Con l’approvazione in Senato del cosiddetto “DDL Cyber” il nostro Paese sembrerebbe avere alcuni strumenti in più per incrementare il proprio livello di cybersecurity e per gestire gli attacchi informatici.
Come vedremo, il DDL Cyber introduce infatti disposizioni fondamentali per incrementare la cybersecurity nazionale, focalizzandosi su Pubbliche Amministrazioni e infrastrutture critiche. Tuttavia, il settore privato, soprattutto le PMI, resta parzialmente escluso, rischiando di rendere inefficaci gli sforzi di rafforzamento della sicurezza informatica.
Il “DDL Cyber” e la regolamentazione della cybersecurity in ambito pubblico
All’indomani dell’approvazione senza modifiche in Senato del testo licenziato dalla Camera relativo al cosiddetto “DDL Cyber” (Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici), possiamo notare che tra i principali destinatari delle nuove disposizioni normative vi sono, in prima istanza, le Pubbliche Amministrazioni. Infatti, stando ai dati pubblicati nella Relazione sulla politica dell’informazione per la sicurezza relativa al 2023, tra i principali bersagli nel mirino degli attori malevoli nel cyberspazio ci sono proprio le infrastrutture digitali di soggetti pubblici, destinatari di circa il 60% degli attacchi rivolti ai sistemi informatici nazionali.
Il focus sulla sicurezza dei fornitori
Ma non solo, il DDL Cyber pone l’attenzione anche sulle relative società in house, ossia tutte quelle:
- su cui l’amministrazione esercita un controllo analogo a quello esercitato sui propri servizi;
- nelle quali la partecipazione di capitali privati avviene solo se prescritta dalla legge e nei limiti in cui ciò non determini poteri di controllo o di veto; e
- nelle quali oltre l’80% del fatturato deriva dallo svolgimento di compiti affidati dall’ente pubblico socio.
La motivazione alla base di questa scelta del legislatore può essere trovata in una crescente attenzione ai fornitori e, più in generale, alla sicurezza della supply chain. Infatti, queste società sono spesso tra i principali provider delle Pubbliche Amministrazioni e vengono di frequente sfruttate dai criminali informatici per accedere ai sistemi IT delle PA o perché hanno misure di sicurezza meno efficaci di quelle dell’obiettivo principale o perché consentono di colpire diversi obiettivi sfruttando un unico canale d’ingresso.
La sicurezza delle infrastrutture critiche nazionali nel DDL
Tra gli altri destinatari della normativa figurano le infrastrutture critiche nazionali, anche queste protagoniste di una crescente tendenza che le vede vittime di attacchi informatici suscettibili di creare un disagio considerevole a un numero elevato di persone.
Risulta peraltro interessante, nella disamina della norma, lo sforzo del legislatore per coordinare queste disposizioni con altre disposizioni volte a proteggere queste infrastrutture da possibili attacchi cibernetici, quali il Perimetro di Sicurezza Nazionale Cibernetica, che si occupa di assicurare un livello elevato di sicurezza degli enti la cui compromissione potrebbe arrecare un pregiudizio alla sicurezza nazionale, e la direttiva NIS (Network Information Security) convertita nel nostro ordinamento con il d.lgs. 65/2018.
Un quadro normativo sicuramente complesso, quindi, che si incrocia e si completa a vicenda nell’ottica di stabilire precisi obblighi di cybersecurity per le infrastrutture critiche, sempre nell’ottica di incrementare il loro livello di sicurezza informatica garantendo così la corretta erogazione dei loro servizi.
I principali obblighi derivanti dal DDL Cyber e il raccordo con altre normative di cybersecurity
Il DDL Cyber introduce una serie di obblighi per Pubbliche Amministrazioni e infrastrutture critiche, che si integrano con normative esistenti per rafforzare la sicurezza informatica nazionale.
L’obbligo di notifica degli incidenti
Il primo obbligo che viene introdotto, l’obbligo di notifica degli incidenti, grava in capo alle Pubbliche Amministrazioni, alle società di trasporto pubblico urbano ed extraurbano, alle aziende sanitarie locali e alle relative società in house, ivi incluse quelle che forniscono servizi di trattamento, smaltimento o trattamento delle acque reflue o di gestione dei rifiuti.
