normativa

Legge italiana cyber: misure, sanzioni e responsabilità delle PA



Indirizzo copiato

Approvata dal Parlamento, la legge per la cybersicurezza nazionale introduce 24 articoli con misure per proteggere le infrastrutture critiche e contrastare i reati informatici. La normativa prevede obblighi di notifica per le PA, sanzioni per inosservanza e coordinamento tra enti. Si allinea alle direttive europee per un ambiente digitale sicuro

Pubblicato il 8 lug 2024

Angelo Alù

studioso di processi di innovazione tecnologica e digitale



Cybersecurity resilience act

A seguito della formale definizione procedurale che ha registrato il voto favorevole del Senato della Repubblica, dopo la prima votazione favorevole espressa dalla Camera dei deputati, è ufficialmente legge il progetto di iniziativa governativa presentato per il rafforzamento della cybersicurezza nazionale e di reati informatici.

Struttura e obiettivi della legge

In particolare, il testo consta di 24 articoli e introduce una disciplina organica diretta a salvaguardare le infrastrutture critiche del Paese dal rischio di possibili minacce informatiche in grado di comprometterne la vulnerabilità, destabilizzando la sicurezza nazionale.

Al riguardo, più nel dettaglio della tecnica normativa predisposta, il Capo I, identificato dagli articoli 1-15, regola la cybersicurezza nazionale, di cui è definita la relativa architettura di funzionamento, mediante la configurazione della governance sottesa al complessivo ecosistema di attori, criteri e poteri a tal fine stabiliti.

Il Capo II, composto dalle restanti disposizioni, detta, invece, una serie di misure per la prevenzione e il contrasto dei reati informatici, modificando, tra l’altro, il codice penale, il codice di procedura penale e ulteriori connesse normative speciali di settore, nell’ottica di inasprire il trattamento sanzionatorio quando vengono commessi reati informatici di rilevante gravità, unitamente al tendenziale ampliamento delle fattispecie criminose ivi enucleate nell’ambito di un generale riordino della materia.

Inquadramento della legge nel contesto normativo europeo

Sotto il profilo sistematico, la menzionata legge italiana può essere inquadrata alla luce della generale strategia regolatoria definita dall’Unione europea che mira, appunto, a rafforzare la resilienza informatica mediante la creazione di un ambiente digitale sicuro e affidabile, come si evince, a mero titolo di esempio, dal testo del cd. EU Cybersecurity Act, tenuto conto del quadro armonizzato introdotto dal cd. Cyber Resilience Act, in combinato disposto con la Direttiva NIS 1, integrata dalla Direttiva NIS 2, recanti norme volte a garantire un elevato livello comune di cybersicurezza nell’Unione europea.

Obblighi di notifica per le Pubbliche Amministrazioni

Entrando nel merito delle nuove previsioni stabilite dalla legge italiana sulla cybersicurezza nazionale, in primo luogo, l’articolo 1 prescrive a carico delle pubbliche amministrazioni stringenti obblighi di notifica aventi ad oggetto l’eventuale verificazione di incidenti telematici, suscettibili di determinare impatti su reti, sistemi informativi e servizi informatici.

Come chiarito dal Dossier esplicativo redatto in sede di stesura della relativa Nota di Lettura, gli incidenti da segnalare sono quelli indicati nella tassonomia di cui all’articolo 1, comma 3-bis, del decreto-legge n. 105 del 2019 che, in combinato disposto con il DPCM n. 81 del 2021, identifica, a tal fine, “ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici”.

In particolare, la segnalazione deve avvenire senza ritardo, e in ogni caso, entro il termine massimo di 24 ore dal momento dell’avvenuta conoscenza, nonché di ulteriori 72 ore a decorrere dal medesimo momento conoscitivo per la notifica completa di tutti gli elementi infor­mativi disponibili, utilizzando le procedure indicate dall’Agenzia per la cybersicu­rezza nazionale.

