La legge sulla cybersecurity “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, dopo essere stata approvata in Senato in via definitiva il 20 giugno 2024, con 80 voti a favore, 3 contrari e 17 astenuti, arriva nella Gazzetta Ufficiale Serie Generale n. 153 del 2-7-2024. Rappresenta un passo cruciale per il rafforzamento della cybersicurezza nazionale in Italia.
Il provvedimento, che ha visto una partecipazione attiva e diversificata delle forze politiche, pone l’accento sulla protezione delle infrastrutture digitali critiche e sulla prevenzione dei reati informatici.
Per un focus approfondito sugli adempimenti, abbiamo organizzato il corso di formazione “Le novità sulla cybersicurezza: gli obblighi previsti per PA e imprese dalla legge 28 giugno 2024, n. 90“, di cui parliamo in un paragrafo dedicato.
Indice
- 1. Resilienza delle Pubbliche Amministrazioni e settore finanziario
- 2. Contratti pubblici e standard di sicurezza
- 3. Partecipazione di entità chiave
- 4. Strutture dedicata alla cybersicurezza
- 5. Rafforzamento delle sanzioni per i reati informatici
- 6. Allocazione delle risorse
- 7. Opportunità di finanziamento dalla commissione europea
- 8. Le fasi precedenti della discussione
- 9. Il DDL Cybersicurezza in cinque punti
- 10. Conclusioni
- Le novità sulla cybersicurezza: gli obblighi previsti per PA e imprese dalla legge 28 giugno 2024, n. 90 -formazione per professionisti a cura di Stefano Mele
- Vuoi ricevere aggiornamenti costanti?
1. Resilienza delle Pubbliche Amministrazioni e settore finanziario
Una delle componenti principali del disegno di legge è la resilienza delle pubbliche amministrazioni e delle istituzioni finanziarie. La normativa impone a questi enti di adottare misure adeguate a garantire la continuità operativa e la protezione dei dati in caso di incidenti informatici. Ciò include l’obbligo di segnalare tempestivamente gli incidenti all’Agenzia per la Cybersicurezza Nazionale (ACN) entro 24 ore dal loro verificarsi. La rapidità nella segnalazione è essenziale per una risposta coordinata ed efficace, riducendo al minimo l’impatto degli attacchi informatici.
2. Contratti pubblici e standard di sicurezza
Un’altra innovazione significativa riguarda i contratti pubblici per beni e servizi informatici. La legge stabilisce che tali contratti devono rispettare specifici requisiti di sicurezza, definiti tramite decreti della Presidenza del Consiglio su proposta dell’ACN. Questo assicura che le forniture informatiche per il settore pubblico siano conformi a standard elevati di sicurezza, riducendo il rischio di vulnerabilità e garantendo la protezione delle infrastrutture digitali critiche.
3. Partecipazione di entità chiave
Il disegno di legge prevede la partecipazione di rappresentanti della Direzione Nazionale Antimafia e Antiterrorismo e della Banca d’Italia alle riunioni del Nucleo per la Cybersicurezza dell’ACN. Questa inclusione è particolarmente rilevante in caso di questioni di particolare rilevanza, garantendo una prospettiva multidisciplinare nella gestione delle emergenze cibernetiche.
