Pubblicata nella Gazzetta Ufficiale n. 153 del 2 luglio 2024 la L. 28 giugno 2024, n. 90 con “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, brevemente detta “Legge sulla Cybersicurezza”, che ha l’obiettivo di introdurre e armonizzare un ventaglio molto ampio e variegato di temi legati al mondo della cybersecurity.
La Legge sulla Cybersicurezza disciplina la governance, gli obblighi di notifica degli incidenti, i requisiti di cybersicurezza nei contratti pubblici fino alle preclusioni per l’assunzione di alcune tipologie di professionalità provenienti dal mondo della cybersecurity pubblica e della sicurezza nazionale.
Il mondo della pubblica amministrazione risulta essere senza ombra di dubbio il soggetto posto al centro della Legge sulla Cybersicurezza In generale, gli attori pubblici che dovranno applicare quanto previsto dal legislatore sono di seguito elencati:
A tali soggetti, è richiesto anzitutto di rafforzare la resilienza in materia di cybersicurezza. Tale obiettivo deve essere raggiunto attraverso 4 specifici macro adempimenti che illustriamo nel seguito dell’articolo.
Gli attori che dovranno applicare quanto previsto dalla Legge sulla Cybersicurezza devono dotarsi, ove non sia già presente, di una struttura per la cybersicurezza, anche fra quelle già esistenti, nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente. Tale struttura, che può essere individuata anche in quella dell’ufficio del responsabile per la transizione al digitale, deve provvedere a:
Tale struttura per la cybersicurezza ha inoltre l’obbligo di verificare che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso presso la pubblica amministrazione che impieghino soluzioni crittografiche, rispettino le linee guida sulla crittografia e quelle sulla conservazione delle password adottate dall’Agenzia per la Cybersicurezza Nazionale e dall’Autorità Garante per la Protezione dei Dati Personali.
Al fine di non rendere disponibili e intellegibili a terzi i dati cifrati, la struttura per la cybersicurezza ha anche il compito di verificare che e i programmi e le applicazioni informatiche e di comunicazione elettronica in uso presso la pubblica amministrazione non presentino vulnerabilità note.
I compiti della struttura per la cybersicurezza non sono banali ma, sicuramente un sollievo per i soggetti interessati, tali compiti possono essere esercitati in forma associata, così come previsto dall’articolo 17, commi 1-sexies e 1-septies, del decreto legislativo n. 82 del 2005.
Il criterio di selezione delle pubbliche amministrazioni esplicitato dal legislatore nella Legge sulla Cybersicurezza sembra essere coerente con la futura identificazione dei soggetti pubblici da includere, attraverso il decreto di recepimento italiano, nell’alveo di applicazione della Direttiva NIS2. Pertanto, si presume che le pubbliche amministrazioni ricomprese nella Legge sulla Cybersicurezza saranno verosimilmente le stesse che dovranno applicare anche il dettato normativo della Direttiva NIS2 e del suo decreto legislativo di recepimento nazionale.
Il referente per la cybersicurezza deve essere individuato in ragione delle sue specifiche professionalità e competenze possedute in materia di cybersicurezza. Tale soggetto, il cui nominativo deve essere obbligatoriamente comunicato all’Agenzia per la Cybersicurezza Nazionale, svolge anzitutto la funzione di punto di contatto unico dell’amministrazione (SPOC) con tale autorità in merito a quanto previsto dalla legge e dalle normative in materia di cybersicurezza.
Legge sulla Cybersicurezza, evidentemente agevolando i soggetti interessati nell’adempimento relativo all’individuazione del referente per la cybersicurezza, precisa che:
Anche in questo caso i compiti del referente per la cybersicurezza possono essere esercitati in forma associata, così come previsto dall’articolo 17, commi 1-sexies e 1-septies, del decreto legislativo n. 82 del 2005.
Gli attori che dovranno applicare quanto previsto dalla Legge sulla Cybersicurezza devono segnalare gli incidenti indicati all’articolo 1, comma 3-bis, del decreto-legge n. 105 del 2019, così come convertito con modificazioni dalla legge n. 133 del 2019.