Sanzioni per inosservanza degli obblighi

L’eventuale reiterata inosservanza dei previsti obblighi comporta, oltre alla possibilità di disporre ispezioni a cura dell’Agenzia per la cybersicurezza nazionale al fine di verificare la corretta e integrale attuazione delle misure richieste, l’irrogazione di sanzioni amministrative pecuniarie, costituendo, altresì, fonte di responsabilità disciplinare e amministrativo-contabile.

Ambito di applicazione della disciplina

L’ambito soggettivo di applicazione operativa della citata disciplina contemplata dall’art. 1 si estende, in senso ampio, alla nozione generale di PA, nel cui novero vanno ricondotti tutti gli apparati inclusi nell’elenco annuale ISTAT delle pubbliche amministrazioni previsto dall’articolo 1, comma 3, della legge n. 196 del 2009, le regioni e province autonome di Trento e di Bolzano, le città metropolitane, i comuni con popolazione superiore a 100.000 abitanti, i comuni capoluoghi di regione, le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane, le aziende sanitarie locali, le società in house degli enti menzionati che siano fornitrici di servizi informatici, dei servizi di trasporto, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, ovvero servizi di gestione dei rifiuti.

Interventi correttivi e sanzioni pecuniarie

Il successivo art. 2 prevede che, a seguito delle tempestive segnalazioni fornite all’Agenzia per la cybersicurezza nazionale, i relativi destinatari siano tenuti all’adozione degli interventi correttivi da attuare senza ritardo e comunque non oltre 15 dalla comunicazione, a pena di sanzioni pecuniarie, salvo il caso di motivate esigenze di natura tecnico-organizzativa, ostative alla tempestiva adozione, o comunque atte a giustificarne l’eventuale differimento oltre il termine indicato.

Il Dossier esplicativo chiarisce che la citata disposizione si applica, oltre che ai soggetti indicati dal precedente art. 1, tenuti a segnalare all’ACN gli incidenti cibernetici cui sono incorsi (ossia, le svariate articolazioni della PA complessivamente intesa in senso lato: amministrazioni centrali, regioni e provincie autonome, grandi comuni, società di trasporto pubblico urbano e ASL), anche a ulteriori soggetti.

Ulteriori soggetti a cui si applica la disposizione

Come precisato dalla richiamata Nota di lettura, infatti, si tratta degli organismi che operano nel settore della sicurezza nazionale ex art. 1, comma 2-bis, del D.L. 105/2019 (ossia, amministrazioni pubbliche, enti e operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione o utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale), nonché i soggetti di cui all’art. 3, comma 1, lettere g) e i), del D.Lgs. 65/2018 (ossia, operatori di servizi essenziali, pubblici o privati, che forniscono un servizio essenziale per il mantenimento di attività sociali e economiche fondamentali, fornitori di servizi digitali prestati normalmente dietro retribuzione, a distanza, per via elettronica a richiesta individuale), soggetti di cui all’articolo 40, comma 3, del D.Lgs. 259/2003 (ossia, le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico).

Convocazione del “Nucleo per la cybersicurezza”

Merita di essere segnalato l’art. 5 (rubricato “Disposizioni in materia di Nucleo per la cybersicurezza”) nella parte in cui contempla la possibilità, quando vengono in rilievo questioni di particolare rilevanza, di procedere alla convocazione del “Nucleo per la cybersicurezza” in composizione allargata, estesa, tra l’altro, alla partecipazione di un rappresentante della Direzione nazionale antimafia e antiterrorismo, della Banca d’Italia, nonché di eventuali altri soggetti, interessati alle stesse questioni. Il Nucleo per la cybersicurezza ha il compito di supportare il Presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento, al fine di assicurare un’efficiente gestione delle crisi che coinvolgono aspetti di cybersicurezza.