4. Strutture dedicata alla cybersicurezza
Le pubbliche amministrazioni sono obbligate a istituire strutture dedicate alla cybersicurezza, con un referente unico per l’ACN. Questa misura mira a centralizzare e coordinare le iniziative di sicurezza informatica all’interno delle amministrazioni, facilitando la comunicazione e la risposta agli incidenti. Inoltre, all’interno dell’ACN verrà creato il Centro Nazionale di Crittografia, che avrà il compito di sviluppare e implementare soluzioni avanzate per la protezione dei dati. Per un focus approfondito sulla criminalità nel web e sulle minacce informatiche, consigliamo il volume “Non ERA un Libro per Hacker”, che riporta episodi e consigli dal mondo della cybersecurity
Non ERA un libro per Hacker
Tra falsi miti e storie gonfiate sul cybercrime si racconta tutto e il contrario di tutto, distorcendo la percezione della realtà del fenomeno.Il libro è stato scritto con l’obiettivo di raccontare fatti realmente accaduti e storie avvincenti dove la sicurezza informatica e le indagini digitali vengono raccontate usando un linguaggio semplice e divulgativo. Stefano, in ogni storia, racconta un pezzo di sé e della sua pluriennale esperienza nel settore.Attacchi informatici, indagini oltreoceano e virus sofisticati accompagneranno il lettore in una serie di avvincenti avventure i cui protagonisti sembrano a volte usciti da serie televisive e film campioni di incassi.Stefano FratepietroDefinito “hacker buono”, citato da “La Repubblica” tra le 50 persone della cybersecurity italiana da seguire, è conosciuto a livello internazionale come padre e fondatore del progetto DEFT Linux, uno dei sistemi per le indagini informatiche più usato nel mondo. Imprenditore, professore a contratto per l’Università degli Studi di Bologna e per il Consorzio CINEAS del Politecnico di Milano, ha partecipato come consulente tecnico a casi di fama nazionale ed internazionale come il caso “Volkswagen Dieselgate” e Telecom Italia – Sismi. È consulente di cybersecurity per realtà televisive e radiofoniche come “Report”, “Le Iene”, “Omnibus La7” e “Radio Rai”.
Stefano Fratepietro | Maggioli Editore 2024
19.95 €
5. Rafforzamento delle sanzioni per i reati informatici
Il disegno di legge introduce modifiche significative al Codice Penale, inasprendo le pene per una serie di reati informatici. Tra questi, l’accesso abusivo a sistemi informatici, la diffusione di malware e l’estorsione mediante reati informatici. Vengono inoltre previste aggravanti per la truffa aggravata e la confisca obbligatoria dei beni utilizzati per commettere tali reati, con l’obiettivo di dissuadere le attività criminali e proteggere meglio le infrastrutture critiche.
6. Allocazione delle risorse
Un aspetto critico della nuova normativa riguarda l’allocazione delle risorse. Il disegno di legge non prevede specifici stanziamenti per l’attuazione delle misure di sicurezza, ma dispone che i proventi delle sanzioni siano destinati all’ACN. Questo meccanismo di finanziamento potrebbe rivelarsi insufficiente per sostenere tutte le attività necessarie, rendendo necessaria una riflessione su ulteriori fonti di finanziamento.
7. Opportunità di finanziamento dalla commissione europea
Parallelamente alla legislazione nazionale, la Commissione Europea ha lanciato un bando per progetti di cybersicurezza con un budget di 102 milioni di euro. Questo finanziamento mira a supportare i centri operativi di sicurezza nazionali e transfrontalieri, lo sviluppo di tecnologie avanzate e l’implementazione delle normative UE in materia di sicurezza informatica. Il bando è aperto a imprese, PMI e pubbliche amministrazioni, offrendo un’importante opportunità per rafforzare le capacità di difesa cibernetica a livello nazionale ed europeo e le proposte potranno essere presentate dal 4 luglio al 21 gennaio prossimi.
Potrebbero interessarti anche:
8. Le fasi precedenti della discussione
Il disegno di legge volto a rafforzare la cybersicurezza nazionale e a contrastare i reati informatici, firmato dalla presidente del Consiglio Giorgia Meloni e dal ministro della Giustizia Carlo Nordio, è stato approvato alla Camera ed è passato all’esame del Senato il 22 maggio 2024.
Il principale obiettivo del disegno di legge è quello di migliorare la capacità di protezione e risposta del paese di fronte alle emergenze cibernetiche. Questo rafforzamento della sicurezza nazionale è rivolto non solo alle pubbliche amministrazioni, ma anche alle imprese e ai cittadini. L’approccio prevede una governance centralizzata degli aspetti di sicurezza e l’implementazione di misure per la prevenzione e il contrasto dei reati informatici.
