continuo sviluppo di misure di prevenzione e compliance per la sicurezza informatica.
Particolarmente significativa appare la valutazione del Garante riguardo alla gestione post-incidente. La poca reattività nell’attivazione di misure di contenimento e la gestione tardiva dell’incidente hanno contribuito ad aggravare il quadro sanzionatorio, dimostrando come la preparazione e la prontezza di risposta siano elementi essenziali non solo per minimizzare i danni, ma anche per ridurre l’esposizione a responsabilità amministrative.
L’integrazione tra cybersicurezza e protezione dei dati
Il caso dell’Ordine professionale illumina un aspetto spesso sottovalutato ma di cruciale importanza: l’interconnessione indissolubile tra cybersicurezza e protezione dei dati personali. L’attacco ransomware ha comportato non solo una compromissione dei sistemi informatici, ma anche un data breach relativo ai dati custoditi dall’Ordine, attivando così la competenza del Garante della Privacy.
Questa duplicità di ambiti normativi e di autorità competenti evidenzia la necessità di un approccio integrato che sappia coniugare le esigenze di sicurezza informatica con quelle di protezione dei dati personali. Le organizzazioni pubbliche non possono più permettersi di operare con logiche a compartimenti stagni, separando artificialmente la gestione della cybersicurezza da quella della privacy. La sovrapposizione di competenze tra ACN e Garante della Privacy nel caso di incidenti informatici richiede una strategia coordinata che preveda protocolli di comunicazione e procedure operative allineate.
Il piano triennale e l’aggiornamento del capitolo 7
Il Piano Triennale per l’informatica nella pubblica amministrazione 2024-2026 dedica il capitolo 7 alla cybersicurezza, rappresentando una fonte normativa consolidata per tutti gli enti pubblici, indipendentemente dalla loro collocazione nei perimetri NIS 2 o legge 90/2024. Tuttavia, l’aggiornamento di gennaio 2025 del Piano Triennale non ha comportato una revisione del capitolo 7, lasciando questo importante riferimento normativo in una condizione di disallineamento rispetto all’evoluzione legislativa recente.
Questa situazione di stallo normativo crea un paradosso operativo: mentre le amministrazioni più grandi e strategiche sono chiamate a conformarsi a standard sempre più elevati attraverso NIS 2 e legge 90, quelle di dimensioni minori si trovano ancora ancorate a riferimenti normativi che rischiano di diventare obsoleti. Il capitolo 7, pur mantenendo la sua validità formale, necessita di un aggiornamento che tenga conto delle evoluzioni normative e tecnologiche intervenute.
Tuttavia, questa apparente lacuna può trasformarsi in un’opportunità per le amministrazioni più proattive. Il riferimento del capitolo 7 al “piano per la cybersicurezza” apre la strada a interpretazioni evolutive che consentono di anticipare gli sviluppi normativi futuri. La mancanza di definizioni rigide permette alle amministrazioni di adottare approcci innovativi, ispirati ai modelli più avanzati previsti dalla NIS 2 ma calibrati sulle proprie specificità dimensionali e organizzative.
L’attesa per l’aggiornamento del capitolo 7, prevedibilmente collocata tra la fine del 2025 e l’inizio del 2026, non deve tradursi in inerzia operativa. Al contrario, rappresenta l’occasione per sperimentare modelli di governance della cybersicurezza che possano costituire best practice per il futuro scenario normativo. La transizione verso il nuovo Piano Triennale 2027 offrirà probabilmente l’opportunità di un allineamento più completo con i principi e le metodologie della NIS 2.
I tre pilastri della governance proattiva
L’evoluzione del quadro normativo e l’emergere di nuove minacce richiedono un cambiamento di paradigma nell’approccio alla cybersicurezza delle pubbliche amministrazioni. Non è più sufficiente una postura reattiva, basata sull’adeguamento alle normative esistenti, ma diventa necessario sviluppare una governance proattiva che anticipi le evoluzioni future e costruisca resilienza sistemica.
Il primo pilastro di questa trasformazione riguarda la governance e la definizione dei ruoli nella cybersicurezza. Ogni amministrazione deve identificare chiaramente le responsabilità in materia di sicurezza informatica, superando la logica della delega a singoli soggetti per abbracciare un modello di responsabilità diffusa che coinvolga tutti i livelli organizzativi. La sensibilizzazione degli organi apicali rappresenta un passaggio fondamentale: la cybersicurezza non può essere considerata una questione meramente tecnica, ma deve essere riconosciuta come una priorità strategica che richiede attenzione e investimenti da parte del vertice politico e amministrativo.
