Legge cyber italiana, tutto ciò che deve fare la PA per adeguarsi

Il 17 luglio 2024 è entrata in vigore la legge 28 giugno 2024, n. 90, la legge cyber italiana, contenente disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici. Il legislatore, modificando ed integrando disposizioni già esistenti, ha inteso essenzialmente agire su due fronti: quello del rafforzamento delle misure di sicurezza dei sistemi informatici pubblici e quello della politica criminale, rivedendo la gestione dei reati informatici in Italia.

La finalità di queste disposizioni è quella di creare un sistema più resiliente e preparato a fronteggiare le minacce informatiche, ponendo particolare attenzione alla trasparenza e alla responsabilità nella gestione delle infrastrutture TIC e delle informazioni sensibili.

Il focus di questo breve approfondimento è volto analizzare i riflessi e gli obblighi per la pubblica amministrazione nascenti dalla legge n. 90 e come essi si coordinino con altri obblighi e figure già previste nell’ambito della PA da altre normative; non sono, invece, oggetto di questa trattazione gli aspetti squisitamente penali della legge in commento.

Legge cybersicurezza, i soggetti coinvolti

Ma vediamo a chi si rivolge la legge 90 e quali sono i principali nuovi obblighi.

Innanzitutto chi sono i soggetti obbligati:

1.  pubbliche amministrazioni centrali incluse nell’elenco annuale ISTAT delle PA, previsto dall’art. 1, c. 3, della L. 196/2009
2. regioni e province autonome di Trento e di Bolzano
3. città metropolitane
4. comuni con popolazione superiore a 100.000 abitanti e comunque i comuni capoluoghi di regione
5. società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti
6. società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane
7. aziende sanitarie locali
8. società in house degli enti richiamati che siano fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali ovvero servizi di gestione dei rifiuti.

La platea dei soggetti coinvolti è dunque ampia, anche se la scelta del legislatore è quella di rivolgersi a PA e soggetti pubblici di dimensioni medio/grandi: tra gli enti territoriali sono tenuti ai nuovi obblighi le attuali 14 città metropolitane, i 6 capoluoghi di regione sotto i 100.000 abitanti e le rimanenti 28 città sopra i 100.000 abitanti, oltre alle regioni ed alle province autonome di Trento e di Bolzano.

Gli obblighi di cybersecurity

Per tutti questi soggetti viene previsto un obbligo di segnalazione e notifica di alcune tipologie di incidenti aventi impatto su reti, sistemi informativi e servizi informatici imponendo che questi siano segnalati senza ritardo e comunque entro ventiquattro ore dal momento in cui si viene a conoscenza dell’incidente tramite le apposite procedure disponibili sul sito web dell’Agenzia per la cybersicurezza nazionale (ACN).

Entro 72 ore dalla segnalazione, deve essere effettuata una notifica completa con tutti gli elementi informativi disponibili, sempre tramite le procedure online dell’Agenzia.

In caso di reiterata inosservanza degli obblighi di notifica, l’ACN può applicare una sanzione amministrativa pecuniaria che può variare da 25.000 a 125.000 euro e la medesima Agenzia ha la facoltà di procedere a ispezioni per verificare l’adeguamento alle normative.

Per i comuni con popolazione superiore a 100.000 abitanti e i comuni capoluoghi di regione, per le società di  trasporto pubblico urbano ed extraurbano, per le aziende sanitarie locali e per le società in house gli obblighi di segnalazione si applicano a decorrere dal centottantesimo giorno successivo alla data di  entrata in vigore della legge (13 gennaio 2025), consentendo quindi un adeguamento progressivo alle nuove disposizioni.

I documenti richiesti

Inoltre, la legge richiede che ogni ente si doti di strutture dedicate alla cybersicurezza, responsabili dello sviluppo delle politiche in questo settore, della gestione dei rischi informatici e dell’aggiornamento continuo delle procedure di sicurezza.

In particolare (v. art. 8 l. 90 cit.) viene richiesta:

• la produzione e l’aggiornamento un documento che definisca i ruoli e l’organizzazione del  sistema per la sicurezza delle informazioni dell’amministrazione
• l’elaborazione di un piano per la gestione del rischio informatico, che includa l’analisi preventiva e gli aggiornamenti regolari delle misure di sicurezza
• una attività di monitoraggio e di valutazione continui delle minacce e delle vulnerabilità, con aggiornamenti tempestivi delle misure di sicurezza in base alle nuove evidenze.

È previsto, inoltre, che il personale coinvolto nella cybersicurezza riceva una formazione adeguata per affrontare le sfide emergenti nel campo della sicurezza informatica.

La legge stabilisce anche un coordinamento operativo tra i servizi di informazione per la sicurezza e l’Agenzia per la Cybersicurezza Nazionale, al fine di garantire una risposta efficace agli incidenti informatici.

Cybersecurity e protezione dati personali

Se quelli sommariamente descritti sono i nuovi obblighi previsti in tema di Cybersecurity c’è da chiedersi come essi si vadano a coordinare con quanto già previsto in tema di protezione dati personali dal Regolamento (UE) 2016/679 meglio conosciuto come GDPR.