Tale disposizione richiama, in particolare, quanto previsto nella Determina del Direttore generale dell’Agenzia per la Cybersicurezza Nazionale del 3 gennaio 2023. In particolare, la norma prevede che le pubbliche amministrazioni oggetto della Legge sulla Cybersicurezza debbano notificare tali incidenti utilizzando le procedure disponibili sul sito internet dell’Agenzia per la Cybersicurezza Nazionale e osservando i seguenti termini:
Tali obblighi di notifica si applicano immediatamente, quindi a decorrere dalla data di entrata in vigore della Legge sulla Cybersicurezza per:
I medesimi obblighi di notifica si applicheranno invece dal 180º giorno dalla data di entrata in vigore della Legge sulla Cybersicurezza per:
In caso di inosservanza di tale obbligo, l’Agenzia per la Cybersicurezza Nazionale invierà una comunicazione all’operatore, avvisando che il reiterato inadempimento nell’arco di 5 anni comporterà l’applicazione della sanzione amministrativa pecuniaria da un minimo di 25.000euro ad un massimo di 125.000 euro. Tale violazione può inoltre costituire causa di responsabilità disciplinare e amministrativo-contabile nei confronti dei funzionari e dei dirigenti responsabili.
Anche in questo caso, le modalità e i tempi di notifica di tali incidenti come previste dalla Legge sulla Cybersicurezza sono tendenzialmente allineate con le previsioni normative previste all’interno del decreto legislativo di recepimento a livello nazionale della Direttiva NIS2.
Gli attori che dovranno applicare quanto previsto dalla Legge sulla Cybersicurezza devono altresì provvedere tempestivamente all’adozione degli interventi risolutivi indicati dall’Agenzia per la Cybersicurezza Nazionale, nel caso in cui essa segnali specifiche vulnerabilità cui le pubbliche amministrazioni interessate dalla legge risultino potenzialmente esposte. I destinatari di tali segnalazioni devono provvedere senza ritardo, comunque non oltre 15 giorni dalla ricezione della comunicazione, all’adozione di tali interventi.
In caso di mancata o ritardata adozione, l’Agenzia per la Cybersicurezza Nazionale invierà una comunicazione alla pubblica amministrazione inadempiente, avvisandola che la reiterazione di tale omissione nell’arco di 5 anni comporterà l’applicazione della sanzione amministrativa pecuniaria da un minimo di 25.000 euro ad un massimo di 125.000 euro. La sanzione può non essere applicata nel caso in cui vengano tempestivamente comunicate all’Agenzia per la Cybersicurezza Nazionale le motivate esigenze di natura tecnico-organizzativa che impediscano l’adozione degli interventi risolutivi indicati o ne comportino il differimento oltre il termine di 15 giorni.
La Legge sulla Cybersicurezza prevede nuovi adempimenti in materia di cybersecurity non solo per le pubbliche amministrazioni di cui infra, ma anche per i soggetti inclusi nel campo di applicazione della normativa in materia di Perimetro di Sicurezza Nazionale Cibernetica, per quelli sottoposti oggi alla Direttiva NIS e NIS2 e, in un singolo e specifico caso, anche per quelli Tel.Co..
Vediamo le casistiche nel dettaglio.
Per i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, il legislatore ha previsto un raccordo tra la presente Legge sulla Cybersicurezza e gli obblighi di notifica degli incidenti disciplinati all’articolo 1, comma 3-bis, del decreto-legge n. 105 del 2019, così come convertito con modificazioni dalla legge n. 133 del 2019, ovvero quegli incidenti che abbiano un impatto sulle reti, sui sistemi informativi e sui servizi informatici diversi da quelli comunicati nell’elenco dei beni ICT.
In particolare, si prevede che il “soggetto Perimetro” debba provvedere a tali notifiche non più entro 72 ore, ma in osservanza dei seguenti termini:
La Legge sulla Cybersicurezza disciplina prevede che, nei casi di reiterata inosservanza dell’obbligo di notifica, si applichi la sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000. Sanzione che per tale adempimento non era finora prevista.
Come evidenziato in precedenza per le pubbliche amministrazioni, anche in questo caso si può fin da ora sottolineare come le modalità e i tempi di notifica di tali incidenti abbiano come scopo quello di allineare i soggetti coinvolti dalla Legge sulla Cybersicurezza ad alcune delle previsioni normative previste all’interno del decreto legislativo di recepimento a livello nazionale della Direttiva NIS2.
