Preliminari osservazioni a margine del “Disegno di legge in materia di reati informatici e rafforzamento della cybersicurezza nazionale” (1/2024)

Il disegno di legge in materia di reati informatici e rafforzamento della cybersicurezza nazionale, di iniziativa governativa, è stato presentato in prima lettura alla Camera (C. 1717) in data 16 febbraio 2024 e mira a introdurre una serie di modifiche relative al rafforzamento delle funzioni di garanzia della cybersicurezza nazionale (artt. 1-10) e relative a una ridefinizione della normativa penale concernente i reati informatici che si possono configurare in questo settore (artt. 11-17).

Tale proposta normativa si inserisce in un contesto di sempre maggiore attenzione per i rischi correlati ai reati informatici e alla cybersicurezza nazionale rispetto a cui l’adozione della direttiva (UE) 2022/2555, cd. direttiva NIS2, superando e abrogando la precedente direttiva NIS, richiede di garantire un livello comune elevato di cybersicurezza nell’Unione, al fine di rispondere alle crescenti minacce poste dalla digitalizzazione e rafforzare la sicurezza dei soggetti coinvolti nel processo.

 

Il disegno di legge in commento, finalizzato a rispondere a questa esigenza di una sempre più intensa tutela della sicurezza cibernetica, è composto da diciotto articoli, dei quali verranno sintetizzati, di seguito, i profili di maggior interesse, relativi soprattutto alle disposizioni contenute nel Capo I del provvedimento.

La parte relativa al Capo I, articoli 1-10, recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale, resilienza delle pubbliche amministrazioni, personale e funzionamento dell’Agenzia per la cybersicurezza nazionale, nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici”, include disposizioni concernenti la cybersicurezza nazionale finalizzate a garantire una più elevata capacità di protezione e risposta di fronte alle emergenze cibernetiche.

Il Capo II, articoli 11-17, reca, invece, le “Disposizioni per la prevenzione e il contrasto dei reati informatici, nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici”. L’articolo 18 contiene la clausola di invarianza finanziaria.

I meccanismi impiegati al fine di gestire i rischi connessi alla garanzia della cybersicurezza nazionale sono costituiti da strumenti classici che rintracciamo nella regolazione che ha già affrontato la questione della mitigazione dei rischi strutturali e correlati a specifici ambiti (si pensi alla regolazione sulla protezione dei dati personali).

Si tratta, più nello specifico, degli obblighi di segnalazione e notifica di eventuali incidenti e di conformazione ai provvedimenti dell’autorità competente in materia di verifica della resilienza delle infrastrutture. Inoltre, l’individuazione in ogni organizzazione di un referente per la cybersicurezza, che svolge la funzione di punto di contatto unico dell’amministrazione con l’Agenzia per la cybersicurezza nazionale, ha la finalità di rendere maggiormente accountable ogni singola organizzazione.

L’articolo 1 pone a carico di pubbliche amministrazioni centrali, individuate ai sensi dell'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, regioni e province autonome di Trento e Bolzano, comuni con una popolazione superiore ai 100.000 abitanti e, comunque, comuni capoluoghi di regione, nonché società di trasporto pubblico urbano con bacino di utenza non inferiore ai 100.000 abitanti e aziende sanitarie locali, un obbligo di segnalazione e notifica degli incidenti indicati nella categorizzazione di cui all’articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105, potenzialmente aventi impatto su reti, sistemi informativi e servizi informatici di pertinenza. Sono tenute alla segnalazione e alla notifica anche le società in house di cui si avvalgono i richiamati soggetti.

Gli articoli 2 e 3 del disegno di legge prevedono rispettivamente un obbligo, posto a carico dei soggetti indicati nel comma 1 dell’articolo 1 del provvedimento, nonché dei soggetti Perimetro, dei soggetti NIS, e dei soggetti di cui all’articolo 40, comma 3, alinea, del decreto legislativo 1° agosto 2003, n. 259, di adottare gli interventi risolutivi in conseguenza delle segnalazioni che l’Agenzia per la cybersicurezza nazionale effettua circa specifiche vulnerabilità cui tali soggetti risultano potenzialmente esposti e un obbligo di applicare la medesima procedura – che consta delle due distinte fasi della segnalazione e della notifica – nonché degli stessi termini, introdotti dall’articolo 1 del provvedimento, in relazione alle ipotesi di notifica già previste per gli stessi soggetti Perimetro.