Principali novità
Segnalazione degli incidenti: uno dei punti chiave del Ddl è l’obbligo di segnalazione entro 24 ore all’Agenzia per la Cybersicurezza Nazionale (Acn) per specifici tipi di incidenti che impattano sulle reti. Questo obbligo riguarderà gli operatori che svolgono funzioni istituzionali o essenziali per gli interessi dello Stato.
Partecipazione di antimafia e antiterrorismo: in caso di questioni di particolare rilevanza, i rappresentanti della Direzione nazionale antimafia e antiterrorismo e della Banca d’Italia potranno partecipare alle riunioni del Nucleo per la cybersicurezza (Ncs).
Strutture ad hoc nella pubblica amministrazione: le pubbliche amministrazioni saranno tenute a dotarsi di strutture dedicate alla cybersecurity, con un referente unico per l’Acn. Verrà inoltre istituito un Centro nazionale di crittografia all’interno dell’Agenzia.
Contratti pubblici: sarà emesso un decreto che definisca gli elementi essenziali di cybersicurezza per i contratti pubblici di beni e servizi informatici, specialmente quelli impiegati per la tutela degli interessi nazionali strategici.
Accesso alle banche dati: il Ddl stabilisce norme precise per l’accesso alle banche dati delle pubbliche amministrazioni da parte degli addetti tecnici, prevedendo rigorosi sistemi di autenticazione.
Inasprimento delle pene: vengono introdotte nuove fattispecie di reato e aggravanti per reati informatici, tra cui l’accesso abusivo a sistemi informatici, la diffusione e l’installazione abusiva di software dannosi, e la truffa aggravata. Le pene per il danneggiamento di sistemi informatici di pubblica utilità saranno innalzate fino a sei anni di reclusione.
Emendamenti e risorse
Tra le modifiche più recenti, è stato approvato un emendamento che consente agli ispettori del ministero della Giustizia di controllare l’accesso alle banche dati. Inoltre, il governo si impegna a regolamentare l’uso del trojan entro il “primo provvedimento utile”.
Un aspetto critico è che il provvedimento non prevede stanziamenti di risorse aggiuntive per l’attuazione del rafforzamento della sicurezza cibernetica. Tuttavia, i proventi delle sanzioni saranno destinati all’Acn.
Nomina nella Commissione UE
In un contesto di crescente attenzione alla sicurezza informatica, la Commissione europea ha nominato Saad Kadhi come direttore del “Servizio di cibersicurezza per le istituzioni, gli organi e gli organismi dell’Unione” alla direzione generale per i servizi digitali (dg Digit).
L’Italia ha compiuto un salto qualitativo nella lotta al cybercrime con l’approvazione da parte del Consiglio dei Ministri, del nuovo Disegno di Legge sulla cybersicurezza. Questo provvedimento risponde all’esigenza crescente di contrastare le minacce informatiche in un’era digitalizzata, dove attacchi ransomware e DDoS si fanno sempre più incisivi e dannosi.
Il cuore del DDL si basa sull’intensificazione delle misure di sicurezza, mirando a un inasprimento delle pene per i cybercriminali e incentivando la collaborazione post-attacco. L’obiettivo è duplice: da una parte stringere la morsa sui responsabili di tali attacchi, dall’altra promuovere una cultura di sicurezza più robusta e diffusa.
Il nostro Paese, negli ultimi anni, ha visto un’escalation di attacchi informatici, con un focus preoccupante sulle infrastrutture pubbliche. Esempi significativi sono l’attacco all’ASL 1 – Avezzano Sulmona L’Aquila nel 2023, che ha messo in luce la vulnerabilità del settore sanitario, e gli attacchi ai comuni di Torre del Greco e Gorizia, rivelando come i servizi pubblici essenziali possano essere paralizzati da queste minacce.
I ransomware, in particolare, rappresentano una sfida imponente. Questi software maligni bloccano l’accesso ai dati vitali delle organizzazioni, chiedendo un riscatto per il loro sblocco. Parallelamente, gli attacchi DDoS (Distributed Denial of Service) costituiscono un’altra minaccia da contrastare, dal momento che, prendendo di mira l’infrastruttura di rete, sovraccaricando i servizi con richieste di traffico ingiustificate per renderli inoperabili, sono potenzialmente atti a “mandare giù” strutture pubbliche significative (si pensi ad esempio a quello che succede ai siti durante i cosiddetti “click day”, quando le richieste si fanno eccessive ed il sistema non è in grado di supportarle).
