Le amministrazioni centrali, le regioni, gli enti locali e le Asl saranno tenute a notificare gli incidenti cyber a carico delle proprie reti. In caso di mancato rispetto di questo obbligo, le sanzioni sono operative a partire dal 180esimo giorno successivo a quello della data di entrata in vigore (17 luglio) della legge 90 del 28 giugno (“Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”), mentre quelle per il mancato adeguamento alle segnalazioni puntuali dell’Agenzia per la cybersicurezza nazionale, relative alla esposizione dei soggetti a rilevate vulnerabilità da risolvere, sono già immediatamente efficaci. È quanto ha riferito il sottosegretario alla presidenza del Consiglio Alfredo Mantovano in un’informativa in cdm sugli adempimenti previsti dalla legge sulla cybersicurezza.
Le nuove direttive per la PA in fatto di cybersecurity
Mantovano ha spiegato che le amministrazioni, inoltre, devono nominare un referente per la cybersicurezza nell’ambito della propria organizzazione. Il sottosegretario ha poi ricordato che la legge prevede per tutte le autorità pubbliche e private inserite nel Perimetro di sicurezza nazionale cibernetica nuovi e più ridotti termini per la segnalazione anche di quegli incidenti non propriamente afferenti a beni conferiti al Perimetro, ma comunque a carico dei loro reti e sistemi.
Si passa, infatti, da un termine di 72 ore a un massimo di 24 ore per la tempestiva segnalazione, cui segue – entro 72 ore dall’impatto – la notifica completa di tutti gli elementi informativi disponibili. Ciò implica l’accelerazione dell’implementativo della direttiva del presidente del Consiglio dei ministri del 29 dicembre 2023 in tema di resilienza cibernetica del Paese, imperniata sulla più efficace collaborazione tra Agenzia per la cybersicurezza nazionale (Acn) e le amministrazioni destinatarie, finalizzata ad irrobustire la capacità di risposta agli incidenti informatici.
Le amministrazioni dovranno svolgere un censimento dei sistemi e apparati in uso e stilare un documento in cui siano riferiti ruoli e responsabilità inerenti alla cybersicurezza.
Le stesse amministrazioni e, in particolare, quelle pubbliche centrali, dovranno quindi assicurare che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che utilizzano soluzioni crittografiche, rispettino le linee guida sulla crittografia, nonché quelle sulla conservazione delle password adottate dall’Acn, in modo che non ci siano vulnerabilità atte a rendere disponibili e intellegibili a terzi i dati cifrati.
La legge, ha continuato Mantovano, interviene anche sulla disciplina dei contratti pubblici. Quando è in gioco la sicurezza nazionale, le amministrazioni committenti dovranno prevedere criteri di premialità per le proposte e per le offerte che contemplino l’uso di tecnologie di cybersicurezza di Paesi appartenenti all’Unione europea o Nato o di Paesi terzi individuati tra quelli che sono parte di accordi di collaborazione con l’Ue o con la Nato in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione.
Assosoftware: “Serve formazione”
“Negli ultimi anni sono aumentati i cyber attacchi ai danni di PA e aziende – secondo il rapporto Clusit 2024 in Italia sono in aumento, 65 per cento in più rispetto al 2022 – e benché oggi nel nostro Paese si senta spesso parlare di reti, innovazione e infrastrutture digitali, non si riesce tuttavia a porre la giusta attenzione sulla cybersecurity”, evidenzia Pierfrancesco Angeleri, presidente di AssoSoftware, l’associazione di Confindustria che riunisce i produttori italiani di software, nella memoria consegnata alle Commissioni Attività produttive e Affari Costituzionali della Camera sullo schema di Decreto Legislativo che recepisce la Direttiva Nis2. “Bene, come affermato dal Sottosegretario Mantovano anche a seguito del caso Crowdstrike, l’obbligo delle PA di segnalare eventuali fughe di dati, tuttavia in Italia il problema nasce da una mancanza di cultura della cybersicurezza: secondo un recente sondaggio compiuto tra gli associati è risultato come le aziende clienti che effettuano – almeno una volta l’anno – un momento interno di formazione sul tema siano poche (12%), mentre la stragrande maggioranza (75%) lascia la responsabilità di effettuarla in autoformazione ai collaboratori» ha continuato Angeleri. Si tratta di un gap che andrebbe colmato anche a livello legislativo. «Stiamo collaborando con il Garante Privacy per creare un Codice di Condotta dedicato ai produttori di software per far sì che i software siano compliant alla normativa Gdpr e a quella sulla Cybersicurezza già in fase di sviluppo”.