Coordinamento operativo tra enti e modifiche al Comitato interministeriale per la sicurezza della Repubblica

L’art. 6 della legge detta specifiche disposizioni in materia di coordinamento operativo tra servizi di informazione per la sicurezza nazionale e l’ACN con l’intento di azionare una pronta risposta sinergica di condivisione inter-istituzionale in presenza di eventi o incidenti informatici.

Risponde alle medesime finalità sistematiche di corale direzione organizzativa la “ratio” sottesa alla previsione normativa del successivo art. 7, che modifica la composizione del Comitato interministeriale per la sicurezza della Repubblica, includendovi anche la presenza del Ministro dell’agricoltura, del Ministro delle infrastrutture e dei trasporti e del Ministro dell’università e della ricerca.

Rafforzamento della resilienza informatica del settore pubblico

A tenore dell’art. 8, nell’ottica di garantire il rafforzamento della resilienza informatica del settore pubblico, le pubbliche amministrazioni individuano, ove non sia già presente, una struttura, anche tra quelle esistenti, che provvede allo sviluppo delle politiche e delle procedure di sicurezza delle informazioni, in grado di assicurare la produzione e l’aggiornamento di sistemi di analisi preventiva di rileva­mento e la predisposizione di un piano per la gestione del ri­schio informatico, definendo i ruoli e l’or­ganizzazione operativa del sistema, anche mediante l’adozione delle misure previste dalle li­nee guida per la cybersicurezza emanate dal­ l’ACN, con l’ulteriore compito di monitorare, in sede di valutazione continua, le minacce arrecate alla sicurezza e alla vulnerabilità dei sistemi. Inoltre, presso le strutture delle PA è prevista l’operatività di un referente per la cybersicurezza, dotato di compro­vate professionalità e competenze in materia, come punto di contatto dell’amministrazione con l’Agenzia per la cybersicurezza nazio­nale.

L’istituzione del centro nazionale di crittografia

Tra le mansioni affidate alla struttura preposta alle attività di cybersicurezza e al referente per la cybersicurezza di cui all’art. 8 rientra, altresì, ex art. 9, la funzione di verificare che i programmi e le applicazioni informatiche e di comunicazione elettronica rispettino le linee guida sulla crittografia adottate dall’Agenzia per la cybersicurezza nazionale e dall’Autorità garante per la protezione dei dati personali, e non contengano vulnerabilità note, atte a rendere disponibili e intellegibili a terzi i dati cifrati.

A tal fine, secondo quanto stabilito dall’art. 10, nell’ottica di garantire la valutazione della sicurezza dei sistemi crittografici, promuovendone il relativo utilizzo, è istituito presso l’ACN il Centro nazionale di crittografia.

Divieto di assunzione per il personale dell’ACN

L’articolo 12 stabilisce un divieto, per la durata di due anni, di assunzione, anche di incarichi, presso soggetti privati finalizzata allo svolgimento di mansioni in materia di cybersicurezza per i dipendenti appartenenti al ruolo del personale dell’Agenzia per la cybersicurezza nazionale, che abbiano partecipato, nell’interesse e a spese dell’Agenzia stessa, a specifici percorsi formativi di specializzazione. Tale divieto, invero, non si applica al personale che sia cessato dal servizio presso l’Agenzia in caso, tra l’altro, di collocamento a riposo d’ufficio al raggiungimento del requisito anagrafico previsto dalla legge per la pensione di vecchiaia.

Recepimento della normativa europea

L’art. 15 positivizza principi e criteri direttivi specifici a cui il Governo dovrà attenersi nel recepimento della normativa europea in materia di resilienza operativa digitale per il settore finanziario (Regolamento europeo 2022/2554 e Direttiva europea 2022/2556).


Le opinioni espresse nel presente articolo hanno carattere personale e non sono, direttamente o indirettamente collegate, in alcun modo, alle attività e funzioni lavorative svolte dall’Autore, senza, quindi, impegnare, in alcun modo, l’Amministrazione di appartenenza del medesimo.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3