La Legge sulla Cybersicurezza prevede per i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica e per quelli sottoposti alla Direttiva NIS e la futura Direttiva NIS2, come analizzato in precedenza per le pubbliche amministrazioni, l’obbligo di verificare che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che impieghino soluzioni crittografiche, rispettino le linee guida sulla crittografia e quelle sulla conservazione delle password adottate dall’Agenzia per la Cybersicurezza Nazionale e dall’Autorità Garante per la Protezione dei Dati Personali.
Al fine di non rendere disponibili e intellegibili a terzi i dati cifrati, tali soggetti devono anche verificare che le applicazioni e i programmi citati non contengano vulnerabilità note.
La Legge sulla Cybersicurezza non identifica però chiaramente quale sia la struttura dei soggetti Perimetro e NIS obbligata a svolgere tale adempimento come avviene, invece, in maniera precisa per le pubbliche amministrazioni. Seppure per i soggetti Perimetro si possa ipotizzare che, trattandosi di una misura di sicurezza, tale responsabilità ricada sulla figura dell’incaricato dell’attuazione del Perimetro e sulla sua articolazione per l’implementazione di tale normativa, di cui alla misura ID.AM-6, rispettivamente punti 3 e 2, del Decreto del Presidente del Consiglio dei Ministri n. 81 del 2021, non è così agevole l’individuazione della responsabilità per i soggetti NIS.
La Legge sulla Cybersicurezza prevede per i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, i soggetti sottoposti alla Direttiva NIS e alla futura Direttiva NIS2 e i soggetti Tel.Co., ovvero le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, l’obbligo di provvedere tempestivamente all’adozione degli interventi risolutivi indicati dall’Agenzia per la Cybersicurezza Nazionale, nel caso in cui essa segnali specifiche vulnerabilità cui tali soggetti risultino potenzialmente esposti.
Per l’adempimento di tale obbligo, la Legge fissa i medesimi criteri visti in precedenza per le pubbliche amministrazioni, richiedendo quindi di provvedere senza ritardo e comunque non oltre 15 giorni dalla ricezione della comunicazione.
Come previsto per le pubbliche amministrazioni, in caso di mancata o ritardata adozione degli interventi risolutivi indicati, l’Agenzia per la Cybersicurezza Nazionale invierà una comunicazione a tali soggetti, avvisandoli che la reiterazione di tale omissione nell’arco di 5 anni comporterà l’applicazione della sanzione amministrativa pecuniaria da un minimo di 25.000 euro ad un massimo di 125.000 euro. Ciò, a meno che non vengano tempestivamente comunicate all’Agenzia per la Cybersicurezza Nazionale le motivate esigenze di natura tecnico-organizzativa che impediscano l’adozione degli interventi risolutivi indicati o che comportino il differimento oltre il termine di 15 giorni.
Anche in questo caso, la Legge sulla Cybersicurezza non identifica chiaramente per i soggetti Perimetro, NIS e Tel.Co. quale sia la struttura obbligata a svolgere tale adempimento, come avviene invece per le pubbliche amministrazioni. Se per i soggetti Perimetro le responsabilità ricadono sulla figura dell’incaricato dell’attuazione del Perimetro e sulla sua articolazione per l’implementazione di questa normativa, di cui alla misura ID.AM-6, rispettivamente punti 3 e 2, del Decreto del Presidente del Consiglio dei Ministri n. 81 del 2021, non è così agevole l’individuazione della responsabilità per i soggetti NIS e Tel.Co..
La Legge sulla Cybersicurezza introduce nella disciplina dei contratti pubblici di beni e servizi informatici alcuni criteri di cybersecurity definiti dalla norma come l’insieme di criteri e regole tecniche la conformità ai quali, da parte di beni e servizi informatici da acquisire, garantisce la confidenzialità, l’integrità e la disponibilità dei dati da trattare in misura corrispondente alle esigenze di tutela degli interessi nazionali strategici.
Tali elementi essenziali di cybersicurezza saranno individuati da uno specifico Decreto del Presidente del Consiglio dei Ministri da emanarsi entro 120 giorni dall’entrata in vigore della Legge sulla Cybersicurezza. Tale Decreto del Presidente del Consiglio dei Ministri dettaglierà i casi in cui, per la tutela della sicurezza nazionale, debbano essere previsti criteri di premialità per le proposte o le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti all’Alleanza atlantica (NATO) o di Paesi terzi individuati tra quelli che hanno accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione.
