Lo scorso 17 luglio è entrata in vigore la Legge, n. 90 del 28 giugno 2024 , pubblicata in Gazzetta Ufficiale n.153 del 02-07-2024) che ha per oggetto “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”.
Questa si compone di due Capi distinti, ambedue di estremo interesse per quanto concerne la sicurezza dei sistemi informativi, e che offrono spunti rilevanti per il miglioramento degli standard di protezione dei sistemi informatici e informativi e per chi si occupa di individuare le relative misure tecniche ed organizzative che devono essere osservate dai diversi attori coinvolti nei processi di trattamento dei dati di carattere personale.
Il Capo I della Legge 90
Il Capo I della Legge 90 a tal proposito individua le misure di rafforzamento della cybersicurezza nazionale, la resilienza delle pubbliche amministrazioni e i contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici.
Capo II: le modifiche al Codice Penale
Il Capo II apporta delle modifiche al Codice Penale e ed in particolare alle previgenti norme in materia di prevenzione e contrasto dei reati informatici, e individua disposizioni in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici, tematica fatta oggetto del da parte dell’ACN o Agenzia per La Cybersicurezza del recente Documento “Guida alla Notifica degli incidenti al CSIRT Italia”, diffuso il 26 luglio scorso.
Fra i temi affrontati dalla Legge appare di strategica rilevanza quanto previsto dall’articolo 14 “Disciplina dei contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e disposizioni di raccordo con il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133”, e che riguarda quindi le problematiche sul “…perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica”.
Verso un decreto coi nuovi obblighi per i gestori di servizi pubblici
Con tale articolo innanzitutto si dispone che il Presidente del Consiglio dei ministri dovrà adottare entro il prossimo 14 novembre, su proposta dell’Agenzia per la cybersicurezza nazionale e previo parere del Comitato interministeriale per la sicurezza della Repubblica, un Decreto con cui sono individuati, per specifiche categorie tecnologiche di beni e servizi informatici, gli elementi essenziali di cybersicurezza che i soggetti di cui all’articolo 2, comma 2, del CAD, o codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, quindi le pubbliche amministrazioni, i gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse e le società a controllo pubblico, sono tenuti ad assicurare.
Legge 90: gli elementi essenziali di cybersicurezza
Ma quali sono, secondo la Legge 90 gli elementi essenziali di cybersicurezza a cui ci si riferisce?
Questa li definisce come l’insieme di criteri e regole tecniche la conformità ai quali, da parte di beni e servizi informatici da acquisire, garantisce la confidenzialità, l’integrità e la disponibilità dei dati da trattare in misura corrispondente alle esigenze di tutela in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione.
Criteri di premialità
Di conseguenza nel corso delle attività di approvvigionamento di beni e servizi informatici impiegati nello specifico contesto, individuato come strettamente connesso alla tutela degli interessi nazionali strategici devono essere previsti criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti all’Alleanza atlantica (NATO) o di Paesi terzi che sono parte di accordi di collaborazione con l’Unione europea o con la NATO.
Apposite e specifiche attività di approvvigionamento
Tali beni e servizi informatici dovranno essere acquisiti da parte delle stazioni appaltanti o dalle possibili relative centrali di committenza con apposite e specifiche attività di approvvigionamento, vista la rilevanza dei settori in cui gli stessi dovranno essere impiegati, e quindi la necessaria elevata qualità che i relativi fornitori devono assicurare.
A tale proposito è stabilito che la stazione appaltante o la centrale di committenza possa decidere di non aggiudicare l’appalto all’offerente che ha presentato l’offerta economicamente più vantaggiosa se ha accertato che questa non assicura che il bene o servizio offerto possegga gli elementi essenziali di cybersicurezza.
La cybersicurezza tra i requisiti minimi dell’offerta
La stazione appaltante deve inoltre tenere conto degli elementi essenziali di cybersicurezza nella valutazione dell’elemento qualitativo, ai fini dell’individuazione del miglior rapporto qualità/prezzo per l’aggiudicazione.
Nel caso in cui questa utilizzi inoltre quale criterio di affidamento quello del minor prezzo, deve inserire tra i requisiti minimi dell’offerta gli elementi di cybersicurezza, mentre nel caso in cui voglia utilizzare il criterio dell’offerta economicamente più vantaggiosa, nella valutazione dell’elemento qualitativo ai fini dell’individuazione del migliore rapporto qualità/prezzo, stabiliscono un tetto massimo per il punteggio economico entro il limite del 10 per cento.
