Il “Decreto Cybersicurezza” passa anche al Senato e diventa legge dello Stato

Il Senato ha convertito in legge il decreto in materia di cybersicurezza, definizione dell’architettura nazionale e istituzione dell’Agenzia nazionale per la cybersicurezza.

Il voto al Senato

Nella seduta n. 354 del 3 agosto 2021, l’Aula di Palazzo Madama ha approvato – con 204 voti favorevoli; 3 contrari e 23 astenuti – ha approvato definitivamente il DdL n. 2336, di conversione del decreto legge n. 82, recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”.

L’accresciuta esposizione alle minacce cibernetiche

In considerazione dell’accresciuta esposizione alle minacce cibernetiche è emersa negli anni la necessità di sviluppare, in tempi brevi, idonei e sempre più stringenti meccanismi di tutela.

Secondo una nota ANSA del 4 agosto scorso, gli attacchi informatici su larga in Europa sono passati da 432 nel 2019 a 756 nel 2020, registrando un aumento del 75% rispetto al 2019.

E’ quanto emerge dagli ultimi dati sulla cybercriminalità raccolti dalla Commissione europea.

Sulla scia della pandemia, a essere più colpiti dagli hacker sono stati soprattutto gli ospedali e le strutture sanitarie.

Ultimo testimone di tale esposizione è il recente –  e non ancora pienamente sconfitto – attacco cibernetico al sito dei vaccini della Regione Lazio.

Un po’ di storia

A livello di Unione europea la direttiva (UE) 2016/1148 del 6 luglio 2016 reca misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. direttiva NIS – Network and Information Security“).

La direttiva è stata recepita nell’ordinamento italiano con il decreto legislativo n. 65 del 18 maggio 2018, che detta quindi la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva NIS.

Successivamente, il decreto legge n. 105 del 2019 è stato adottato al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati.  

Ciò attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi.

La sicurezza cibernetica tra le ‘missioni’ del PNRR

La sicurezza cibernetica costituisce uno degli interventi previsti dal Piano nazionale di ripresa e resilienza (PNRR),  definitivamente approvato il 13 luglio 2021.

In tale ambito, la cybersecurity è uno dei 7 investimenti della Digitalizzazione della pubblica amministrazione,

compresa nella Missione 1 “Digitalizzazione, innovazione, competitività, cultura e turismo”.

Gli investimenti previsti: circa 620 milioni di euro

All’investimento, volto alla creazione ed al rafforzamento delle infrastrutture legate alla protezione cibernetica del Paese sono destinati circa 620 milioni di euro di cui 241 milioni di euro per la creazione di una infrastruttura nazionale per la cibersicurezza.

Altri 231 milioni di euro per il rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica PSNC.

E, infine, 150 milioni di euro per il rafforzamento delle capacità nazionali di difesa informatica presso il ministero dell’Interno, Difesa, Guardia di Finanza, Giustizia e Consiglio di Stato.

ANALISI SINTETICA DEL DECRETO LEGGE APPROVATO

Il disegno di legge di conversione era stato già approvato dalla Camera dei deputati in prima lettura il 28 luglio 2021. Il decreto legge si compone di diciannove articoli.

Il sistema nazionale di sicurezza cibernetica

Gli articoli da 1 a 4 definiscono il sistema nazionale di sicurezza cibernetica,che ha al suo vertice il Presidente del Consiglio dei ministri al quale è attribuita l’alta direzione e la responsabilità generale delle “politiche di cybersicurezza”, nonché l’adozione della relativa strategia nazionale.

Le attribuzioni a l Presidente del Consiglio e le deleghe

Il Presidente del Consiglio dei ministri può delegare all’Autorità delegata per il sistema di informazione per la sicurezza della Repubblica, ove istituita, le funzioni che non sono a lui attribuite in via esclusiva.

Il Comitato interministeriale per la cyber sicurezza

Presso la Presidenza del Consiglio dei ministri è istituito il Comitato interministeriale per la cybersicurezza (CIC), organismo con funzioni di consulenza, proposta e vigilanza in materia di politiche di cibersicurezza.

L’ “Agenzia per la cybersicurezza nazionale”

Un novero di disposizioni del decreto-legge indi concerne la “Agenzia per la cybersicurezza nazionale“:

Così l’articolo 5, che ne viene a prevedere la istituzione. Il 6, che ne disciplina l’organizzazione. Mentre l’articolo 11, relativo a risorse finanziarie ed autonomia contabile. L’articolo 12, sul personale.

La Relazione annuale

Può ritenersi attinente anche l’articolo 14, circa le relazioni annuali che il Presidente del Consiglio è tenuto a trasmettere (al Parlamento e al COPASIR) sulle attività dell’Agenzia.

Il Nucleo per la cybersicurezza

Presso l’Agenzia, è prevista la costituzione di un “Nucleo per la cybersicurezza“, per profili attinenti a eventuali situazioni di crisi. Ne trattano gli articoli 8 e 9.

Quanto alla gestione delle crisi che coinvolgano aspetti della cibersicurezza, ne tratta l’articolo 10.

La trattazione dei dati personali

L’articolo 13 ha per oggetto la trattazione dei “dati personali per finalità di sicurezza nazionale cibernetica”.

Modifiche alla direttiva (UE) 2016/1148

L’articolo 15 detta una serie di novelle al decreto legislativo n. 65 del 2018 (di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio) 2016, onde armonizzarlo con l’impianto normativo proprio del decreto-legge n. 82 in esame.

Il 16 novella, al medesimo scopo, alcuni altri atti normativi.

Disposizioni transitorie e finali

Chiudono disposizioni transitorie e finali (articolo 17) e finanziarie (articolo 18).

Già in vigore dal 15 giugno 2021

Con l’articolo 19 si dispone l’entrata in vigore del decreto-legge il giorno successivo alla data della sua pubblicazione in Gazzetta Ufficiale (dunque la vigenza è dal 15 giugno 2021).