I soggetti che saranno tenuti a rispettare quanto previsto in questo ambito dalla Legge sulla Cybersicurezza sono:
Nell’ambito dei contratti di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e in relazione agli elementi essenziali di cybersicurezza, la Legge prevede per le stazioni appaltanti, ivi incluse le centrali di committenza, i seguenti obblighi e facoltà:
La Legge sulla Cybersicurezza interviene anche sul catalogo dei reati presupposto in materia di responsabilità amministrativa degli enti, contemplati nel decreto legislativo n. 231 del 2001.
La Legge sulla Cybersicurezza ritocca il contenuto dell’articolo 24-bis relativo ai reati informatici, aumentando le sanzioni previste all’interno del suo comma 1, le quali passano da una cornice edittale ricompresa tra cento e cinquecento quote, ad una ricompresa tra duecento e settecento quote.
La Legge sulla Cybersicurezza aggiunge all’articolo 24-bis il nuovo comma 1-bis, ai sensi del quale si applica all’ente la sanzione pecuniaria da trecento a ottocento quote a seguito della commissione della nuova fattispecie di reato introdotta sempre dalla Legge sulla Cybersicurezza e legata all’estorsione informatica di cui all’articolo 629, comma 3, del codice penale. Nei casi di condanna, inoltre, è prevista anche l’applicazione delle sanzioni interdittive previste dall’articolo 9, comma 2, del decreto legislativo n. 231/2001, per una durata non inferiore a due anni.
La Legge, attraverso il combinato disposto dell’articolo 629, comma 3, del codice penale e del comma 1-bis dell’articolo 24-bis del decreto legislativo n. 231 del 2001, tenta di limitare la piaga estorsiva che deriva in particolare dagli attacchi informatici di tipo ransomware, provando a creare anche un argine al dilagare dei pagamenti dei riscatti richiesti dalle organizzazioni criminali.
Sebbene l’introduzione nel nostro ordinamento del reato di estorsione informatica debba essere accolto con estremo favore, in quanto teso a punire con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000 “chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno”, non si può tralasciare il fatto che gli attacchi ransomware vedono protagonisti soprattutto soggetti al di fuori dei nostri confini nazionali.
Il comma 1-bis dell’articolo 24-bis del decreto legislativo n. 231/2001 introduce la responsabilità amministrativa dell’ente, unitamente alle discendenti sanzioni interdittive personali, ma solo nel caso in cui, semplificando, il reato di estorsione informatica sia commesso da un soggetto appartenente all’ente stesso. Un’ipotesi questa certamente possibile, verificatasi nei recenti casi di cronaca, ma che nel panorama dei reati informatici ha senz’altro poco impatto sul dilagare, soprattutto nel mondo aziendale, dei pagamenti di riscatti a seguito di attività estorsive condotte, ad esempio, attraverso attacchi ransomware.
La Legge sulla Cybersicurezza modifica il comma 2 dell’articolo 24-bis, relativo alla commissione dei delitti di cui agli articoli 615-quater recante “Detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all’accesso a sistemi informatici e telematici” e 615-quinquies recante “Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico” del codice penale, innalzando la sanzione pecuniaria ivi prevista sino a quattrocento quote.
La Legge sulla Cybersicurezza sostituisce tra i reati presupposto per i quali è prevista l’applicazione all’ente della sanzione pecuniaria di cui al precede al punto 3. il riferimento all’articolo 615-quinquies del codice penale, abrogato proprio dalla Legge sulla Cybersicurezza, con il richiamo al nuovo delitto di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico di cui all’articolo 635-quater.1.
La Legge sulla Cybersicurezza introduce alcune preclusioni all’assunzione di personale che abbia ricoperto specifici ruoli presso alcune pubbliche amministrazioni centrali.
La legge prevede che i dipendenti appartenenti al ruolo del personale dell’Agenzia per la Cybersicurezza Nazionale che abbiano partecipato, nell’interesse e a spese della stessa, a specifici percorsi formativi di specializzazione, non possano essere assunti, né assumere incarichi presso soggetti privati per mansioni legate alla materia della cybersicurezza per i due anni successivi a decorrere dalla data di completamento dell’ultimo di tali percorsi formativi. I contratti stipulati in violazione di quanto disposto dalla Legge sulla Cybersicurezza sono nulli.
