La Camera ha approvato il decreto sulla cybersicurezza con 269 si (M5s, Pd, Leu e Iv), 3 no e 137 astenuti (Lega, Fi e Fdi). La palla ora passa al Senato. Il decreto istituisce il Perimetro nazionale sulla sicurezza cibernetica, che include anche le reti 5G.
“Il Perimetro di sicurezza nazionale cibernetica rappresenta uno sforzo senza precedenti da parte del Governo italiano, sulla strada della creazione di un ecosistema di governance e di responsabilità comune e condivisa nel settore della cybersecurity – commenta Emanuele Scagliusi, capogruppo M5S in commissione Trasporti alla Camera e relatore del provvedimento – Questo provvedimento rappresenta finalmente una risposta strutturale, che tiene conto di tutte le parti in gioco e definisce metodiche e standard condivisi per la risoluzione dei problemi. La tutela delle reti e dei dati che vi transitano dev’essere un impegno costante e inderogabile per qualsiasi Paese e comporta un continuo ed efficace aggiornamento dell’impianto normativo”.
“Con questo decreto si arriva ad un punto di convergenza attraverso la definizione del Perimetro nazionale della sicurezza cibernetica – evidenzia Enza Bruno Bossio (Pd) – Sappiamo che oggi la sicurezza è più a rischio anche se ci sono grandi opportunità perché abbiamo le reti 5G che ci portano grandissimo sviluppo ma nello stesso momento rendono il sistema più vulnerabile. Quindi è interesse della Nazione e delle imprese far sì che funzioni bene la ‘governance’ nazionale e globale del sistema”.
La parlamentare ha concluso affermando: “Le imprese impiegheranno un tempo per fare le certificazioni ma sarà un tempo ben speso per la sicurezza anche delle imprese stesse, anche in considerazione del silenzio assenso nelle risposte degli organismi istituzionali. Dunque garantire la sicurezza per tutti senza mettere in discussione lo sviluppo delle reti 5G nei tempi previsti”.
“Ben venga la conversione in legge del dl cyber ma se c’è un movimento che più di altri ha lavorato per imporre nell’agenda di governo i temi della sicurezza cibernetica quello è la Lega – dice Massimiliano Capitanio, deputato della Lega e componente della Commissione Telecomunicazioni alla Camera – Noi non ci fidiamo della persona a cui questo provvedimento delegherà poteri straordinari e un ruolo di coordinamento che, così come dimostrato in altri contesti, non riuscirà a imporsi in Europa per difendere i nostri confini digitali, proprio ora che il Consiglio europeo ci chiede di essere sovranisti almeno nella gestione delle nuove tecnologie”.
“Bocciato persino un ordine del giorno sulle azioni antipirateria per contrastare le organizzazioni criminali che depredano lo Stato ogni anno di almeno un miliardo di euro, di fatto il nostro Paese sarà privo di un perimetro difensivo e sono a rischio pure le comunicazioni all’interno dell’Alleanza atlantica. Alla luce degli attacchi cibernetici in cui potremmo incorrere il governo è totalmente inadeguato e ci ha impedito, di fatto, di portare avanti provvedimenti fondamentali per la sicurezza nazionale”.
Per Huawei il decreto va nella giusta direzione, ma come evidenziato da Thomas Miao, ceo per l’Italia, in occasione del taglio del nastro della sede romana, “servono pari opportunità per tutti, non si può giudicare un’azienda in base a dove ha l’headquarter”. Il dl cybersecurity , come ha sottolineato il presidente di Huawei Italia, Luigi De Vecchis, va nella giusta direzione per quanto riguarda la parte dell’allargamento del perimetro di applicazione delle norme che “è perfetta”. Secondo i vertici della compagnia cinese, va cambiata la parte di normativa che richiama la legge del 2012 che “discrimina” le aziende extra europee. Al momento, ha detto Miao, Huawei “non ha avuto problemi” per la normativa italiana: “Dipende da come la legge verrà definita. Se ci sarà discriminazione saremo le vittime ma anche il Paese ne sarà vittima”.
Cosa prevede il decreto cybersecurity
Il decreto istituisce il Perimetro della sicurezza cibernetica nazionale, al cui interno saranno incluse non solo tutte le Amministrazioni pubbliche, ma anche tutte le aziende che offrono servizi strategici (telefonia, trasporti ferroviari, fornitura di elettricità ecc). Gli enti che rientreranno nel Perimetro saranno identificati da un Decreto della Presidenza del Consiglio, sulla base delle indicazioni del Comitato interministeriale per la sicurezza della Repubblica (Cisr). Quando una Amministrazione pubblica o una azienda inserita nel Perimetro intenderà “procedere all’affidamento di forniture di beni, sistemi e servizi Ict destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici”, dovrà comunicarlo al Centro di valutazione e certificazione nazionale (Cvcn), istituito presso il Mise.
Il Cvcn, valutando i rischi sulla sicurezza, “può, entro trenta giorni, imporre condizioni e test di hardware e software”; in questo caso i contratti “sono integrati con clausole” che pongono delle condizioni, che potranno portare alla sospensione o anche alla risoluzione del contratto, fino al rispetto delle condizioni indicate e al superamento dei test di sicurezza. Per chi falsifica i test o dà comunicazioni errate, è previsto un sistema di sanzioni, anche penali, con pene da uno a tre anni di prigione. Inoltre queste norme si applicano ai soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica, anche per i contratti – ove conclusi con soggetti esterni all’Ue – relativi al 5G, rispetto ai quali le attuali leggi sulla golden power prevedono la possibilità che il governo possa esercitare il potere di veto o di imposizione di specifiche condizioni.
In più per i contratti, l’Autorità può imporre che essi siano “modificati o integrati con misure aggiuntive necessarie al fine di assicurare livelli di sicurezza” adeguati, “anche prescrivendo, ove necessario, la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza”. Il governo può inoltre opporre la golden power contro “soggetti esterni all’Unione europea” che vogliano acquistare partecipazioni azionari in società che detengono specifici beni e rapporti, fra cui le infrastrutture e le tecnologie critiche legate alla gestione dei dati e alla cybersicurezza, nonché le infrastrutture finanziarie, ivi compresa Borsa spa. Con un emendamento del governo inserito nel corso dell’esame, è stato rafforzata la golden power nei settori strategici, rispetto all’attuale legge del 2012. In particolare il potere di veto da parte dell’esecutivo viene esteso dalle “delibere” a “l’adozione di atti o operazioni” da parte delle società che detengono gli asset strategici.
Parallelamente è autorizzata l’assunzione a tempo indeterminato di un contingente massimo di 77 unità di personale, di cui 67 di area terza e 10 di area seconda, tenuto conto dell’esigenza di disporre di personale in possesso della professionalità necessaria per lo svolgimento delle funzioni del Centro di valutazione e certificazione nazionale (Cvcn). A sua volta, la Presidenza del Consiglio è autorizzata ad assumere fino a 10 unità di personale non dirigenziale, per lo svolgimento delle funzioni in materia di digitalizzazione. Il suddetto reclutamento del personale avviene attraverso l’espletamento di uno o più concorsi pubblici.