le disposizioni

DDL Cybersicurezza: ambizioni alte, ma mancano i fondi

Home Sicurezza digitale
Indirizzo copiato

Il Consiglio dei Ministri ha approvato un disegno di legge per rafforzare la cybersicurezza, potenziando l’ACN e istituendo l’obbligo di segnalazione rapida di incidenti informatici. Il ddl introduce sanzioni per mancate notifiche e crea la figura del referente per la cybersicurezza nelle PA, ma non prevede fondi aggiuntivi per implementare le misure e lascia fuori…

Pubblicato il 26 gen 2024
Andrea Tironi

Project Manager – Digital Transformation

Cybersecurity resilience act

Il nuovo disegno di legge in materia di reati informatici e di rafforzamento della cybersicurezza nazionale, approvato il 25 gennaio dal Consiglio dei Ministri, pone le basi per rispondere alle sfide imposte dal mondo digitale, ma solleva interrogativi e dubbi, soprattutto per quanto riguarda l’assenza dell’Intelligenza Artificiale (IA) e la mancanza di risorse economiche.

Cybersecurity, che sarà nel 2024: IA cardine di una svolta

Nuove misure per rafforzare la difesa digitale del paese: il ruolo dell’ACN

Partiamo da un’analisi delle nuove disposizioni-. In un contesto sempre più vulnerabile alle minacce informatiche, il governo ha deciso di potenziare le funzioni dell’Agenzia per la Cybersicurezza Nazionale (ACN), con un particolare focus sul coordinamento con l’Autorità giudiziaria in caso di attacchi informatici.

Lo stesso coordinamento operativo è previsto anche tra i servizi di informazione per la sicurezza (DIS) e l’Agenzia per la cybersicurezza nazionale.

Il cuore di queste nuove disposizioni è rappresentato da specifiche procedure che mirano a rendere più immediato l’intervento dell’ACN per prevenire attacchi e mitigare le conseguenze, garantendo il rapido ripristino delle funzionalità dei sistemi informatici.

L’obbligo di segnalazione e notifica per determinati soggetti pubblici

Infatti, un importante passo avanti è stato compiuto attraverso l’istituzione di un obbligo di segnalazione e notifica per determinati soggetti pubblici. Le pubbliche amministrazioni centrali, con le rispettive società in-house, le Regioni e le Province autonome di Trento e Bolzano, i comuni con una popolazione superiore ai 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonché le società di trasporto pubblico urbano con bacino di utenza non inferiore ai 100.000 abitanti e le aziende sanitarie locali, devono segnalare e notificare gli incidenti informatici subiti aventi impatto su reti, sistemi informativi e servizi informatici.

I soggetti indicati devono segnalare tempestivamente all’ACN, e in ogni caso entro 24 ore dalla scoperta dell’incidente, fornendo una notifica completa entro 72 ore dalla stessa data.

Le sanzioni in caso di mancata notifica

Le sanzioni per la mancata notifica sono incisive. Dopo un primo richiamo, in caso di reiterata inosservanza, le amministrazioni pubbliche coinvolte possono essere soggette a sanzioni amministrative pecuniarie, con importi che variano da 25.000 a 125.000 euro. Per i dipendenti delle pubbliche amministrazioni, la violazione di queste disposizioni può comportare responsabilità disciplinare e amministrativo-contabile.

Il panorama normativo prevede anche la convocazione del Nucleo per la Cybersicurezza in situazioni di particolare rilevanza. Questo nucleo, che potrebbe coinvolgere rappresentanti della Procura nazionale antimafia e antiterrorismo, della Banca d’Italia, e altri operatori, sarà un forum cruciale per affrontare questioni di estrema importanza in materia di cybersicurezza nazionale.

Intelligenza Artificiale fuori dal DDL

Tra i molteplici compiti affidati all’Agenzia per la Cybersicurezza Nazionale (ACN), si prospettava l’importante incarico di promuovere e sviluppare iniziative, inclusi partenariati pubblico-privato, mirate a valorizzare l’intelligenza artificiale come risorsa chiave per il potenziamento della cybersicurezza nazionale.

