A seguito della formale definizione procedurale che ha registrato il voto favorevole del Senato della Repubblica, dopo la prima votazione favorevole espressa dalla Camera dei deputati, è ufficialmente legge il progetto di iniziativa governativa presentato per il rafforzamento della cybersicurezza nazionale e di reati informatici.
Struttura e obiettivi della legge
In particolare, il testo consta di 24 articoli e introduce una disciplina organica diretta a salvaguardare le infrastrutture critiche del Paese dal rischio di possibili minacce informatiche in grado di comprometterne la vulnerabilità, destabilizzando la sicurezza nazionale.
Al riguardo, più nel dettaglio della tecnica normativa predisposta, il Capo I, identificato dagli articoli 1-15, regola la cybersicurezza nazionale, di cui è definita la relativa architettura di funzionamento, mediante la configurazione della governance sottesa al complessivo ecosistema di attori, criteri e poteri a tal fine stabiliti.
Il Capo II, composto dalle restanti disposizioni, detta, invece, una serie di misure per la prevenzione e il contrasto dei reati informatici, modificando, tra l’altro, il codice penale, il codice di procedura penale e ulteriori connesse normative speciali di settore, nell’ottica di inasprire il trattamento sanzionatorio quando vengono commessi reati informatici di rilevante gravità, unitamente al tendenziale ampliamento delle fattispecie criminose ivi enucleate nell’ambito di un generale riordino della materia.
Inquadramento della legge nel contesto normativo europeo
Sotto il profilo sistematico, la menzionata legge italiana può essere inquadrata alla luce della generale strategia regolatoria definita dall’Unione europea che mira, appunto, a rafforzare la resilienza informatica mediante la creazione di un ambiente digitale sicuro e affidabile, come si evince, a mero titolo di esempio, dal testo del cd. EU Cybersecurity Act, tenuto conto del quadro armonizzato introdotto dal cd. Cyber Resilience Act, in combinato disposto con la Direttiva NIS 1, integrata dalla Direttiva NIS 2, recanti norme volte a garantire un elevato livello comune di cybersicurezza nell’Unione europea.
Obblighi di notifica per le Pubbliche Amministrazioni
Entrando nel merito delle nuove previsioni stabilite dalla legge italiana sulla cybersicurezza nazionale, in primo luogo, l’articolo 1 prescrive a carico delle pubbliche amministrazioni stringenti obblighi di notifica aventi ad oggetto l’eventuale verificazione di incidenti telematici, suscettibili di determinare impatti su reti, sistemi informativi e servizi informatici.
Come chiarito dal Dossier esplicativo redatto in sede di stesura della relativa Nota di Lettura, gli incidenti da segnalare sono quelli indicati nella tassonomia di cui all’articolo 1, comma 3-bis, del decreto-legge n. 105 del 2019 che, in combinato disposto con il DPCM n. 81 del 2021, identifica, a tal fine, “ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici”.
In particolare, la segnalazione deve avvenire senza ritardo, e in ogni caso, entro il termine massimo di 24 ore dal momento dell’avvenuta conoscenza, nonché di ulteriori 72 ore a decorrere dal medesimo momento conoscitivo per la notifica completa di tutti gli elementi informativi disponibili, utilizzando le procedure indicate dall’Agenzia per la cybersicurezza nazionale.
Sanzioni per inosservanza degli obblighi
L’eventuale reiterata inosservanza dei previsti obblighi comporta, oltre alla possibilità di disporre ispezioni a cura dell’Agenzia per la cybersicurezza nazionale al fine di verificare la corretta e integrale attuazione delle misure richieste, l’irrogazione di sanzioni amministrative pecuniarie, costituendo, altresì, fonte di responsabilità disciplinare e amministrativo-contabile.
Ambito di applicazione della disciplina
L’ambito soggettivo di applicazione operativa della citata disciplina contemplata dall’art. 1 si estende, in senso ampio, alla nozione generale di PA, nel cui novero vanno ricondotti tutti gli apparati inclusi nell’elenco annuale ISTAT delle pubbliche amministrazioni previsto dall’articolo 1, comma 3, della legge n. 196 del 2009, le regioni e province autonome di Trento e di Bolzano, le città metropolitane, i comuni con popolazione superiore a 100.000 abitanti, i comuni capoluoghi di regione, le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane, le aziende sanitarie locali, le società in house degli enti menzionati che siano fornitrici di servizi informatici, dei servizi di trasporto, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, ovvero servizi di gestione dei rifiuti.
Interventi correttivi e sanzioni pecuniarie
Il successivo art. 2 prevede che, a seguito delle tempestive segnalazioni fornite all’Agenzia per la cybersicurezza nazionale, i relativi destinatari siano tenuti all’adozione degli interventi correttivi da attuare senza ritardo e comunque non oltre 15 dalla comunicazione, a pena di sanzioni pecuniarie, salvo il caso di motivate esigenze di natura tecnico-organizzativa, ostative alla tempestiva adozione, o comunque atte a giustificarne l’eventuale differimento oltre il termine indicato.
Il Dossier esplicativo chiarisce che la citata disposizione si applica, oltre che ai soggetti indicati dal precedente art. 1, tenuti a segnalare all’ACN gli incidenti cibernetici cui sono incorsi (ossia, le svariate articolazioni della PA complessivamente intesa in senso lato: amministrazioni centrali, regioni e provincie autonome, grandi comuni, società di trasporto pubblico urbano e ASL), anche a ulteriori soggetti.