Tali soggetti sono tenuti a notificare all’Agenzia per la Cybersicurezza Nazionale (ACN) tutti gli incidenti che abbiano impatto su reti, sistemi informativi e servizi informatici e che rientrino tra le fattispecie descritte dall’autorità. Le categorie di incidente sono sei, dalla “Raccolta di dati” alla loro esfiltrazione fino al phishing mirato.
La notifica deve avvenire entro 24 ore e, entro le 48 ore successive, deve essere integrata con tutte le informazioni disponibili attraverso i canali disponibili sul sito istituzionale dell’ACN.
Nell’ottica di coordinamento con altri testi normativi dedicati alla cybersecurity e di progressiva espansione degli obblighi di notifica degli incidenti informatici, vengono escluse dagli obblighi di notifica del DDL Cyber gli operatori di servizi essenziali ai sensi della direttiva NIS e definiti nell’articolo 3, comma 1, lettera g) e i) del decreto legislativo n. 65 del 2018; i soggetti ricompresi nel perimetro di sicurezza nazionale cibernetica; gli organi dello Stato preposti alla prevenzione, all’accertamento e alla repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica e alla difesa della sicurezza militare dello Stato; il Dipartimento delle informazioni per la sicurezza (DIS); l’Agenzia di informazione e sicurezza esterna (AISE) e l’Agenzia di informazione e sicurezza interna (AISI), rispetto ai quali già esistono delle norme che prescrivono tempi e modi di notifica degli incidenti di sicurezza.
Le conseguenze della violazione delle disposizioni
Sebbene l’obbligo di notifica degli incidenti non sia una novità in caso di normative in materia di cybersecurity, lo sono senz’altro le conseguenze della violazione di tali disposizioni: il DDL Cyber prevede la possibilità di una responsabilità personale dei funzionari e dei dirigenti incaricati del rispetto delle disposizioni in analisi, che potranno risponderne non solo sul piano disciplinare, ma anche amministrativo contabile. Dunque, vi è una responsabilità espressa per i dipendenti della pubblica amministrazione che non adempiano ai propri doveri.
Tale responsabilità “personale” va ad aggiungersi a quella dell’ente che, in caso di reiterata violazione dell’obbligo di notifica nell’arco dei cinque anni, è sanzionato amministrativamente per un importo che può andare da Euro 25.000 a Euro 125.000.
Possiamo quindi concludere che il possesso di una procedura coordinata di gestione degli incidenti cyber è ormai una necessità evidente per tutti gli enti, considerati i numerosi interventi legislativi che prescrivono tale obbligo e che richiedono, quindi, un approccio integrato.
La gestione delle vulnerabilità
Altro tema affrontato dal DDL Cyber è quello della gestione delle segnalazioni circa specifiche vulnerabilità. Verosimilmente, esso sarà sempre più spesso al centro delle iniziative normative in materia di cybersecurity perché disposizioni in materia sono già presenti nella disciplina europea – come, ad esempio, il Regolamento DORA e la Direttiva NIS 2 – e lo sviluppo di una politica di coordinated vulnerability disclosure è uno degli obiettivi del Piano di implementazione della nostra Strategia nazionale di Cybersicurezza del 2022-2026.
Tali disposizioni non sono rivolte solo alle Pubbliche Amministrazioni, ma anche a tutti gli altri soggetti che potrebbero essere definiti infrastrutture critiche nazionali, ossia gli enti inclusi nel perimetro di sicurezza nazionale cibernetica, quelli soggetti alla Direttiva NIS e i fornitori e i soggetti Telco (più nello specifico, le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico).
Laddove l’ACN dovesse segnalare una vulnerabilità a cui tali soggetti potrebbero essere esposti, essi sono tenuti ad adottare gli interventi risolutivi indicati dall’Agenzia stessa entro 15 giorni.
Anche in questo caso, la mancata osservanza di tale disposizione è sanzionata da Euro 25.000 a Euro 125.000.
Resilienza e responsabile per la cybersicurezza
Il DDL Cyber impone alle Pubbliche Amministrazioni anche l’adozione di un’organizzazione interna deputata alla gestione delle tematiche di cybersecurity, individuando una struttura tra quelle già esistenti, alla quale attribuire la responsabilità di tale attività.
Nello specifico, parte degli obblighi ricalcano quelli già previsti in capo ai soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica e prevedono, tra gli altri, l’adozione di policy e procedure interne, la predisposizione di un piano di gestione del rischio informatico, la definizione di ruoli e responsabilità e l’attuazione delle misure indicate dalle linee guida che saranno pubblicate dall’ACN.
