Ddl Cybersicurezza: Verso un Futuro più Sicuro attraverso Normative Rafforzate, Resilienza delle PA e Gestione Trasparente degli Incidenti
Questo articolo è il secondo di una serie dedicata all’analisi tecnico-giuridica del Disegno di Legge recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” approvato dal Consiglio dei Ministri lo scorso 25 gennaio e attualmente in corso di esame parlamentare (qui la prima parte).
Disegno di legge Cybersicurezza: panoramica e obiettivi
Il Ddl in materia di rafforzamento della cybersicurezza nazionale e di reati informatici, approvato il 25 gennaio 2024 dal Consiglio dei Ministri e presentato alle Camere il successivo 16 febbraio, costituisce un avanzamento rilevante nel processo di evoluzione della normativa italiana in materia.
Esso si presenta come un insieme normativo di notevole complessità, ideato per confrontarsi con le sfide e le minacce che caratterizzano l’ambiente digitale in continua trasformazione.
Il suddetto Disegno di Legge rappresenta segna un punto di svolta nel corpus legislativo italiano, in risposta all’esigenza sempre più pressante di salvaguardare infrastrutture critiche e dati di rilevanza sensibile da pericoli informatici in costante ascesa ed evoluzione.
Con questa iniziativa si intende consolidare il tessuto di sicurezza digitale nazionale attraverso una serie di interventi specifici, che riflettono un approccio olistico alla prevenzione e alla gestione degli incidenti informatici. Il fulcro di tale iniziativa legislativa è il riconoscimento che la sicurezza delle informazioni non può essere relegata a un “secondo piano” ma deve essere integrata in ogni aspetto della gestione pubblica e privata.
La volontà di estendere il perimetro di applicazione delle norme sulla cybersicurezza va intesa come un segnale inequivocabile dell’intento del legislatore di abbracciare una varietà più estesa di entità, non limitandosi alle infrastrutture critiche tradizionalmente riconosciute ma estendendo la protezione a nuove realtà esposte ai pericoli informatici. Tale estensione implica una valutazione accurata dei soggetti coinvolti, che saranno tenuti ad adottare misure di sicurezza adeguate e a rispondere in modo proattivo agli incidenti, assicurando in tal modo un livello uniforme e coeso di protezione su scala nazionale.
Il rafforzamento delle capacità di prevenzione, rilevamento e risposta agli incidenti informatici si concretizza in un impegno tangibile per le Pubbliche Amministrazioni e gli operatori di servizi essenziali, invitati ad adottare politiche e procedure capaci di ridurre efficacemente il rischio di attacchi informatici.
La cooperazione e il coordinamento tra i vari soggetti coinvolti diventano, pertanto, elementi chiave per la realizzazione di un sistema di sicurezza informatica efficace ed efficiente, in grado di proteggere il patrimonio informativo nazionale.
Inoltre, l’adozione di un regime sanzionatorio rafforzato per i reati informatici testimonia la volontà del legislatore di affrontare con maggiore determinazione la minaccia rappresentata da attacchi sempre più sofisticati e dannosi. Le disposizioni introdotte prevedono severe punizioni per coloro che compromettono la sicurezza informatica, inviando un messaggio incisivo riguardo alla serietà con cui lo Stato intende difendere le proprie infrastrutture e i dati personali dei cittadini.
Attraverso tali misure, il disegno di legge mira ad instaurare un ambiente digitale più sicuro per tutti i cittadini e le aziende italiane, favorendo la diffusione e l’ancoraggio di una cultura della sicurezza. La sfida che il legislatore è chiamato a raccogliere è di notevole complessità, richiedendo di trovare un equilibrio tra la tutela della sicurezza nazionale e la salvaguardia della libertà e dei diritti fondamentali dei cittadini nell’era digitale.
Perimetro di applicabilità
Il Disegno di Legge, introducendo un ambito di applicazione ampio e dettagliato, sottolinea un approccio legislativo mirato a inglobare una varietà di soggetti chiave nel tessuto della sicurezza digitale italiana.