Anche il Regolamento 679 prevede, infatti:

• la definizione di un’organizzazione con l’attribuzione di una serie di ruoli rivolti alla tutela ed alla protezione dei dati personali, definiti dalla stessa normativa europea (titolare, responsabile, autorizzato al trattamento dati e Responsabile della protezione dati personali o DPO);
• la necessità di effettuare l’analisi dei rischi con la conseguente “responsabilizzazione” del titolare del trattamento e l’adozione – laddove ricorrano determinate condizioni – di alcuni strumenti specifici come il registro delle attività di trattamento e la valutazione di impatto;
• l’obbligo di comunicare una  violazione di sicurezza che comporti – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (il c.d. data breach).

Le differenze

Una prima differenziazione tra la legislazione in esame sulla cybersicurezza e quella sulla protezione dati personali ci pare di poterla individuare nella diversa tutela che i due corpus normativi intendono perseguire: l’obiettivo del legislatore europeo del GDPR è la tutela delle persone fisiche con riguardo al trattamento dei loro dati personali e la protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del diritto alla protezione dei dati personali; la legge n. 90 intende tutelare le infrastrutture informatiche, come le reti ed i sistemi informativi e, più in generale, i servizi informatici, individuati come snodo fondamentale per tutte le attività del nostro sistema-paese di cui aumentare la resistenza ad attacchi e minacce informatici.

La seconda differenza riguarda i soggetti obbligati: mentre la la normativa sulla protezione dati personali è di generale applicazione e si rivolge a soggetti sia pubblici che privati, quella sulla  Cybersecurity si rivolge solo a soggetti pubblici o di interesse o a controllo pubblico (enti centrali e territoriali, società di trasporto pubblico o in house).

Il data breach

Di conseguenza il data breach disciplinato dal GDPR è un obbligo generalizzato quanto ai soggetti obbligati, mentre quanto al suo oggetto deve riguardare necessariamente eventi che coinvolgano dati personali che (secondo quanto esemplificato dallo stesso Garante dei dati Personali sul suo sito) possono verificarsi in caso di:

• accesso o acquisizione dei dati da parte di terzi non autorizzati;
• furto o perdita di dispositivi informatici contenenti dati personali;
• deliberata alterazione di dati personali; impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
• perdita o distruzione di dati personali dovuta a incidenti, eventi avversi, incendi o altre calamità; divulgazione non autorizzata dei dati personali;

Inoltre vanno notificate unicamente le violazioni di dati personali che possano avere effetti negativi sugli individui, causando danni fisici, materiali o immateriali.

Gli obblighi di segnalazione e notifica previsti dalla legge n. 90 riguardano, invece, dal punto di vista soggettivo solo i soggetti pubblici individuati direttamente dalla legge in commento e dal punto di vista oggettivo qualsiasi incidente[1] che abbia avuto impatto sui sistemi, i servizi e le reti anche se non ne sia dipesa alcuna conseguenza sui dati personali delle persone fisiche.

Diversi anche i termini, i responsabili ed i destinatari delle comunicazioni: il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) deve notificare[2] la violazione dei dati personali al Garante Privacy senza ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza; più stringente e tassativo il termine di 24 ore per la segnalazione all’ACN e di 72 ore per la notifica completa da parte del Referente per la cybersicurezza (solo soggetti obbligati individuati dalla legge 90) alla medesima Autorità in caso di violazioni di sicurezza.

Il referente per la cybersicurezza nelle PA

La Legge 90 (v. l’art.8) istituisce altresì una nuova figura, nell’ambito della struttura preposta alle attività di cybersicurezza:  il referente per la cybersicurezza; questi diventa l’unico punto di contatto delle amministrazioni/società obbligate con l’Agenzia per la Cybersicurezza Nazionale e deve essere individuato in ragione di specifiche professionalità e competenze possedute in materia.

Questa figura è autonoma e non può coincidere con quelle previste nell’ambito della legislazione sulla protezione dati personali (non ha infatti né il profilo del Responsabile del trattamento né tanto meno quello del DPO) ma sembra piuttosto rimandare, per chi ne ha ancora memoria, all’amministratore di sistema [3] o comunque ad una figura più tecnica che giuridica, in quanto il suo compito è quello di sovraintendere ai sistemi ed alle reti e non ai diritti fondamentali delle persone.

Questo profilo e la struttura di cui è a capo possono, invece, essere individuati nell’ufficio e nel responsabile per la transizione[4] al digitale previsti dall’art. 17 del D Lgs. n. 82/2005 (Codice dell’Amministrazione Digitale), sarà però necessario che il RTD già nominato documenti le specifiche competenze nel campo della sicurezza informatica richieste dal ruolo e dalle connesse responsabilità.

Note _

[1] La tassonomia degli incidenti che debbono essere oggetto di notifica viene definita con determinazioni tecniche del direttore generale, sentito il vice direttore generale, dell’Agenzia per la cybersicurezza nazionale ed attualmente è contenuta nelle tabelle n. 1 e n. 2 dell’allegato A al D.P.C.M. 14 aprile 2021 , n. 81.

[2] La notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e raggiungibile all’indirizzo https://servizi.gpdp.it/databreach/s/ (VEDI: Provvedimento del 27 maggio 2021).

[3] V. il PROVVEDIMENTO 27 novembre 2008, Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema in G.U. 24 dicembre 2008, n. 300 emesso dal Garante per la Protezione dei Dati Personali .

[4] Il responsabile della transizione digitale, ai sensi dell’art. 17 del CAD, deve essere dotato “di adeguate competenze tecnologiche, di informatica giuridica e manageriali.”