La definizione di ruoli chiari non significa soltanto l’identificazione formale di responsabili della sicurezza informatica, ma implica la costruzione di un sistema di competenze che sappia integrare aspetti tecnici, giuridici e organizzativi. La formazione continua del personale, a tutti i livelli, costituisce un investimento indispensabile per mantenere aggiornate le competenze in un settore in costante evoluzione.
Il secondo pilastro riguarda la predisposizione di procedure operative per la gestione degli incidenti informatici. La preparazione di protocolli dettagliati di risposta agli incidenti non rappresenta soltanto un adempimento normativo, ma costituisce un fattore critico di successo nel contenimento dei danni e nella riduzione dell’esposizione a responsabilità amministrative. Questi protocolli devono prevedere tempistiche precise, canali di comunicazione definiti e criteri chiari per la valutazione della gravità degli incidenti.
La preparazione deve estendersi anche agli aspetti comunicativi, spesso trascurati ma di fondamentale importanza nella gestione delle crisi. La definizione di template di comunicazione per i diversi stakeholder – vertici politici, media, cittadini, autorità competenti – consente di mantenere il controllo narrativo durante le fasi più critiche e di evitare amplificazioni mediatiche dannose.
Il terzo pilastro riguarda la predisposizione di un piano complessivo per la cybersicurezza che vada oltre la gestione degli incidenti per abbracciare una visione strategica di medio-lungo termine. Questo piano deve includere l’assessment delle dotazioni tecnologiche esistenti, l’identificazione delle vulnerabilità, la pianificazione degli investimenti e la definizione di indicatori di performance per il monitoraggio continuo del livello di sicurezza.
L’accountability come strumento difensivo
L’esperienza del caso dell’Ordine professionale offre una lezione importante sulla dimensione difensiva della compliance in materia di cybersicurezza. Il Garante della Privacy ha evidenziato come l’adozione delle sole misure minime di sicurezza previste dalla circolare AGID del 2017 non sia più sufficiente a garantire una protezione adeguata contro le sanzioni amministrative. L’autorità ha chiaramente affermato che questi standard, risalenti a quasi dieci anni fa, devono essere considerati obsoleti e inadeguati rispetto al contesto tecnologico e normativo attuale.
Questa valutazione del Garante segnala un cambio di paradigma nell’approccio sanzionatorio: non è più sufficiente dimostrare di aver adottato le misure formalmente previste dalle norme vigenti, ma diventa necessario provare di aver implementato standard di sicurezza adeguati al contesto di minaccia attuale e alle migliori pratiche del settore.
La costruzione di un apparato documentale robusto assume quindi una valenza difensiva fondamentale. La capacità di dimostrare di aver adottato misure proporzionate al rischio, aggiornate rispetto all’evoluzione tecnologica e allineate con gli standard internazionali, costituisce il miglior strumento di protezione contro eventuali contestazioni delle autorità competenti.
Questa documentazione non deve essere concepita come un mero adempimento burocratico, ma come la cristallizzazione di un processo di valutazione e gestione del rischio che rifletta la maturità organizzativa dell’ente. La capacità di spiegare le scelte adottate, di giustificare le priorità definite e di documentare i miglioramenti implementati rappresenta la manifestazione tangibile di quella cultura della sicurezza che il legislatore europeo intende promuovere.
Un modello sistemico di cybersicurezza pubblica
L’analisi delle tendenze normative e dei casi pratici evidenzia una direzione chiara nell’evoluzione della cybersicurezza pubblica italiana: il superamento progressivo della logica dei perimetri verso un modello sistemico che riconosca l’interconnessione e l’interdipendenza di tutti gli attori del sistema pubblico.
Il DDL ransomware rappresenta probabilmente solo il primo passo di questa evoluzione. È lecito attendersi che nei prossimi anni altri tipi di incidenti informatici vengano gradualmente inclusi in obblighi di notifica estesi, fino a configurare un sistema di monitoraggio e risposta che abbracci l’intero ecosistema digitale pubblico.
Questa evoluzione richiederà un ripensamento profondo delle strategie di investimento in cybersicurezza da parte delle pubbliche amministrazioni. Non sarà più possibile considerare la sicurezza informatica come un costo operativo da minimizzare, ma dovrà essere riconosciuta come un investimento strategico indispensabile per garantire la continuità dei servizi pubblici e la protezione dei diritti dei cittadini.
