Cybersicurezza, ecco cosa prevede la nuova legge

Con 80 voti a favore, 3 contrari e 57 astensioni, mercoledì 19 giugno il Senato della Repubblica ha approvato il ddl di iniziativa governativa per rafforzare la cybersicurezza nazionale. Dopo il placet della Camera di un mese fa, il testo si converte ora in legge. Si tratta di un decreto che risponde alla direttiva Nis2 dell’Unione Europea, entrata in vigore nel 2023, con lo scopo di modernizzare il quadro giuridico esistente in materia di sicurezza informatica. 

L’obiettivo principale del decreto è quello di uniformare gli standard italiani e quelli europei, aumentando la resilienza nazionale contro le insidie informatiche. 

A riguardo, la direttiva Nis2 amplia l’ambito di applicazione rispetto alla precedente direttiva del 2016, interessando anche “soggetti critici” in settori chiave come energia, trasporti, bancario e salute. 

Il recepimento di questa direttiva ha dunque la funzione di modernizzare il quadro giuridico esistente per tenere il passo con la crescente digitalizzazione e l’evoluzione delle minacce alla cybersicurezza. La prospettiva è quella di migliorare ulteriormente le capacità di difesa e risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell'UE nel suo complesso.

La direttiva sulle linee guida per un livello elevato di cybersicurezza in tutta l'Unione prevede misure giuridiche per rafforzare il livello generale di sicurezza informatica nell'UE garantendo:

• La preparazione degli Stati membri, imponendo loro di essere adeguatamente equipaggiati. Ad esempio, con un team di risposta agli incidenti di sicurezza informatica e un'autorità nazionale competente in materia di reti e sistemi informativi;
• La cooperazione tra tutti gli Stati membri, istituendo un gruppo di collaborazione per sostenere e facilitare il dialogo strategico e lo scambio di informazioni tra gli Stati membri.
• Una cultura della sicurezza in tutti i settori che sono vitali per l’economia e la società dell’Unione Europea, che dipendono fortemente dalle tecnologie dell’informazione e della comunicazione, come l'energia, i trasporti, l'acqua, gli istituti di credito, i mercati finanziari, l'assistenza sanitaria e le infrastrutture digitali.

Il decreto si rivolge a: 

• Le pubbliche amministrazioni individuate ai sensi dell’articolo 1 comma 3 della legge del 31 dicembre 2009 n. 196;
• Le regioni e le province autonome di Trento e Bolzano;
• Le città metropolitane e i comuni con popolazione superiore a 100.000 abitanti;
• I capoluoghi di regione;
• Le società di trasporto pubblico urbano con bacino d’utenza di oltre 100.000 abitanti;
• Le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane;
• Le aziende sanitarie locali;
• Le società in house impiegate nei servizi di raccolta e smaltimento delle acque reflue e di gestione dei rifiuti;
• Le società in house che forniscono servizi informatici.

Il decreto introduce obblighi specifici per soggetti pubblici e privati. Vediamo i punti salienti: 

• Conferma l’Agenzia per la Cybersicurezza Nazionale (ACN) quale Autorità Nazionale Competente NIS, definendone i poteri per l’implementazione e l’attuazione del decreto;
• Prevede l’obbligo di segnalazione entro 24 ore all’ACN di alcune tipologie di incidenti informatici, aventi impatto su reti, sistemi informativi e servizi informatici. In caso di reiterata inosservanza, è prevista una sanzione amministrativa pecuniaria da 25.000 a 125.000 euro. 
• Prevede l’obbligo di adozione di interventi suggeriti dall’ACN, pena la sanzione amministrativa di importo da 25.000 a 125.000 euro.
• Promuove e rafforza le procedure di sicurezza dei dati attraverso la crittografia, facendo riferimento alle indicazioni del Centro Nazionale di Crittografia, disciplinato dall’ACN. L’ACN, a sua volta, stabilisce linee guida sulla crittografia e sulla conservazione delle password in modo da evitare vulnerabilità dei dati. A tal fine si propone la collaborazione con centri universitari e di ricerca per lo sviluppo di nuovi algoritmi. 
• Prevede l’inasprimento delle pene per i reati informatici. Per reati di accesso abusivo ai sistemi commessi da pubblico ufficiale, da chi esercita abusivamente la professione di investigatore privato e da chi, in veste di operatore del sistema, sfrutta la propria posizione, la pena passa da un range di 1-5 anni di reclusione a un lasso di tempo di 2-10 anni. Per coloro, invece, che non ricoprono questi incarichi la reclusione va dai 2 ai 6 anni. Nei casi di danneggiamento o distruzione dei sistemi informatici di pubblica utilità la pena va da 3 a 8 anni di reclusione. 

Il decreto è stato accolto con favore dai partiti di governo. Il sottosegretario Alfredo Mantovano ha commentato positivamente il verdetto dell’Aula: “Esprimo apprezzamento e soddisfazione per l'approvazione definitiva del disegno di legge del governo sulla cybersecurity: è un testo che ha trovato arricchimento e positiva integrazione nel percorso parlamentare, grazie anche al contributo emendativo delle opposizioni". E ha aggiunto: "Da oggi l'intero sistema della sicurezza nazionale, e in particolare quello cyber, che è diventato il fronte principale di attacchi da parte di soggetti statuali ostili, viene finalmente dotato di strumenti operativi più adeguati a respingerli”.

Dalla votazione si sono astenuti i gruppi di M5s, Pd, Italia viva e Azione, mentre Avs ha votato no al provvedimento.