Cybersecurity: cosa prevede la nuova legge in arrivo

La Camera dei Deputati sta analizzando il disegno di Legge di iniziativa governativa, A.C. 1717 che introduce disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale.Il provvedimento è passato all’esame delle Commissioni Affari costituzionali e Giustizia l’8 maggio scorso.

• Vediamo come si articola la Legge in arrivo, quali sono i nuovi obblighi per le pubbliche amministrazioni in materia di cybersicurezza rafforzata, cosa cambia per l’Autority e quali nuovi reati saranno previsti per favorire il contrasto ai reati informatici.

Legge Cybersicurezza e resilienza delle PA: cosa prevede

La Legge sulla Cybersicurezza prevede (al 9 maggio 2024) due Capi e 22 articoli oggetto di modifica in sede referente:

• Il Capo I, composto dagli articoli da 1 a 14, riguarda la cybersicurezza nazionale e mira a conseguire una più elevata capacità di protezione e risposta di fronte a emergenze cibernetiche;
• Il Capo II, composto dagli articoli da 15 a 22 reca “Disposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari”.

Nuovi obblighi per le PA in materia di Cybersicurezza

La Legge introduce

• un obbligo di segnalazione di alcune tipologie di incidenti aventi impatto su reti, sistemi informativi e servizi informatici in carico alle pubbliche amministrazioni;
• l’obbligo per le PA all’adozione di interventi risolutivi laddove siano oggetto di segnalazioni dell’Agenzia per la cybersicurezza nazionale in relazione a specifiche vulnerabilità cui essi risultano potenzialmente esposti;
•  i soggetti inclusi nel Perimetro dovranno provvedere oltre che alla notifica, anche alla segnalazione degli incidenti che intervengono su reti, sistemi informativi e servizi informatici che si trovano al di fuori del Perimetro (di loro pertinenza), senza ritardo e comunque al massimo entro ventiquattro ore e si prevede che i dati relativi a incidenti informatici sono raccolti, sulla base degli adempimenti di notifica previsti a legislazione vigente, dall’Agenzia per la cybersicurezza nazionale.

Sicurezza cibernetica e obblighi dei soggetti coinvolti

Sempre nel Capo il disegno di Legge prevede:

• la possibilità di far partecipare alle riunioni del Nucleo per la cybersicurezza ulteriori soggetti quali rappresentanti della Direzione nazionale antimafia e antiterrorismo e rappresentanti della Banca d’Italia, in relazione a specifiche questioni di particolare rilevanza concernenti i compiti di proposta di iniziative in materia di cybersicurezza del Paese;
• il potere del Presidente del Consiglio di disporre il differimento degli obblighi informativi e delle attività di resilienza in capo all’Agenzia per la cybersicurezza nazionale nei casi in cui questo sia considerato strettamente necessario dai servizi di sicurezza della Repubblica;
• la modifica la composizione del Comitato interministeriale per la sicurezza della Repubblica (CISR), disponendo che del Comitato facciano parte anche il Ministro dell’agricoltura, il Ministro delle infrastrutture e dei trasporti e il Ministro dell’università e della ricerca;
• l’istituzione per le pubbliche amministrazioni, dove non sia già presente, della struttura preposta alle attività di cyber-sicurezza e del referente per la cyber-sicurezza.

Rafforzamento della Cybersicurezza: arriva il Centro nazionale di Crittografia

La Legge rafforza le misure di sicurezza dei dati attraverso l’uso della crittografia: viene istituito il Centro nazionale di crittografia presso l’Agenzia per la cybersicurezza nazionale e si attribuisce alle strutture preposte alle attività di cybersicurezza nelle pubbliche amministrazioni la funzione di verificare che i programmi e le applicazioni informatiche e di comunicazione elettronica rispettino le linee guida sulla crittografia adottate dall’Agenzia per la cybersicurezza nazionale e dall’Autorità garante per la protezione dei dati personali.

Agenzia per la cybersicurezza nazionale: accertamento violazioni e obblighi del personale, cosa cambia

Novità anche per l’Agenzia per la cybersicurezza nazionale: la Legge anticipa termini e modalità di un prossimo Regolamento sui criteri per l’accertamento, la contestazione e la notificazione delle violazioni della normativa in materia di cybersicurezza e l’irrogazione delle relative sanzioni di competenza dell’Agenzia;

La Legge prevede poi un divieto di due anni di assunzione, anche di incarichi, presso soggetti privati finalizzata allo svolgimento di mansioni in materia di cybersicurezza per i dipendenti appartenenti al ruolo del personale dell’Agenzia per la cybersicurezza nazionale – ACN che abbiano partecipato, nell’interesse e a spese dell’Agenzia stessa, a specifici percorsi formativi di specializzazione.

Inoltre, il personale dell’Agenzia proveniente dalle Forze armate o dalle Forze di polizia potrà rientrare, in presenza di motivate esigenze operative, nel ruolo dell’amministrazione di provenienza.

Il disegno di legge introduce alcuni criteri di cybersicurezza nella disciplina dei contratti pubblici e individua nuovi principi e criteri direttivi specifici a cui il Governo dovrà attenersi nel recepimento della normativa europea in materia di resilienza operativa digitale per il settore finanziario.

Prevenzione e contrasto dei reati informatici: modifiche al Codice Penale e nuovo reato di estorsione informatica

Il Capo II del Disegno di Legge apporterà modifiche al codice penale in materia di prevenzione e contrasto dei reati informatici:

• inasprimenti di pene o ulteriori circostanze aggravanti rispetto alle fattispecie di reati informatici previste a legislazione vigente
• nuove fattispecie delittuose quali, ad esempio, l’estorsione mediante reati informatici ( articolo 629 c.p.).
• esteso il termine ordinario di conclusione delle indagini preliminari qualora i reati informatici siano commessi in danno di sistemi informatici o telematici di interesse militare o comunque di interesse pubblico.
• Estensione dell’applicazione della speciale disciplina delle intercettazioni prevista per i fatti di criminalità organizzata ai reati informatici rimessi al coordinamento del procuratore nazionale antimafia e antiterrorismo;
• rafforzamento della collaborazione tra l’Agenzia per la cybersicurezza nazionale (ACN), il procuratore nazionale antimafia e antiterrorismo, la polizia giudiziaria ed il pubblico ministero e obbligo di immediata trasmissione delle notizie dei gravi delitti informatici.
• Estensione dei benefici penitenziari agli autori dei reati informatici che collaborano con la giustizia;
• l’ispettorato generale presso il Ministero della giustizia, nell’ambito delle ispezioni ordinarie condotte presso gli uffici giudiziari, saràchiamato a verificare altresì il rispetto delle prescrizioni di sicurezza negli accessi alle banche dati in uso.