Con una visione inclusiva, il Ddl Cybersicurezza indirizza la sua attenzione verso le Pubbliche Amministrazioni, le aziende strategiche operanti nei settori nevralgici dell’economia e le infrastrutture di importanza cruciale, precedentemente non incluse in regolamentazioni specifiche di sicurezza a livello nazionale, stabilendo per tali soggetti una gamma di responsabilità intese a incrementare il grado di protezione e resilienza di fronte a minacce di natura informatica.
Il nucleo dell’orientamento legislativo adottato dal Ddl si concentra sull’integrazione esplicita di pubbliche amministrazioni e imprese di rilevanza strategica, operanti in settori come le telecomunicazioni, l’energia, i trasporti, la finanza e la salute.
Tali entità, data la loro essenziale rilevanza nell’ecosistema nazionale, sono tenute a osservare standard di sicurezza informatica particolarmente rigorosi. La scelta di includere questi soggetti segue una logica preventiva, in quanto rappresentano bersagli più appetibili per attacchi informatici, avendo la potenzialità, se compromessi, di influenzare significativamente il quotidiano dei cittadini e le funzioni primarie dello Stato.
Parallelamente, il disegno di legge specifica l’esclusione dal suo campo d’applicazione dei cosiddetti “Soggetti Perimetro” – già tutelati da precedenti disposizioni legislative (i.e. soggetti di cui all’articolo 1, comma 2-bis, del decreto-legge n. 105 del 2019) – e gli organi di Stato preposti alla prevenzione, all’accertamento e alla repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica, alla difesa e sicurezza militare dello Stato e agli organismi di informazione per la sicurezza (i.e. soggetti di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124).
Tale esclusione mira a evitare ridondanze normative e a garantire un intervento legislativo snello ed efficace, focalizzato laddove il bisogno di nuove misure di sicurezza si fa più pressante. Ne consegue, pertanto, che la decisione di escludere queste categorie non deriva da una percezione di minore importanza della loro sicurezza informatica ma, al contrario, dall’esistenza di un impianto normativo già definito e specializzato che le riguarda.
Obblighi specifici per il rafforzamento della resilienza delle P.A.
Secondo le disposizioni normative richiamate, il disegno di legge stabilisce obblighi specifici per i soggetti inclusi nel suo ambito di applicazione. L’essenza di tali obblighi si radica nella necessità di un’azione coordinata e rapida di fronte alle vulnerabilità informatiche, mirando a garantire una reattività efficace alle minacce informatiche e una riduzione del rischio di incidenti di sicurezza, nonché a consolidare la resilienza informatica del Paese.
Le Pubbliche Amministrazioni sono chiamate a svolgere un ruolo proattivo e strutturato nella prevenzione e gestione delle minacce informatiche, integrando obblighi specifici che trascendono la mera risposta alle segnalazioni di vulnerabilità. In particolare sono tenute ad elaborare politiche e procedure di sicurezza informatica adeguate, a gestire il rischio informatico in modo proattivo, a definire ruoli e organizzazioni per la sicurezza delle informazioni, nonché a sviluppare piani per la sicurezza di dati, dei sistemi e delle infrastrutture. Questo impegno necessita di un approccio olistico alla sicurezza, che includa non solo la protezione contro gli attacchi esterni ma anche la preparazione interna e la capacità di resilienza.
Tra le disposizioni di maggiore importanza vi è l’obbligo di formazione e aggiornamento continuo del personale riguardo alle minacce alla sicurezza e alle vulnerabilità dei sistemi. Tale aspetto enfatizza la necessità di una cultura della sicurezza profondamente integrata all’interno delle organizzazioni, capace di adattarsi dinamicamente al panorama delle minacce in continua evoluzione.
L’articolo 6 del Ddl rafforza ulteriormente questo indirizzo, proponendo di proseguire l’attuazione di una direttiva del Presidente del Consiglio dei Ministri (datata 6 luglio 2023) che aveva già definito linee guida per promuovere una gestione efficace degli incidenti cibernetici all’interno delle P.A., inserendosi in un contesto di normative preesistenti e di nuove disposizioni volto a consolidare la capacità delle amministrazioni di prevenire, gestire e rispondere in maniera efficace agli incidenti informatici.