L’articolo 4 introduce una specifica modalità di funzionamento del Nucleo per la cybersicurezza di cui all’articolo 8 del decreto-legge 14 giugno 2021, n. 82, in relazione a specifiche questioni di particolare rilevanza concernenti i compiti di proposta di iniziative in materia di cybersicurezza del paese. In particolare, è prevista la possibile convocazione del Nucleo con la partecipazione dei rappresentanti delle sole amministrazioni e soggetti interessati, di volta in volta, estesa alla partecipazione di un rappresentante della Direzione nazionale antimafia e antiterrorismo, della Banca d’Italia o di uno o più operatori di cui all’articolo 1, comma 2-bis, del decreto-legge n. 105 del 2019, nonché di eventuali altri soggetti, competenti per le rispettive questioni.

L’articolo 6 stabilisce che le pubbliche amministrazioni indicate nell’articolo 1, comma 1, del provvedimento, debbano provvedere a individuare, laddove non già presente, una struttura, anche tra quelle esistenti, preposta alle relative attività di cybersicurezza e presso la quale opererà la istituenda figura del referente per la cybersicurezza, che svolge, tra l’altro, la funzione di punto di contatto unico dell’amministrazione con l’Agenzia per la cybersicurezza nazionale.

L’articolo 7 modifica l’articolo 7, comma 1, del decreto-legge 14 giugno 2021, n. 82, inserendo la lettera m-quater), finalizzata a prevedere, in ragione del ruolo di Autorità nazionale per la cybersicurezza, la possibilità per l’Agenzia di promuovere e sviluppare ogni iniziativa, anche di partenariato pubblico-privato, per la valorizzazione dell’intelligenza artificiale come risorsa per il rafforzamento della sicurezza e della resilienza cibernetiche nazionali, anche al fine di favorire un uso etico e corretto dei sistemi basati su tale tecnologia.

L’articolo 9 stabilisce un divieto, della durata di due anni, di assunzione, anche di incarichi, presso soggetti privati finalizzata allo svolgimento di mansioni in materia di cybersicurezza per i dipendenti appartenenti al ruolo del personale dell’Agenzia che abbiano partecipato, nell’interesse e a spese dell’Agenzia, a specifici percorsi formativi di specializzazione. Il medesimo articolo 9 prevede specifiche cause di esclusione dall’applicazione del richiamato divieto nel caso di collocamento a riposo d’ufficio, di raggiungimento del requisito anagrafico previsto dalla legge per la pensione di vecchiaia, di cessazione a domanda per inabilità, ovvero di dispensa dal servizio per motivi di salute.

I percorsi formativi di specializzazione che danno luogo al predetto divieto di assunzione, sono individuati con determina del direttore generale dell’Agenzia, che tenga conto della particolare qualità dell’offerta formativa, dei costi, della durata e del relativo livello di specializzazione che consegue alla frequenza dei suddetti percorsi.

L’articolo 10 reca disposizioni dirette a indicare criteri di cybersicurezza in tema di appalti. In particolare, è prevista l’adozione di un decreto del Presidente del Consiglio dei ministri, entro 120 giorni dalla data di entrata in vigore della presente legge, su proposta dell’Agenzia per la cybersicurezza nazionale, previo parere del Comitato interministeriale per la cybersicurezza di cui all’articolo 4 del decreto-legge 14 giugno 2021, n. 82, con cui sono individuati gli elementi essenziali di cybersicurezza da tenere in considerazione in relazione alle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici.

Osservatorio sulle fonti

Rivista telematica registrata presso il Tribunale di Firenze (decreto n. 5626 del 24 dicembre 2007). ISSN 2038-5633.

L’Osservatorio sulle fonti è stato riconosciuto dall’ANVUR come rivista scientifica e collocato in Classe A.

Contatti

Per qualunque domanda o informazione, puoi utilizzare il nostro form di contatto, oppure scrivici a uno di questi indirizzi email:

Direzione scientifica: direzione@osservatoriosullefonti.it
Redazione: redazione@osservatoriosullefonti.it

Il nostro staff ti risponderà quanto prima.

© 2017 Osservatoriosullefonti.it. Registrazione presso il Tribunale di Firenze n. 5626 del 24 dicembre 2007 - ISSN 2038-5633