Il 16 febbraio è stato presentato alla Camera dei Deputati il Disegno di Legge n. 1717 contenente disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici. L’iter legislativo è proseguito il 29 febbraio con l’assegnazione del testo in sede Referente alle Commissioni Riunite, Affari Costituzionali e Giustizia.
La risposta normativa alla pressione della minaccia cibernetica
Il provvedimento è finalizzato a rispondere alla crescente offensività delle aggressioni realizzate con mezzi telematici e informatici e la conseguente esigenza di realizzare una più intensa tutela della sicurezza cibernetica è costruita agendo su due fronti, quello della cybersicurezza nazionale – con il rafforzamento della capacità di protezione e risposta delle pubbliche amministrazioni nei confronti delle minacce informatiche – e quello penale – a mezzo della revisione dei reati informatici nell’intenzione di meglio prevenirli e contrastarli.
Le disposizioni in materia di rafforzamento della cybersicurezza nazionale e nella Pubblica Amministrazione
A proposito dell’enforcement nella P.A., il DDL individua norme necessarie per sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, implementando la resilienza cibernetica del paese.
Gli obblighi di notifica di cyber attacchi
Le pubbliche amministrazioni centrali (ad es. Organi costituzionali e di rilievo costituzionale, Presidenza del Consiglio dei ministri e Ministeri Agenzie fiscali, Enti produttori di servizi assistenziali, ricreativi e culturali Enti e Istituzioni di ricerca), le regioni, le province autonome di Trento e Bolzano, i comuni con popolazione superiore ai 100.000 abitanti, le aziende sanitarie e le società in house delle P.A. hanno l’obbligo di segnalare e notificare gli incidenti alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici all’Agenzia per la cyber sicurezza nazionale (ACN).
I poteri accertativi e sanzionatori di ACN
In caso di inosservanza dell’obbligo di notifica, ACN procede ad una segnalazione alla P.A., avvisando che la reiterazione della condotta omissiva comporterà l’applicazione di sanzioni e ispezioni da parte della stessa Agenzia per verificare l’attuazione degli interventi di rafforzamento della resilienza.
In caso di reiterazioni dell’inosservanza ACN potrà applicare una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000. I proventi delle sanzioni confluiscono nelle entrate di ACN.
L’obbligo di adozione degli interventi risolutivi anche per le TELCO
Le pubbliche amministrazioni e le TELCO devono adottare gli interventi risolutivi in conseguenza delle segnalazioni che ACN effettua circa le specifiche vulnerabilità. In caso di inosservanza, sono previste le sanzioni viste sopra.
La nuova figura del referente per la cybersicurezza presso la P.A.
Le P.A. devono individuare una struttura preposta alle attività di cybersicurezza, ove opererà la nuova figura del referente per la cybersicurezza, che svolgerà anche la funzione di punto di contatto unico della P.A. con ACN.
La valorizzazione dell’intelligenza artificiale
Ad ACN è attribuita la possibilità di promozione dello sviluppo dell’intelligenza artificiale come risorsa per il rafforzamento della cybersicurezza nazionale anche tramite il partenariato tra soggetti pubblici e privati.
La cybersicurezza negli appalti
La P.A. dovrà rispettare i criteri di cybersicurezza nella attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici, disciplinando in conformità ad essi i relativi contratti pubblici.
Sinergia e coordinamento tra ACN e autorità giudiziaria in caso di attacchi a sistemi informatici o telematici di pubblico interesse.
ACN, quale pubblico ufficiale, ha l’obbligo di denuncia immediata di attacchi a sistemi informatici o telematici di pubblico interesse al procuratore nazionale antimafia e antiterrorismo.
Corrispondentemente il pubblico ministero, quando acquisisce la notizia dei reati informatici più gravi, informa tempestivamente ACN, che avrà la facoltà di partecipare ad atti delle indagini.
Lo studio legale Dal Pozzo, avvocato penalista a Milano presta la propria assistenza a soggetti privati, enti ed imprese.