Un aspetto fondamentale di questa strategia è l’obbligatorietà per le amministrazioni di individuare – qualora non già presente – una struttura interna dedicata specificamente alle attività di cybersicurezza, avvalendosi delle risorse umane, strumentali e finanziarie disponibili. Questa struttura avrà il compito di operare come fulcro delle iniziative di sicurezza informatica, garantendo un approccio coordinato e integrato.
Presso tale struttura opererà la figura del referente per la cybersicurezza, designato come punto di contatto unico dell’amministrazione con l’Agenzia per la Cybersicurezza Nazionale (ACN). Questa figura svolge un ruolo cruciale nella garanzia di comunicazione e collaborazione efficaci con l’ACN, fungendo da snodo centrale per il flusso di informazioni, segnalazioni e aggiornamenti relativi alla sicurezza informatica.
Attraverso l’istituzione di strutture dedicate e la designazione di referenti specifici per la cybersicurezza, il Disegno di Legge persegue l’obiettivo di migliorare la capacità delle pubbliche amministrazioni di rispondere in maniera coordinata ed efficace agli incidenti di cybersicurezza. Il suddetto approccio non solo rafforza la cybersecurity posture delle singole entità, ma contribuisce significativamente alla resilienza complessiva del tessuto digitale nazionale, creando un ambiente più sicuro e protetto contro le minacce informatiche.
Obblighi di notifica e segnalazione degli incidenti di sicurezza e relative sanzioni
Premesso quanto sopra, il Disegno di Legge impone specifici obblighi di segnalazione e notifica degli incidenti di sicurezza alle Pubbliche Amministrazioni, delineando chiare responsabilità in caso di incidenti che riescano a eludere le misure di sicurezza implementate. Questi obblighi rappresentano una componente critica della strategia nazionale di cybersicurezza, garantendo una reazione tempestiva e coordinata agli incidenti, essenziale per minimizzare potenziali impatti e prevenire ulteriori compromissioni.
L’art. 1 del Ddl specifica che le P.A. centrali, le regioni, le province autonome, i comuni con una popolazione superiore ai 100.000 abitanti e altre entità, quali le società di trasporto pubblico urbano e le aziende sanitarie locali, sono tenute a segnalare e notificare all’ACN gli incidenti di sicurezza aventi un impatto significativo sui loro sistemi informativi e servizi informatici.
Cruciale per il quadro normativo è l’implementazione dell’art. 2, che impone a tali soggetti di agire prontamente in risposta alle segnalazioni dell’ACN riguardanti specifiche vulnerabilità cui risultano potenzialmente esposti. Senza ritardo e non oltre quindici giorni dalla comunicazione, è necessario che i soggetti procedano con l’attuazione degli interventi risolutivi indicati dall’Agenzia.
In caso di inosservanza di questa disposizione, ovvero se gli enti non mettono in atto con prontezza le azioni correttive indicate, il Disegno di Legge stabilisce l’imposizione di sanzioni pecuniarie, come specificato nell’articolo 1, comma 5. Tanto premesso, si osserva come il disegno di legge contempli un’eccezione per i casi in cui impedimenti di ordine tecnico-organizzativo, debitamente notificati all’ACN, ostacolino l’adozione degli interventi risolutivi nei termini stabiliti.
La procedura sanzionatoria prevista per gli enti che omettono gli obblighi di segnalazione e notifica (come specificato all’art. 1), nonché in caso di mancato adeguamento alle indicazioni fornite a seguito di segnalazioni (conforme all’art. 2, fatto salvo quanto previsto al comma 2 del medesimo articolo), sottolinea l’importanza di assicurare trasparenza e collaborazione proattiva con l’ACN. In particolare, l’Agenzia invia una comunicazione preliminare all’ente inadempiente, segnalando che la persistenza nell’inosservanza comporterà l’applicazione di sanzioni pecuniarie. L’avviso preliminare emanato dall’Agenzia agisce come monito alla responsabilità degli enti nell’applicare le disposizioni, incentivandoli a rispettare i propri obblighi e favorendo lo sviluppo di un ecosistema di cybersicurezza nazionale maggiormente solido e resistente.
