Lo scorso 2 luglio è stata finalmente pubblicata sulla Gazzetta Ufficiale la Legge n. 90 del 28 giugno 2024 (“Legge sulla Cybersicurezza“). La legge è la (sofferta!) evoluzione del DDL Cybersicurezza di cui avevamo discusso dettagliatamente qui.
Lo scopo della Legge è quello rafforzare ulteriormente resilienza cibernetica italiana tramite stringenti adempimenti non solo per le pubbliche amministrazioni ma anche per i soggetti che rientrano nel Perimetro di Sicurezza Cibernetico, nonché per le società che rientrano ad oggi nella Direttiva NIS1 e, a breve, nella Direttiva NIS2, inasprendo altresì le pene per contrastare la criminalità informatica. Nel presente articolo, benché venga fornita una panoramica degli obblighi ricadenti sulle Pubbliche Amministrazioni, ci concentreremo maggiormente sugli impatti della Legge sulla Cybersicurezza nel settore privato.
Impatto sulle PA
Con riferimento alle Pubbliche Amministrazioni, la Legge sulla Cybersicurezza fornisce un elenco molto dettagliato delle strutture a cui la legge stessa è applicabile. Si passa infatti dalle PA centrali sino alle città metropolitane, passando per alcuni comuni (ad esempio quelli con una popolazione superiore ai 100.000 abitanti o ai capoluoghi di regione) nonché per le società di trasporto pubblico urbano ed extraurbano e alle aziende sanitarie locali.
A tali soggetti la Legge sulla Cybersicurezza impone alle PA, quanto meno, quattro diversi adempimenti:
- Dotarsi di una struttura di cybersecurity che possa, tra l’altro, sviluppare politiche e procedure cyber, garantire l’adozione e l’aggiornamento di idonei risk assessment sui propri sistemi e pianificare e attuare interventi di potenziamento per la gestione dei rischi informatici con un monitoraggio costante sulle minacce alla sicurezza e vulnerabilità dei sistemi;
- Instituire la figura del referente per la cybersicurezza il cui nominativo dovrà essere comunicato ad ACN e che potrà essere anche un soggetto esterno appartenente ad altra amministrazione;
- Adottare un idoneo sistema di segnalazione degli incidenti – nello specifico entro un massimo di 24 ore dalla conoscenza dell’incidente per la prima segnalazione e entro un massimo di 72 ore per la notifica completa (in linea con quelle che saranno le previsioni di cui alla Direttiva NIS2);
- Provvedere all’adozione degli interventi indicati da ACN in caso di identificazione di specifiche vulnerabilità entro 15 giorni dalla ricezione della specifica comunicazione.
Impatto sulle società private
Ambito di applicazione
La Legge sulla Cybersicurezza non è però applicabile solo alle Pubbliche Amministrazioni ma anche alle società private e, nello specifico:
- società rientranti nel Perimetro di Sicurezza Nazionale Cibernetica;
- società soggette alla Direttiva NIS1, la cui lista sarà presto integrata dalle società a cui si applicheranno le disposizioni della Direttiva NIS2;
- imprese che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico.
Obblighi in materia di notifica degli incidenti informatici
Rispetto a tali soggetti si configurano diversi obblighi, primi tra tutti quelli relativi alle notifiche in caso di incidenti informatici.
A tal proposito, l’approccio è diversificato a seconda dell’entità e del tipo di bene coinvolti. In particolare, i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, devono:
- con riferimento agli elenchi di beni ICT contenenti l’indicazione delle reti, dei sistemi informativi e dei servizi informatici dal cui malfunzionamento, interruzione ovvero utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale, procedere alla notifica di eventuali incidenti di sicurezza secondo i criteri e le modalità definiti dal decreto attuativo DPCM n. 81/2021 al Computer Security Incident Response Team (“CSIRT”);
- con riferimento agli elenchi di beni ICT che, a differenza del punto a) non sono oggetto di comunicazione al Ministero delle imprese e del made in Italy, entro:
- un massimo di 24 ore dalla conoscenza dell’incidente per la c.d. prima segnalazione; ed
- un massimo di 72 ore dalla conoscenza dell’incidente per la notifica completa.
Tali tempistiche sono in linea con la Direttiva NIS2 che, una volta recepita in Italia attraverso un decreto che dovrebbe essere di prossima adozione, imporrà alle società rientranti nel relativo perimetro un termine di notifica di 24 ore dalla conoscenza per l’invio di un “early warning” che deve essere seguito dalla notifica di una analisi dettagliata dell’incidente entro 72 ore dalla conoscenza dell’incidente.