La Legge sulla Cybersicurezza prevede inoltre una preclusione per coloro che abbiano ricoperto:
La Legge sulla Cybersicurezza prevede che tali soggetti, nei tre anni successivi alla cessazione dall’incarico, non possano svolgere attività lavorativa professionale o di consulenza, né ricoprire cariche presso soggetti esteri, pubblici o privati, ovvero presso soggetti privati italiani che svolgano attività di rilevanza strategica, secondo la perimetrazione tracciata dal decreto-legge n. 21 del 2012.
Viene previsto altresì un divieto inderogabile per il personale appartenente al ruolo unico del personale dei Servizi di Informazione per la Sicurezza e del Dipartimento delle Informazioni per la Sicurezza di svolgere, nei tre anni successivi alla cessazione del loro servizio, attività lavorativa, professionale o consulenziale, così come di ricoprire cariche, presso enti o privati titolari di licenza per prestare vigilanza o custodia, ovvero in ogni caso nei confronti di soggetti che a qualunque titolo svolgano attività di investigazione, ricerca o raccolta informativa.
Un medesimo divieto inderogabile, infine, viene prescritto per il personale appartenente al ruolo unico del personale dei servizi di informazione per la sicurezza e del Dipartimento delle Informazioni per la Sicurezza, qualora abbia partecipato a specifici percorsi formativi di specializzazione nell’interesse e a spese del Dipartimento delle Informazioni per la Sicurezza (DIS), dell’Agenzia informazioni e sicurezza esterna (AISE) e dell’Agenzia informazioni e sicurezza interna (AISI). In particolare, il legislatore prevede un divieto di assunzione o di assunzione di incarichi presso soggetti privati, per svolgere le mansioni per le quali abbia beneficiato delle attività formative. Anche in questo caso, il divieto ha la durata di tre anni a decorrere dalla data di completamento dell’ultimo dei percorsi formativi.
In tutti i casi analizzati, i contratti stipulati e gli incarichi conferiti in violazione dei divieti sono nulli.
Quindi, qualora le pubbliche amministrazioni o i soggetti privati abbiano intenzione di assumere personale proveniente dalle summenzionate pubbliche amministrazioni centrali, appare opportuno accertare anche che non operi nessuna delle preclusioni sopra individuate.
Il mondo della pubblica amministrazione è posto al centro della Legge sulla Cybersicurezza, la quale richiede ad alcuni specifici attori un ampio ventaglio di adempimenti in materia di cybersecurity, sia legati alla loro governance interna, che in materia di obblighi di notifica degli incidenti e di verifica e correzione di vulnerabilità in alcune tipologie di software.
Alcuni di tali obblighi si rivolgono anche ai soggetti ricompresi nell’ambito di applicazione del Perimetro di Sicurezza Nazionale Cibernetica e della Direttiva NIS e della Direttiva NIS2) i quali, congiuntamente ai precedenti soggetti, devono prendere in considerazione anche quanto previsto dal legislatore in materia di requisiti di cybersicurezza nei contratti pubblici e di preclusione nell’assunzione di alcune specifiche professionalità provenienti dal mondo della cybersecurity pubblica e della sicurezza nazionale.
La Legge sulla Cybersicurezza prevede altresì una riforma dei reati informatici con l’introduzione, tra gli altri, del reato di estorsione informatica, oltre che l’inevitabile armonizzazione a tale norma di quanto previsto in materia di responsabilità amministrativa degli enti ex decreto legislativo 231 del 2001.
La Legge sulla Cybersicurezza anticipa di fatto alcuni adempimenti previsti dalla Direttiva NIS2, andando anche ad indicare il criterio sostanziale previsto nell’individuazione dei soggetti essenziali della pubblica amministrazione rilevanti per questa direttiva europea.
Gli adempimenti richiesti alle pubbliche amministrazioni soggette all’applicazione della Legge sulla Cybersicurezza potrebbero risultare nei fatti di difficile attuazione in considerazione della clausola di invarianza finanziaria prevista all’interno del testo normativo.