La decisione di focalizzarsi sull’intelligenza artificiale rivelava una consapevolezza avanzata rispetto alle sfide sempre più sofisticate poste dalla cybersicurezza. Il coinvolgimento di partnership pubblico-privato indicava una visione collaborativa e inclusiva, con la consapevolezza che la sicurezza digitale è una sfida che richiede l’impegno di attori provenienti da entrambi i settori.

Questa parte presente nel DDL è rimasta esclusa dall’approvazione nel Consiglio dei Ministri, spiegato con il fatto che sarebbe stato fuori luogo proporre norme nazionali prima che fossero state articolate quelle presenti del Regolamento europeo (AI Act).

Il referente per la cybersicurezza: una nuova figura chiave per le PA

Con il DDL viene introdotta una figura chiave nell’ambito delle Pubbliche Amministrazioni (PA): il referente per la cybersicurezza. Questo professionista avrà il compito di seguire l’iter parlamentare per l’approvazione definitiva della legge, garantendo così un’implementazione efficace e tempestiva delle nuove disposizioni.

La scelta del referente sarà basata sulle “qualità professionali possedute”, evidenziando l’importanza di competenze e esperienze specifiche nel campo della sicurezza informatica. Questo criterio di selezione mira a garantire che il referente sia in grado di affrontare le sfide complesse e in rapida evoluzione associate alla cybersicurezza.

Il ruolo del referente per la cybersicurezza non si limita all’approvazione legislativa; esso si estende anche alla funzione di punto di contatto unico dell’amministrazione con l’Agenzia per la Cybersicurezza Nazionale. Questo significa che il referente sarà il tramite principale tra l’amministrazione e l’ACN, garantendo la corretta implementazione delle disposizioni della nuova legge e delle normative settoriali specifiche in materia di cybersicurezza.

Questo approccio mira a consolidare la responsabilità all’interno delle PA, promuovendo una gestione più efficiente delle questioni legate alla sicurezza informatica. La presenza di un referente specializzato non solo dovrebbe facilitare la comunicazione con l’Agenzia, ma assicura anche che l’amministrazione sia adeguatamente preparata e attiva nel rispondere alle minacce cibernetiche.

I fondi

I fondi, però, non ci sono.

Per queste misure di rafforzamento della cyber resilienza delle Paese il Governo ha previsto che “le amministrazioni pubbliche interessate provvedono all’adempimento delle disposizioni della presente legge con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente”.

Già la progressiva digitalizzazione dei servizi dovuto al PNRR comporterà problemi di sostenibilità della spesa corrente nel post PNRR, ma chiedere che misure di cybersicurezza (notoriamente costose) vengano realizzate con le risorse umane, strumentali e finanziarie disponibili risulta difficile da capire.

Conclusioni

Di per sé il DDL mette il focus su un tema importante: la cybersicurezza. Tema che nel rapporto Clusit 2023 vede l’Italia colpita dal 7% degli attacchi globali pur avendo lo 0.7% della popolazione globale.

Ma come si può pensare di migliorare la cybersicurezza senza fondi?

Il che ci fa tornare indietro al pre-PNRR o ci dà una visione del futuro post-PNRR: le nozze digitali con i fichi secchi digitali.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • opportunità strategiche

    Perché il marketing deve superare lo stereotipo del gamer "smanettone"

    22 Mar 2024

    di Fabio Zoboli

    Condividi

  • il confronto

    L'IA in Università: i tre atenei pubblici milanesi a confronto

    17 Mag 2024

    di Giulia Sironi

    Condividi

  • la guida

    AWS marketplace: come usarlo, vantaggi e casi d'uso

    02 Apr 2024

    di Alessandra Talarico

    Condividi

Prossimo

Perché il marketing deve superare lo stereotipo del gamer "smanettone"

Articolo 1 di 4