Inoltre, sempre in linea con quanto previsto dal Perimetro di Sicurezza Nazionale Cibernetica, viene introdotto l’obbligo di nominare un referente per la cybersicurezza, in possesso di specifiche e comprovate professionalità e competenze, i cui dati saranno comunicati all’Agenzia e che fungerà da punto di contatto.
Rispetto a quest’ultima figura occorre precisare che non è la prima volta che il legislatore nazionale prova ad inserire una figura di riferimento tecnica nelle Pubbliche Amministrazioni. Infatti, nel lontano 1993, l’articolo 10 del Decreto Legislativo 39/1993 aveva introdotto la figura del Responsabile dei Sistemi Informativi. Già all’epoca esso doveva essere individuato nell’organico della pubblica amministrazione e doveva presentare “specifiche competenze ed esperienze professionali”. Inoltre, aveva il compito di curare i rapporti con l’Autorità ed era responsabile per i risultati conseguiti con l’impiego delle tecnologie. Tuttavia, tale norma e di conseguenza anche la figura, sono state abrogate nel 2016. Quindi, forse, occorre interrogarsi sul perché di questa marcia indietro del legislatore e su cosa non avesse funzionato nel Responsabile dei Sistemi Informativi che ha portato alla sua eliminazione, anche per colmare eventuali gap che ne avevano determinato la scomparsa.
Evidenti sono, infine, le similitudini rispetto alla figura del Responsabile della Protezione dei Dati, che è anch’essa prevista obbligatoriamente per le Pubbliche Amministrazioni dal Regolamento 679/2016.
I contratti con i provider tecnologici
Un’altra costante delle più recenti normative sulla cybersecurity è il controllo della supply chain di cui si è detto in precedenza. Il DDL Cyber di certo non poteva non porre l’attenzione anche su questo tema.
Nel caso di approvvigionamento di specifiche categorie di beni e servizi informatici impiegati in contesti connessi alla tutela degli interessi strategici nazionali, le Pubbliche Amministrazioni, le società pubbliche e i soggetti privati compresi nel Perimetro di Sicurezza Nazionale Cibernetica dovranno tenere in considerazione alcuni elementi di cybersecurity che saranno definiti da un apposito decreto del Presidente del Consiglio dei ministri. Gli elementi che saranno valutati consisteranno nei criteri e nelle regole tecniche adottati al fornitore al fine di garantire la confidenzialità, l’integrità e la disponibilità dei dati. Inoltre, sempre nell’ambito elle procedure di affidamento di beni e servizi ICT, dovranno essere previsti dei criteri di premialità in caso di offerte che prevedano l’utilizzo di tecnologie nazionali, europee, di paesi appartenenti alla NATO o che abbiano accordi di collaborazione con quest’ultima.
Tali disposizioni mirano ad incentivare un mercato di prodotti e servizi informatici affidabile che allo stesso tempo persegua un elevato livello di cybersecurity, di resilienza e di fiducia.
Proprio nell’ottica di conseguire tale scopo, l’obbligo di considerare alcuni elementi minimi di cybersicurezza nell’ambito dei processi di approvvigionamento non si applica solo alle Pubbliche Amministrazioni, ma anche ai soggetti inclusi nel perimetro di sicurezza nazionale cibernetica.
Questa previsione del DDL Cyber è complementare a quanto già previsto in materia di procurement per tali soggetti. Infatti, essi sono già destinatari dell’obbligo di avviare il processo di valutazione del CVCN, ossia il Centro di Valutazione e Certificazione Nazionale, per quei beni, sistemi e servizi tassativamente elencati dal DPCM del 15 giugno 2021. Ad esso, si va ad aggiungere l’ulteriore dovere di valutare anche gli elementi di cybersecurity che saranno previsti dall’apposito DPCM in tutti quei casi in cui l’affidamento riguardi beni e servizi informatici che non sono soggetti alla valutazione del CVCN.
Dunque, il legislatore, amplia il numero di contratti per cui il livello di sicurezza informatica diventa un elemento cardine delle valutazioni.
L’applicazione del Regolamento DORA
Il DDL Cyber apporta anche alcune modifiche alla legge di delegazione europea andando ad ampliare il novero dei soggetti che saranno interessati dall’applicazione del cosiddetto “Regolamento DORA”.
