Dopo il Regolamento UE sulla cybersicurezza, il 19 giugno 2024 in Senato è stato approvato in via definitiva il ddl d’iniziativa governativa in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.
La legge, “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, 24 articoli divisi in due capi, rappresenta un significativo passo in avanti verso la protezione delle infrastrutture critiche e delle informazioni sensibili nel nostro Paese. Affronta tematiche quali il rafforzamento della cybersicurezza, la resilienza delle pubbliche amministrazioni, la prevenzione e il contrasto dei reati informatici.
Capo I
Le principali indicazioni riguardano le misure da adottare in caso di incidenti informatici. Viene, infatti, introdotto un obbligo di segnalazione di alcune tipologie di incidenti aventi impatto su reti, sistemi informativi e servizi informatici in carico alle pubbliche amministrazioni.La legge interviene, poi, sull’architettura della sicurezza cibernetica e sui rapporti tra i diversi attori del sistema. Tra le novità più importanti si evidenzia l’istituzione per le pubbliche amministrazioni, dove non sia già presente, della struttura preposta alle attività di cyber-sicurezza e del referente per la cyber-sicurezza.
Capo II
Il Capo II del provvedimento reca “Disposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari”. Si prevede qui l’inasprimenti di pene o ulteriori circostanze aggravanti rispetto alle fattispecie di reati informatici previste a legislazione vigente e, dall’altro, introducendo nuove fattispecie delittuose quali, ad esempio, l’estorsione mediante reati informatici. Previsto anche il rafforzamento della collaborazione tra l’Agenzia per la cybersicurezza nazionale (ACN), il procuratore nazionale antimafia e antiterrorismo, la polizia giudiziaria ed il pubblico ministero, prevedendo, tra l’altro, l’introduzione dell’obbligo di immediata trasmissione delle notizie dei gravi delitti informatici, al fine di procedere ad una tempestiva azione di contrasto degli stessi.
Il referente per la sicurezza informatica
Questa legge ha istituito un nuovo profilo professionale, che dovrà essere individuato e attivato, con responsabilità manageriali, in moltissime strutture sia pubbliche che private che erogano servizi pubblici. Il referente per la cybersicurezza rivestirà il ruolo di punto unico di contatto fra la specifica Pubblica Amministrazione di appartenenza e l’ACN. Tra i compiti spettanti al referente e all’intera struttura prevista dal ddl: sviluppare politiche e procedure di cybersicurezza; elaborare e aggiornare il piano per il rischio cyber, nonché il documento interno relativo all’organizzazione e ai ruoli del sistema per la cybersicurezza informativa; pianificare e attuare interventi di potenziamento della capacità gestionale del rischio cyber e delle misure previste dalle linee guida emanate dall’Agenzia per la cybersicurezza nazionale (ACN); nonché monitorare e valutare le minacce alla cybersicurezza dei propri sistemi informativi.
