Il disegno di legge sulla cybersicurezza approvato dal Senato il 19 giugno 2024 si inserisce in un contesto di crescente complessità e pericolosità delle minacce informatiche. IL provvedimento è suddiviso in due capi e 24 articoli che affrontano diversi aspetti della sicurezza informatica nazionale.
Il Capo I del disegno di legge si concentra sul rafforzamento della cybersicurezza nazionale, migliorando la resilienza delle pubbliche amministrazioni e del settore finanziario. Prevede inoltre disposizioni riguardanti il personale e il funzionamento dell’Agenzia per la Cybersicurezza Nazionale e degli organismi di informazione per la sicurezza, nonché norme sui contratti pubblici di beni e servizi informatici impiegati in un contesto di tutela degli interessi nazionali strategici.
Le pubbliche amministrazioni centrali, le regioni, le province autonome, le città metropolitane, i comuni con popolazione superiore a 100.000 abitanti e altre entità specificate devono segnalare e notificare gli incidenti informatici secondo le modalità stabilite. La notifica deve essere effettuata tempestivamente, entro ventiquattro ore dal momento in cui l’incidente è stato rilevato, e deve essere completata entro settantadue ore. Le segnalazioni e le notifiche devono essere inviate tramite le procedure disponibili sul sito dell’Agenzia per la Cybersicurezza Nazionale. In caso di inosservanza degli obblighi di notifica, l’Agenzia può comunicare all’interessato che una reiterazione dell’inadempimento comporterà sanzioni, e può disporre ispezioni per verificare l’implementazione delle misure di sicurezza.
Il disegno di legge introduce anche norme per il mancato o ritardato adeguamento alle segnalazioni dell’Agenzia per la Cybersicurezza Nazionale. In particolare, gli enti devono adottare gli interventi risolutivi indicati dall’Agenzia entro quindici giorni dalla comunicazione delle vulnerabilità. La mancata o ritardata adozione di tali interventi comporta l’applicazione di sanzioni pecuniarie.
Sono previste modifiche al decreto-legge 21 settembre 2019, n. 105, per migliorare la tempestività delle segnalazioni e delle notifiche degli incidenti informatici. Inoltre, l’Agenzia per la Cybersicurezza Nazionale è incaricata di raccogliere, elaborare e classificare i dati relativi agli incidenti informatici, rendendo pubblici questi dati nell’ambito delle relazioni annuali.
Le pubbliche amministrazioni devono adottare misure per rafforzare la loro resilienza contro gli attacchi informatici. Ogni amministrazione centrale, regionale, provinciale e comunale con più di 100.000 abitanti è tenuta a designare un referente per la cybersicurezza. Questo referente coordina l’implementazione delle misure di sicurezza e garantisce che tutte le attività legate alla cybersicurezza siano conformi alle linee guida fornite dall’Agenzia per la Cybersicurezza Nazionale.
Il referente per la cybersicurezza ha il compito di monitorare costantemente la sicurezza dei sistemi informativi e di assicurare che tutte le vulnerabilità identificate siano risolte tempestivamente. Inoltre, il referente deve collaborare con altri enti e autorità competenti per condividere informazioni sulle minacce e sulle migliori pratiche di sicurezza.
IL DDL si concentra, in particolare, sull’uso della crittografia per rafforzare la sicurezza dei dati. Gli enti pubblici devono verificare che i programmi e le applicazioni informatiche utilizzino soluzioni crittografiche conformi alle linee guida stabilite dall’Agenzia per la Cybersicurezza Nazionale e dal Garante per la Protezione dei Dati Personali. Questa verifica è essenziale per garantire che i dati cifrati non siano accessibili o leggibili da terzi non autorizzati a causa di vulnerabilità note. Le linee guida sulla crittografia e sulla conservazione delle password devono essere rigorosamente seguite per proteggere le informazioni sensibili contro accessi non autorizzati e altre minacce informatiche.
Vengono ampliate anche le funzioni dell’Agenzia per la Cybersicurezza Nazionale riguardo alla crittografia. L’Agenzia è responsabile dello sviluppo, della diffusione e della promozione di standard, linee guida e raccomandazioni per migliorare la sicurezza informatica attraverso l’uso della crittografia. Essa deve valutare la sicurezza dei sistemi crittografici utilizzati e promuovere la collaborazione con centri universitari e di ricerca per lo sviluppo di nuovi algoritmi crittografici.
Viene inoltre istituito il Centro Nazionale di Crittografia, che funge da centro di competenza per tutti gli aspetti della crittografia non classificata. Questo centro collabora con organismi esteri analoghi per garantire che le capacità crittografiche nazionali siano sempre all’avanguardia e conformi agli standard internazionali. Il Centro Nazionale di Crittografia ha anche il compito di supportare le pubbliche amministrazioni e altri enti nel rafforzamento delle loro misure di sicurezza crittografica.
Il Nucleo per la Cybersicurezza può essere convocato per specifiche questioni di particolare rilevanza, estendendo la partecipazione ai rappresentanti di altri enti e operatori rilevanti. È previsto il coordinamento operativo tra i servizi di informazione per la sicurezza e l’Agenzia per la Cybersicurezza Nazionale, con possibilità di differimento delle attività di resilienza in casi di necessità per le finalità istituzionali del Sistema di informazione per la sicurezza della Repubblica.
Il Capo II del disegno di legge si focalizza sulla prevenzione e il contrasto dei reati informatici, il coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e la sicurezza delle banche dati utilizzate dagli uffici giudiziari. Questo capo introduce diverse modifiche al codice penale per inasprire le pene per i reati informatici e per migliorare la capacità di prevenzione e contrasto.
Sono aumentate le pene per l’accesso abusivo a un sistema informatico, la detenzione e diffusione di codici di accesso e altri reati correlati. Le modifiche includono l’uso della minaccia come circostanza aggravante per l’accesso abusivo a sistemi informatici e l’intercettazione, impedimento o interruzione illecita di comunicazioni informatiche. Queste modifiche sono pensate per rafforzare la deterrenza e migliorare la capacità delle autorità di perseguire i crimini informatici.
Il coordinamento degli interventi è essenziale per garantire una risposta efficace agli attacchi informatici. L’Agenzia per la Cybersicurezza Nazionale svolge un ruolo centrale nel coordinare le risposte agli incidenti e nel collaborare con altre autorità competenti. Questo include la creazione di un centro di comando e controllo per gestire le crisi informatiche, facilitando la condivisione delle informazioni e supportando gli enti coinvolti nella gestione degli incidenti.
La sicurezza delle banche dati in uso presso gli uffici giudiziari è un tema di particolare rilevanza. Il disegno di legge impone misure rigorose per proteggere queste banche dati, includendo l’adozione di tecnologie avanzate di sicurezza informatica, audit periodici per verificare la conformità alle normative di sicurezza e la formazione continua del personale giudiziario. Queste misure sono essenziali per prevenire accessi non autorizzati e garantire l’integrità e la riservatezza dei dati giudiziari.
Il disegno di legge prevede un regime sanzionatorio articolato per le violazioni delle norme di cybersicurezza. Le sanzioni amministrative pecuniarie variano in base alla gravità delle violazioni e possono includere ammende significative per garantire un effetto deterrente. La reiterata inosservanza degli obblighi di notifica comporta ulteriori sanzioni, compresa la responsabilità disciplinare e amministrativo-contabile per i funzionari e i dirigenti responsabili.