Quando un un Titolare si può avvalere di un soggetto terzo
Il legislatore nazionale quindi è intervenuto con la Legge 90 individuando apposite limitazioni alle ordinarie procedure di gestione degli affidamenti di beni e servizi informatici, indispensabili per la funzionalità di servizi essenziali, al fine di assicurare l’effettività di quanto previsto dal Regolamento UE 2016/679 all’articolo 28 che stabilisce che un Titolare si possa avvalere di un soggetto terzo solo se questo presenta “..garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate” in modo tale che il trattamento soddisfi i requisiti del Regolamento stesso e garantisca la tutela dei diritti dell’interessato.
Priorità alla qualtà del servizio e non al minor prezzo
L’intervento succitato è, a ben vedere, di estremo interesse per tutta la problematica legata al reclutamento dei fornitori di beni e servizi necessari al raggiungimento delle finalità istituzionali delle pubbliche amministrazioni titolari del trattamento, in quanto pone l’attenzione sulla necessità di privilegiare l’elemento qualitativo e non del minor prezzo del bene o servizio offerto quando questo sia legato alla gestione di dati personali.
Tale logica appare infatti del tutto in linea con quanto previsto dal Considerando C81 del GDPR (Regolamento 679) che dispone che il titolare, quando affida delle attività di trattamento di dati personali a un soggetto terzo per garantire che siano rispettate le prescrizioni di legge riguardo alle mansioni che a questi saranno affidate deve ricorrere unicamente a “….coloro che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative” tali da assicurare la protezione dei dati personali e la loro tenuta in sicurezza.
L’impatto della Legge 90/2024 sulla protezione dei dati nella PA
Il rispetto del dettato della Legge 90 in tema di selezione di fornitori di beni e servizi di elevata qualificazione sotto il profilo del rispetto delle politiche di protezione dei dati personali è quindi una problematica che ogni stazione appaltante o centrale di committenza deve affrontare, andando a rivedere le proprie ordinarie logiche e procedure di affidamento così da garantire, anche attraverso una revisione dei capitolati di gara e dei successivi contratti con gli appaltatori, che questi adottino quelle garanzie elevate previste relativamente alla protezione dei dati personali.
Tale evidenza rispetta quanto sancito nel Regolamento 679 dal legislatore comunitario, che nel Considerando C78 affida ai “produttori dei prodotti, dei servizi e delle applicazioni” l’obbligo, nel corso della fase di “.. sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni” di “.. tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni” per fare sì che, tenendo conto dello stato dell’arte, i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati.
Focus su “Privacy by design” e “Privacy by default”
In definitiva si osserva che è indispensabile che i citati produttori rispettino il dettato del Considerando C78, al fine di assicurare alle stazioni appaltanti nell’ambito delle procedure di appalto che i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita siano stati presi in considerazione da parte degli sviluppatori dei diversi servizi proposti, così come sancito dall’articolo 25 del Regolamento nell’enucleare i principi di “Privacy by design” e di “Privacy by default”.
Questi due principi, che si traducono il primo nel “Principio di protezione dei dati fin dalla progettazione” e nel “Principio di protezione dei dati per impostazione predefinita” impongono, infatti, non solo alla Pubblica Amministrazione ma anche ai fornitori dei servizi dei quali si avvalgono, di integrare le considerazioni sulla protezione dei dati nelle operazioni e nei sistemi di trattamento fin dalla sua fase di disegno e progettazione iniziale, rovesciando la vecchia visione della “Privacy” come un mero formalismo o una questione di conformità esteriore, secondaria e non sostanziale ai principi essenziali del trattamento dei dati.
E la risposta su cosa serve a progettare adeguatamente i servizi digitali rispettando l’articolo 25 citato ce la fornisce una lettura combinata degli articoli 5 e 32 del Regolamento assieme all’ormai già più volte citato Considerando C78.
La sintesi dei 3 suindicati punti nodali del Regolamento ci dice che nella fase di disegno e progettazione iniziale dei servizi i produttori devono individuare le misure necessarie a ridurre al minimo il trattamento dei dati personali, procedendo alla loro pseudonimizzazione o cifratura appena possibile, offrendo trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentendo alla amministrazione titolare del trattamento di adottare le misure che alla luce della responsabilità generale del trattamento che gli è propria, è tenuto ad assicurare.
Solo così il Titolare, individuando con le nuove procedure di selezione, fornitori di servizi pensati per proteggere i dati personali e che offrono elevate garanzie di sicurezza, potrà assicurare agli interessati il rispetto dei principi essenziali del trattamento e la riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento, prevenendo e contenendo i rischi cyber
