L’Italia ha una nuova legge sulla cybersecurity. Il Senato ha infatti approvato con 80 sì, tre contrari e 57 astenuti il disegno di legge “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, che aveva già ottenuto il via libera della Camera dei Deputati il 15 maggio. A esprimersi a favore del provvedimento sono stati i senatori della maggioranza, mentre l’opposizione si è astenuta e a votare contro sono stati i rappresentanti di Alleanza Verdi e Sinistra (Avs).
Al centro delle nuove norme ci sono la resilienza delle pubbliche amministrazioni e del settore finanziario, i contratti pubblici di beni e servizi informatici impiegati a tutela degli interessi nazionali strategici, il contrasto ai reati informatici e la sicurezza delle banche dati degli uffici giudiziari.
Con l’entrata in vigore della nuova legge diventa obbligatoria la segnalazione entro 24 ore di alcune tipologie di incidenti informatici che hanno impatto sulle reti, e che dovranno essere notificati entro 24 ore all’Agenzia per la Cybersicurezza nazionale.
Al presidente del Consiglio spetterà il compito di definire, su proposta del Comitato interministeriale per la cybersicurezza, il perimetro dei soggetti pubblici e privati che sono tenuti ad attivarsi in caso di incidenti. Alle riunioni del Nucleo per la cybersicurezza dell’Agenzia nazionale potranno inoltre partecipare, in relazione a specifiche questioni di particolare rilevanza, anche i rappresentanti della Direzione nazionale antimafia e antiterrorismo e della Banca d’Italia.
Le novità nel disegno di legge
Ventitré in tutto gli articoli che compongono il disegno di legge, cinque in più rispetto ai 18 della versione originaria, grazie alle aggiunte arrivate durante l’esame delle norme nelle commissioni Affari Costituzionali e Giustizia di Montecitorio, poi approvate dalla Camera. Tra le più rilevanti quelle che riguardano la resilienza delle pubbliche amministrazioni e del settore finanziario, i contratti pubblici di beni e servizi informatici impiegati a tutela degli interessi nazionali strategici, il contrasto ai reati informatici e la sicurezza delle banche di dati degli uffici giudiziari.
L’obbligo di segnalazione degli incidenti entro 24 ore ad Acn
Tra i punti qualificanti del Ddl c’è l’obbligo di segnalazione entro 24 ore all’Agenza per la Cybersicurezza nazionale di alcuni tipi di incidenti che hanno impatto sulle reti. A definire il perimetro di questo obbligo, e quindi quali saranno gli enti pubblici e privati tenuti alla segnalazione, sarà la presidenza del Consiglio su proposta del Comitato interministeriale per la cybersicurezza. Si tratterà in ogni caso, in generale, di “operatori che svolgono funzioni istituzionali o essenziali per gli interessi dello Stato”.
Riunioni Ncs aperte ad Antimafia, Antiterrorismo e Banca d’Italia
Altra novità introdotta dal Ddl è la disposizione che alle riunioni del Nucleo per la cybersicurezza (Ncs) dell’Acn potranno partecipare, su specifiche questioni di particolare rilevanza, i rappresentanti della Direzione nazionale antimafia e antiterrorismo e della Banca d’Italia.
Strutture ad hoc per la cybersecurity nella PA
Il disegno di legge prevede inoltre che nelle PA che ancora non l’abbiano fatto venga istituita una struttura ad hoc per la cybersecurity che si doti di un referente unico per l’Acn. All’interno dell’Agenzia per la cybersicurezza nazionale verrà inoltre istituito il Centro nazionale di crittografia.
Il Ddl prevede inoltre, per i contratti pubblici, che Palazzo Chigi emani un decreto, su proposta dell’Acn e ascoltato il parere del Comitato interministeriale per la sicurezza della Repubblica, per individuare, per determinate categorie tecnologiche di beni e servizi, gli elementi essenziali di cybersicurezza da tenere in considerazione in relazione alle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici.
L’accesso alle banche dati della PA
Tra i suoi articoli il Ddl stabilisce anche le norme per l’accesso alle banche dati delle pubbliche amministrazioni da parte degli addetti tecnici, prevedendo precisi sistemi di autenticazione.
Secondo le nuove norme i dipendenti dell’Acn che abbiano partecipato a specifici programmi di specializzazione non potranno assumere, per almeno due anni, incarichi presso soggetti privati con mansioni relative alla cybersecurity.
L’inasprimento delle pene
Secondo le disposizioni del secondo capo del Ddl vengono introdotti e definiti una serie di reati informatici grazie alla modifica di alcuni articoli correlati del Codice penale: dall’accesso abusivo ad un sistema informatico o telematico alla detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico.
Introdotte aggravanti sulla truffa aggravata, prevedendo la confisca obbligatoria dei beni e degli strumenti informatici o telematici utilizzati in tutto o in parte per la commissione del reato, oltre che dei profitto o il prodotto di questo genere di reati.
Il Ddl prevede che venga punita la fattispecie del delitto di estorsione mediante reati informatici, e l’innalzamento della pena per il danneggiamento di sistemi informatici o telematici di pubblica utilità, che potrà costare dai due ai sei anni di reclusione.
Il nodo delle risorse
Il provvedimento non prevede che siano stanziate risorse per l’attuazione del rafforzamento della sicurezza cibernetica, mentre dispone che i proventi delle sanzioni vengano indirizzati all’Agenzia per la cybersicurezza nazionale.
Commissione Ue, call da 102 milioni sulla cybersecurity
La Commissione Europea lancia un nuovo invito a presentare proposte del Programma Europa Digitale (Dep). Un bilancio dedicato di 102 milioni di euro è messo a disposizione per le attività di implementazione a sostegno dei Security operations center (Soc) nazionali, il lancio di piattaforme Soc transfrontaliere, il rafforzamento dell’ecosistema Soc, lo sviluppo di tecnologie chiave avanzate e il sostegno all’attuazione della legislazione dell’Ue in materia di sicurezza informatica e sicurezza informatica a livello nazionale.
Bando aperto a imprese e PA
I progetti finanziati dal bando (SCARICA QUI IL TESTO ORIGINALE) saranno gestiti dal Centro europeo di competenza sulla sicurezza informatica (Eccc). Il bando è aperto a imprese, pmi, pubbliche amministrazioni e altri enti degli Stati membri dell’Ue e dei paesi Efta/See.
Gli ambiti di intervento
Gli ambiti di intervento sono i seguenti: Soc nazionali; Ampliamento delle piattaforme Soc esistenti o lancio di nuove piattaforme Soc transfrontaliere; Rafforzare l’ecosistema Soc; Sviluppo e implementazione di tecnologie chiave avanzate; Supporto alla preparazione e assistenza reciproca, mirato a operazioni e installazioni industriali più grandi; Supporto per l’attuazione della legislazione dell’Ue sulla sicurezza informatica e sulle strategie nazionali di sicurezza informatica (2024).
Proposte entro il 4 luglio
L’invito a presentare proposte “Digital-Eccc-2024-Deploy-Cyber-07” nell’ambito del programma Europa digitale è pubblicato sul portale Finanziamenti e gare d’appalto. Le proposte possono essere presentate dal 4 luglio 2024 al 21 gennaio 2025 alle 17.