Inoltre, nell’ottica di un continuo rafforzamento della cybersicurezza nazionale e di una più efficace gestione degli incidenti informatici, il Ddl introduce ulteriori significative modifiche. In particolare, l’articolo 3 modifica l’art. 1, comma 3-bis, del decreto-legge n. 105 del 2019, stabilendo un raccordo e coordinamento con le nuove disposizioni. Questa modifica prevede l’applicazione, anche per soggetti rientranti nel perimetro di sicurezza nazionale cibernetica, della stessa procedura di segnalazione e notifica degli incidenti di sicurezza delineata per le P.A., introducendo un doppio step: una segnalazione immediata entro 24 ore dall’incidente e una notifica dettagliata entro 72 ore.
Si tratta, lo si specifica, delle ipotesi di notifica già previste per gli stessi soggetti Perimetro dal richiamato comma 3- bis; e cioè in relazione agli incidenti aventi impatto su reti, sistemi informativi e servizi informatici, di pertinenza di tali soggetti, diversi da quelli inseriti nel Perimetro.
Tale innovazione normativa si propone di assicurare un flusso informativo tempestivo e dettagliato verso l’Agenzia per la Cybersicurezza Nazionale, facilitando un intervento più tempestivo ed efficace in caso di incidenti suscettibili di impattare le reti, i sistemi informativi e i servizi informatici nazionali, inclusi quelli non direttamente inseriti nel Perimetro di sicurezza nazionale.
La previsione di sanzioni amministrative pecuniarie, che possono variare da 25.000 a 125.000 euro per i casi di reiterata violazione dell’obbligo di notifica, enfatizza ancor di più la volontà legislativa di garantire l’aderenza ai summenzionati obblighi critici per la sicurezza informatica del Paese.
Tanto premesso, si osserva come le disposizioni del Disegno di Legge mirino a creare un ambiente digitale nazionale più sicuro e resiliente, ove la pronta segnalazione e notifica degli incidenti di sicurezza da parte delle pubbliche amministrazioni contribuisce significativamente alla capacità complessiva del Paese di rispondere alle minacce informatiche. Attraverso l’introduzione di obblighi chiari e sanzioni per l’inosservanza, il Ddl sottolinea l’importanza di una gestione proattiva e trasparente degli incidenti di sicurezza, consolidando ulteriormente la postura di cybersicurezza dell’Italia nel contesto globale.
Nel prossimo articolo – l’ultimo di questa serie incentrata sul Ddl Cybersicurezza – saranno esaminate le nuove disposizioni specificamente dedicate al tema dell’Intelligenza Artificiale.
Avvocato, Certified Ethical Hacker, Auditor di diversi schemi di certificazione (ISO/IEC 27001, ISO 22301, ISO 37001, ISO/IEC 20000-1, ISO 9001) e Project Manager. Chief Cybersecurity Advisor di ICT Cyber Consulting, Quality and Information Security Manager di ICTLC S.p.A., Of Counsel di ICT Legal Consulting, membro del CdA dell'Istituto Italiano per la Privacy e la Valorizzazione dei Dati e Senior Fellow Researcher nel framework Horizon Europe.
Autore di manuali, pubblicazioni e articoli scientifici sui temi relativi alla data protection e alla sicurezza informatica.
Esperta in cybersecurity e protezione dei dati. Laureata in Scienze delle Investigazioni e della Sicurezza e laurenda in Giurisprudenza presso l'Università degli Studi della Campania. Ha frequentato un Business Master in CyberSecurity Compliance e il Corso Maestro della Protezione dei Dati & Data Protection Designer. Auditor dei Sistemi di Gestione ISO/IEC 27001:2022 e ISO 9001:2015.
È Cybersecurity Specialist presso ICT Cyber Consulting ed offre il suo contributo nel framework Horizon 2020 come Of Counsel per ICT Legal Consulting, oltre ad essere Fellow Researcher per l'Istituto Italiano per la Privacy e la Valorizzazione dei Dati.