Gli impatti del gap di competenze in cybersecurity
Da un’indagine di Fortinet emerge che in Italia l’86% delle aziende che negli ultimi 12 mesi ha subito attacchi le attribuisce in parte alla mancanza di competenze di cybersecurity nei team che si occupano di rete e di sicurezza. L’impatto è considerevole – si legge nel report – se si tiene in conto che il 58% ha dichiarato di attribuire tali attacchi alla mancanza di consapevolezza sul tema della sicurezza da parte delle loro organizzazioni e dipendenti. Non da ultimo, il 44% ha evidenziato come siano stati necessari da 1 a 3 mesi per recuperare i danni derivanti dagli attacchi subiti.
“Le evidenze del report mettono in luce l’urgenza di colmare quanto prima il gap esistente. Il primo baluardo conto la criminalità informatica è infatti sempre la formazione che è fondamentale non solo all’interno delle aziende, ma è necessaria per stimolare a tutti i livelli un apprendimento continuo. Dati i tassi di disoccupazione che abbiamo in Italia, in particolare quella giovanile, e con la carenza di risorse sempre più evidente nel settore della cybersecurity, la formazione non è solo una necessità ma anche un’opportunità e un’occasione per ripensare l’ecosistema a tutti i livelli – evidenzia Massimo Palermo, Vp & country manager, Italia e Malta di Fortinet -. Offrire nuove opportunità di crescita investendo sulle persone, soprattutto i giovani, è uno dei driver della collaborazione che Fortinet ha da alcuni anni attivato con enti accademici, istituti di formazione e associazioni per formare una forza lavoro più consapevole, preparata ed inclusiva”.
Agenzia di vigilanza sull’AI
Nell’ambito della Strategia italiana per l’intelligenza artificiale 2024-2026 – il cui documento programmatico, messo a punto da un comitato di esperti coordinato da Gianluigi Greco, è online da ieri – è prevista la creazione di una Agenzia ad hoc il compito di vigilanza e notificazione nell’ambito delle azioni per lo sviluppo della tecnologia che collaborerà con l’Acn. Lo prevede il regolamento europeo sull’intelligenza artificiale (AI Act), che promuove l’istituzione di più Autorità chiamate a vigilare e attuare la normativa in materia di AI, distinguendo per competenze e funzioni: il livello europeo e quello nazionale. “L’Autorità definita nell’ambito del quadro regolatorio europeo, potrà essere definita in Italia in termini di una Agenzia, con un ruolo di vigilanza e notificazione”, si spiega nel documento.
“L’Agenzia dovrà porsi grazie alle sue competenze giuridiche e tecnologiche come privilegiato interlocutore affinché l’Italia sostenga l’industria digitale o il sistema produttivo che intenda adottare sistemi di AI, in stretta sinergia con la Fondazione per l’attuazione, il coordinamento e il monitoraggio”, si evidenzia.
“Sempre a vantaggio del sistema produttivo, l’Agenzia dovrà operare un’attività di orientamento nell’ambito dell’ordinamento giuridico”. Inoltre l’Agenzia dovrà anche “siglare protocolli e mantenere una stretta collaborazione con l’Agenzia per la Cybersicurezza Nazionale (Acn), in considerazione del cruciale ruolo che riveste l’AI nel settore e delle ripercussioni sul piano dell’adeguamento normativo (basti pensare, ad esempio, alle emergenti problematiche dell’attribuzione della responsabilità di attacchi cyber mediante l’utilizzo di strumenti di AI)”.
L’aggiornamento delle linee guida sulla crittografia
Dopo gli approfondimenti sulla crittografia pubblicati a dicembre 2023, l’Agenzia per la cybersicurezza nazionale pubblica nuovi focus dedicati nello specifico alla confidenzialità dei dati e alle tecniche di preparazione alla minaccia quantistica, con l’obiettivo di incentivare l’uso di sistemi crittografici sicuri e validati dalla comunità scientifica, in linea con quanto previsto in ambito europeo.
A predisporre i nuovi documenti è stato il servizio di Certificazione e vigilanza
di Acn, diretto da Andrea Billet, con l’obiettivo di aiutare gli utenti a orientarsi e comprendere meglio il funzionamento dei cifrari in relazione ai messaggi da inviare.