La dimensione territoriale della cybersicurezza assumerà inoltre un’importanza crescente. Gli enti locali, spesso caratterizzati da risorse limitate e competenze tecniche non sempre adeguate, dovranno necessariamente sviluppare forme di collaborazione e condivisione delle risorse per affrontare sfide che superano le loro capacità individuali.
L’esperienza di altri Paesi europei suggerisce che il futuro della cybersicurezza pubblica passerà attraverso lo sviluppo di ecosistemi territoriali di sicurezza, in cui enti di diverse dimensioni collaborano nella condivisione di informazioni, nella gestione degli incidenti e nell’acquisizione di competenze specialistiche.
La cybersicurezza come responsabilità sistemica
L’evoluzione del quadro normativo italiano in materia di cybersicurezza delinea uno scenario in cui la sicurezza informatica cessa di essere una questione settoriale per diventare una responsabilità sistemica che coinvolge ogni livello dell’amministrazione pubblica. Il superamento della logica dei perimetri, anticipato dal DDL ransomware e confermato dalla prassi sanzionatoria del Garante della Privacy, richiede un cambio di paradigma che ogni amministrazione pubblica deve necessariamente affrontare.
La lezione che emerge dall’analisi dei recenti sviluppi normativi e giurisprudenziali è chiara: la cybersicurezza non è più un’opzione o una priorità differibile, ma una condizione necessaria per l’esercizio delle funzioni pubbliche nell’era digitale. Ogni ente pubblico, indipendentemente dalla propria dimensione o dalla propria collocazione nei perimetri normativi tradizionali, è chiamato ad assumere una postura proattiva di gestione del rischio cyber e deve partire dall’analisi dei rischi e garantire certi standard di sicurezza e dovrebbe ricorrere anche a strumenti assicurativi per il rischio cyber.
Questa trasformazione richiede investimenti non solo tecnologici, ma soprattutto organizzativi e culturali. La costruzione di competenze interne, lo sviluppo di procedure operative efficaci e l’adozione di standard documentali adeguati rappresentano i presupposti indispensabili per affrontare con successo le sfide future.
Il tempo dell’improvvisazione e della gestione emergenziale è definitivamente tramontato. La cybersicurezza pubblica richiede oggi pianificazione strategica, investimenti mirati e una visione di lungo termine che sappia anticipare le evoluzioni tecnologiche e normative. Solo attraverso questo approccio sistematico sarà possibile costruire una pubblica amministrazione digitale realmente sicura e resiliente, in grado di servire efficacemente i cittadini nell’era dell’interconnessione globale.
La strada verso una cybersicurezza pubblica matura è ancora lunga e richiederà uno sforzo coordinato di tutti gli attori del sistema. Tuttavia, i segnali di cambiamento sono evidenti e incoraggianti: l’attenzione crescente del legislatore, l’evoluzione della prassi applicativa e la maturazione della consapevolezza dei rischi costituiscono le premesse per una trasformazione che appare ormai inarrestabile. Il successo di questo processo dipenderà dalla capacità di ogni amministrazione di cogliere l’opportunità di cambiamento, trasformando gli obblighi normativi in occasioni di modernizzazione e miglioramento dei propri standard operativi.
Per approfondimenti, sono disponibili risorse gratuite sul sito www.scudoc.it
Note
[1] Si permetta, sul punto, di rinviare al seguente link di Just4cyber
[2] https://www.senato.it/leg/19/BGT/Schede/FascicoloSchedeDDL/ebook/59040.pdf
[3] Sul modello di iniziative che si stanno perseguendo anche in altri Paesi, come l’Australia: https://www.legislation.gov.au/F2025L00278/asmade/text il cui ambito soggettivo di applicazione è definito come segue: “Part 3 of the Act imposes an obligation to provide a ransomware payment report if an entity:
(a) is a reporting business entity; and
(b) is impacted by a cyber security incident; and
(c) has provided, or is aware that another entity has provided on their behalf, a ransomware payment to an entity that is seeking to benefit from the impact or the cyber security incident.
Generally an entity will only be a reporting business entity if it:
(a) is a responsible entity for a critical infrastructure asset to which Part 2B of the Security of Critical Infrastructure Act 2018 applies; or
(b) is carrying on a business in Australia with an annual turnover for the previous financial year that exceeds the turnover threshold (see section 6 of this instrument) for that year.
Particular information must be included in a ransomware payment report, including information relating to the cyber security incident, the demand made by the extorting entity and the ransomware payment. The information contained in the report must be in accordance with the requirements provided by the rules (see section 7 of this instrument)”.