Ulteriori soggetti a cui si applica la disposizione
Come precisato dalla richiamata Nota di lettura, infatti, si tratta degli organismi che operano nel settore della sicurezza nazionale ex art. 1, comma 2-bis, del D.L. 105/2019 (ossia, amministrazioni pubbliche, enti e operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione o utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale), nonché i soggetti di cui all’art. 3, comma 1, lettere g) e i), del D.Lgs. 65/2018 (ossia, operatori di servizi essenziali, pubblici o privati, che forniscono un servizio essenziale per il mantenimento di attività sociali e economiche fondamentali, fornitori di servizi digitali prestati normalmente dietro retribuzione, a distanza, per via elettronica a richiesta individuale), soggetti di cui all’articolo 40, comma 3, del D.Lgs. 259/2003 (ossia, le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico).
Convocazione del “Nucleo per la cybersicurezza”
Merita di essere segnalato l’art. 5 (rubricato “Disposizioni in materia di Nucleo per la cybersicurezza”) nella parte in cui contempla la possibilità, quando vengono in rilievo questioni di particolare rilevanza, di procedere alla convocazione del “Nucleo per la cybersicurezza” in composizione allargata, estesa, tra l’altro, alla partecipazione di un rappresentante della Direzione nazionale antimafia e antiterrorismo, della Banca d’Italia, nonché di eventuali altri soggetti, interessati alle stesse questioni. Il Nucleo per la cybersicurezza ha il compito di supportare il Presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento, al fine di assicurare un’efficiente gestione delle crisi che coinvolgono aspetti di cybersicurezza.
Coordinamento operativo tra enti e modifiche al Comitato interministeriale per la sicurezza della Repubblica
L’art. 6 della legge detta specifiche disposizioni in materia di coordinamento operativo tra servizi di informazione per la sicurezza nazionale e l’ACN con l’intento di azionare una pronta risposta sinergica di condivisione inter-istituzionale in presenza di eventi o incidenti informatici.
Risponde alle medesime finalità sistematiche di corale direzione organizzativa la “ratio” sottesa alla previsione normativa del successivo art. 7, che modifica la composizione del Comitato interministeriale per la sicurezza della Repubblica, includendovi anche la presenza del Ministro dell’agricoltura, del Ministro delle infrastrutture e dei trasporti e del Ministro dell’università e della ricerca.
Rafforzamento della resilienza informatica del settore pubblico
A tenore dell’art. 8, nell’ottica di garantire il rafforzamento della resilienza informatica del settore pubblico, le pubbliche amministrazioni individuano, ove non sia già presente, una struttura, anche tra quelle esistenti, che provvede allo sviluppo delle politiche e delle procedure di sicurezza delle informazioni, in grado di assicurare la produzione e l’aggiornamento di sistemi di analisi preventiva di rilevamento e la predisposizione di un piano per la gestione del rischio informatico, definendo i ruoli e l’organizzazione operativa del sistema, anche mediante l’adozione delle misure previste dalle linee guida per la cybersicurezza emanate dal l’ACN, con l’ulteriore compito di monitorare, in sede di valutazione continua, le minacce arrecate alla sicurezza e alla vulnerabilità dei sistemi. Inoltre, presso le strutture delle PA è prevista l’operatività di un referente per la cybersicurezza, dotato di comprovate professionalità e competenze in materia, come punto di contatto dell’amministrazione con l’Agenzia per la cybersicurezza nazionale.
L’istituzione del centro nazionale di crittografia
Tra le mansioni affidate alla struttura preposta alle attività di cybersicurezza e al referente per la cybersicurezza di cui all’art. 8 rientra, altresì, ex art. 9, la funzione di verificare che i programmi e le applicazioni informatiche e di comunicazione elettronica rispettino le linee guida sulla crittografia adottate dall’Agenzia per la cybersicurezza nazionale e dall’Autorità garante per la protezione dei dati personali, e non contengano vulnerabilità note, atte a rendere disponibili e intellegibili a terzi i dati cifrati.
A tal fine, secondo quanto stabilito dall’art. 10, nell’ottica di garantire la valutazione della sicurezza dei sistemi crittografici, promuovendone il relativo utilizzo, è istituito presso l’ACN il Centro nazionale di crittografia.
Divieto di assunzione per il personale dell’ACN
L’articolo 12 stabilisce un divieto, per la durata di due anni, di assunzione, anche di incarichi, presso soggetti privati finalizzata allo svolgimento di mansioni in materia di cybersicurezza per i dipendenti appartenenti al ruolo del personale dell’Agenzia per la cybersicurezza nazionale, che abbiano partecipato, nell’interesse e a spese dell’Agenzia stessa, a specifici percorsi formativi di specializzazione. Tale divieto, invero, non si applica al personale che sia cessato dal servizio presso l’Agenzia in caso, tra l’altro, di collocamento a riposo d’ufficio al raggiungimento del requisito anagrafico previsto dalla legge per la pensione di vecchiaia.
Recepimento della normativa europea
L’art. 15 positivizza principi e criteri direttivi specifici a cui il Governo dovrà attenersi nel recepimento della normativa europea in materia di resilienza operativa digitale per il settore finanziario (Regolamento europeo 2022/2554 e Direttiva europea 2022/2556).
Le opinioni espresse nel presente articolo hanno carattere personale e non sono, direttamente o indirettamente collegate, in alcun modo, alle attività e funzioni lavorative svolte dall’Autore, senza, quindi, impegnare, in alcun modo, l’Amministrazione di appartenenza del medesimo.