Misure di sicurezza – focus sulla crittografia e obblighi di risoluzione dei problemi indicati da ACN
In aggiunta a quanto previsto in materia di notifica degli incidenti informatici la Legge sulla Cybersicurezza impone poi un obbligo di verifica circa il fatto che i sistemi informatici adottati che utilizzano soluzioni crittografiche rispettino le linee guida sulla crittografia e quella sulla conservazione delle password previste da ACN e dal Garante per la protezione dei dati personali.
Su questo è interessante considerare che la Direttiva NIS2, sebbene in maniera incidentale, prevede quali obblighi in materia di misure di gestione dei rischi per la sicurezza informatica, la necessità per le società che rientrano nel relativo perimetro di adottare politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura.
In aggiunta poi la Legge sulla Cybersicurezza impone alle società che rientrano nell’ambito di applicazione di adottare gli interventi risolutivi indicati da ACN ove quest’ultima identifichi delle situazioni di vulnerabilità, ponendovi rimedio entro 15 giorni dalla ricezione della relativa comunicazione da parte di ACN.
Contratti pubblici
La Legge sulla Cybersicurezza introduce criteri specifici nei contratti pubblici per beni e servizi informatici, volti a garantire la confidenzialità, l’integrità e la disponibilità dei dati, in linea con le esigenze di tutela degli interessi strategici nazionali. Tali criteri, insieme agli incentivi per l’uso di tecnologie di cybersicurezza italiane, europee, di Paesi NATO, o di altri Paesi con accordi di collaborazione con l’UE o la NATO, saranno definiti da un Decreto del Presidente del Consiglio dei Ministri, da emanare entro 120 giorni dall’entrata in vigore della Legge sulla Cybersicurezza. Il decreto dettaglierà anche i casi in cui, per la sicurezza nazionale.
Inoltre, nell’ambito dei contratti di approvvigionamento di beni e servizi informatici legati alla tutela degli interessi nazionali strategici, e in relazione agli elementi essenziali di cybersicurezza, le stazioni appaltanti, comprese le centrali di committenza nonché i soggetti privati rientranti nel Perimetro di Sicurezza Nazionale Cibernetica, avranno i seguenti obblighi e facoltà:
- applicare le disposizioni degli artt. 107, c. 2, e 108, c. 10, del d. lgs. 36/2023 (Codice dei contratti pubblici) se l’offerta non rispetta gli elementi essenziali di cybersicurezza definiti nel futuro Decreto del Presidente del Consiglio dei Ministri;
- considerare sempre gli elementi essenziali di cybersicurezza nella valutazione della qualità per determinare il miglior rapporto qualità/prezzo per l’aggiudicazione;
- includere gli elementi di cybersicurezza tra i requisiti minimi dell’offerta quando si utilizza il criterio del minor prezzo, come previsto dall’art. 108, c. 3, del Codice dei contratti pubblici;
- stabilire un limite massimo del 10% per il punteggio economico quando si utilizza il criterio dell’offerta economicamente più vantaggiosa (OEPV), in conformità con l’art. 108, c. 4, del Codice dei contratti pubblici, nella valutazione della qualità per determinare il miglior rapporto qualità/prezzo;
- prevedere, nei casi indicati dal futuro Decreto del Presidente del Consiglio dei Ministri, criteri di premialità per offerte che includono tecnologie di cybersicurezza italiane, europee, di Paesi NATO, o di altri Paesi con accordi di collaborazione con l’UE o la NATO, per tutelare la sicurezza nazionale e conseguire l’autonomia tecnologica e strategica dell’Italia nella cybersicurezza.
A chiusura di quanto sopra si rileva infine che la Legge sulla Cybersicurezza introduce altresì una riforma dei reati informatici che non è oggetto di approfondimento in questa sede ma che tratta il reato di estorsione informatica, oltre che l’armonizzazione a tale novella di quanto previsto in materia di responsabilità amministrativa degli enti ex decreto legislativo 231 del 2001.
Per chiudere il cerchio rimaniamo però in attesa del tanto atteso decreto di recepimento della Direttiva NIS2 che porterà un nuovo cambiamento nel settore della cybersecurity nazionale.
Su un argomento simile può essere d’interesse l’articolo “CyberItalia: il Decreto NIS – la prima normativa italiana sulla cybersicurezza in pillole”
Autrici: Giulia Zappaterra e Giorgia Carneri