Infatti, la normativa europea elenca in maniera puntuale le categorie di soggetti che sono qualificati come “entità finanziare” e, quindi, sono destinatarie del regolamento in questione. Tuttavia, il legislatore italiano ha evidentemente ritenuto opportuno applicare disposizioni equivalenti a quelle previste per le entità finanziare anche in capo agli intermediari finanziari e alla società Poste Italiane S.p.A.
Tale obiettivo verrà conseguito attraverso la definizione di presidi in materia di resilienza operativa che siano, appunto, equivalenti a quelli del Regolamento DORA. Dunque, il legislatore nazionale sarà tenuto ad introdurre disposizioni analoghe anche per i soggetti sopra menzionati, tenendo, però, sempre presente il principio di proporzionalità che, nel contesto in esame implica una valutazione di diversi fattori come le dimensioni dell’ente, del profilo di rischio complessivo, della natura, della portata e della complessità dei servizi, delle attività e dell’operatività.
Modifiche al Codice penale
Un altro ambito di intervento del DDL Cyber è quello sul Codice penale. Oltre ad un generalizzato inasprimento delle pene in caso di commissione delle fattispecie rientranti nei cosiddetti “delitti informatici”, la normativa in analisi introduce anche un nuovo comma all’articolo 629 c.p.
Nello specifico, la nuova fattispecie prevista è quella dell’estorsione perpetrata mediante reati informatici, che sarà punita con la reclusione da 6 a 12 anni e con la multa da 5.000 a 10.000 Euro.
Tale disposizione deve essere letta nell’ottica di inasprire le pene per i soggetti che, a seguito della violazione dei sistemi informatici mediante ransomware o sistemi estorsivi analoghi, richiedano un riscatto per il ripristino del sistema e dei dati in esso contenuti.
Tuttavia, occorre chiedersi se l’introduzione di tale disposizione costituisca un reale deterrente nei confronti dei cyber-criminali. Basti pensare che, stando alle informazioni disponibili nel Resoconto delle attività 2023 della Polizia Postale e delle Comunicazioni e dei Centri Operativi Sicurezza Cibernetica, nel 2023 si sono verificati circa 11.930 attacchi informatici ai danni di infrastrutture critiche, istituzioni, aziende e privati in relazione ai quali sono stati indagati solo 220 soggetti. Tali numeri rivelano che solo nel circa 2% dei casi vi sono effettivamente degli individui a cui sono riconducibili le attività malevole nel cyberspazio. Dunque, insieme all’inasprimento delle pene, resta sempre centrale lo sviluppo di un’efficace strategia di contrasto e l’individuazione di strumenti indagine – spesso sovranazionali – indispensabili per la repressione di tale tipologia di reati, come ad esempio il Secondo Protocollo Addizionale alla Convenzione di Budapest che è già stato sottoscritto dall’Italia.
Conclusioni
Alla luce di quanto sopra, il DDL Cyber senz’altro introduce alcune disposizioni fondamentali nell’ottica di incrementare il livello di cybersecurity nazionale, soprattutto se si guarda alle Pubbliche Amministrazioni e ai soggetti che prestano servizi informatici a queste ultime.
Tuttavia, bisogna sottolineare come il settore privato rimanga ancora disciplinato da normative quali il Perimetro di Sicurezza Nazionale Cibernetica, che sono pensate principalmente per aziende di notevoli dimensioni o che operano in settori specifici, escludendo in diversi casi quelle imprese che costituiscono la maggior parte del tessuto imprenditoriale italiano, ossia le imprese di piccole e medie dimensioni. Ciò rischia di rendere inefficienti i tentativi di rafforzamento della cybersecurity sottesi ai vari interventi legislativi nazionali ed europei per due ordini di motivi: il primo è che le PMI sono quelle che, spesso, soffrono maggiormente delle ripercussioni di un attacco informatico perché hanno meno risorse da destinare ai temi della sicurezza cibernetica; il secondo è che esse sono spesso fornitori di aziende di maggiori dimensioni o di Pubbliche Amministrazioni, sulle quali inevitabilmente si andrebbe a propagare l’effetto dell’attacco cibernetico. Dunque, disposizioni normative come il DDL Cyber costituiscono senza dubbio un ottimo punto di partenza, ma la creazione di un ecosistema di cybersecurity deve passare attraverso un approccio olistico che supporti le imprese alle quali si chiedono di raggiungere obiettivi di cybersecurity anche mediante incentivi economici, un’adeguata politica fiscale e una strutturata offerta formativa.