Il DDL si pone come una risposta strategica a queste minacce, chiedendo alle entità più a rischio, come comuni di grandi dimensioni, ASL e capoluoghi di regione, di adottare sistemi di cybersicurezza avanzati e di segnalare tempestivamente eventuali attacchi. Le sanzioni per la mancata notifica di un attacco si intensificano, passando da semplici richiami a multe significative.
Le misure preventive incluse nel DDL comprendono anche la creazione di uffici di cybersicurezza interni per le PA, rafforzando la difesa contro minacce in costante evoluzione. Viene inoltre introdotto un periodo di ‘raffreddamento’ per i tecnici specializzati che lasciano il settore pubblico per il privato, prevenendo potenziali conflitti di interesse.
Questo contesto normativo rappresenta un passo fondamentale per l’Italia, mettendo in luce l’importanza della sicurezza informatica non solo per le aziende ma anche per le istituzioni pubbliche. La protezione dei dati sensibili e la continuità dei servizi sono divenuti elementi chiave nella gestione della sicurezza nazionale, con l’obiettivo di garantire la resilienza contro attacchi sempre più sofisticati e dannosi.
9. Il DDL Cybersicurezza in cinque punti
- Inasprimento delle pene: il DDL raddoppia le pene per l’accesso abusivo ai sistemi informatici, passando da 1-5 a 2-10 anni di reclusione, e prevede fino a 2 anni di reclusione e multe per chi detiene o distribuisce software dannoso.
- Obbligo di notifica degli incidenti: le Pubbliche Amministrazioni saranno ora obbligate a segnalare gli attacchi informatici all’ACN entro 24 ore dall’accaduto.
- Nomina di un referente per la cybersecurity: gli Enti Pubblici dovranno nominare un referente per la cybersecurity, responsabile della gestione e del governo delle tematiche relative alla sicurezza informatica, in linea con la Direttiva NIS2 europea.
- Rafforzamento del ruolo dell’ACN: l’Agenzia per la Cybersicurezza Nazionale avrà maggiori responsabilità nella prevenzione degli attacchi e nel coordinamento con l’autorità giudiziaria.
- Introduzione di nuove figure di reato: Il DDL configura reati specifici, come l’estorsione cibernetica, e migliora gli strumenti di indagine e accertamento dei reati.
Il disegno di legge sulla Cybersecurity rappresenta un passo significativo nella lotta contro il cybercrime in Italia. Tuttavia, la prevenzione rimane un aspetto cruciale e ancora parzialmente inesplorato. Mentre il disegno di legge si concentra principalmente sulla risposta e sulle sanzioni relative agli attacchi informatici, un’attenzione maggiore dovrebbe essere rivolta alla prevenzione di tali attacchi. Questo implica non solo miglioramenti a livello legislativo e di policy e governance, ma anche un impegno costante nella formazione e nell’aggiornamento delle competenze del personale, nonché nell’adozione di tecnologie avanzate per la sicurezza informatica.
A questo proposito, si segnala che è rimasto fuori dal disegno di legge ogni accenno alle competenze dell’Agenzia per la Cybersicurezza Nazionale in materia di intelligenza artificiale, che aveva tra i suoi compiti quello di promuoverne come strumento fondamentale per rafforzare la sicurezza informatica del Paese. L’esclusione è stata motivata con la necessità di attendere la legislazione europea definitiva sull’intelligenza artificiale, il che ci fa comprendere che la strada è ancora lunga e che questo disegno di legge, pur se da considerarsi positivo, dimostra quanto ancora ci sia da fare in termini di sicurezza informatica e di legislazione applicata alle nuove tecnologie.
10. Conclusioni
La nuova legge sulla cybersicurezza rappresenta un progresso significativo per la protezione delle infrastrutture digitali italiane. Le misure introdotte, come l’obbligo di segnalare gli incidenti entro 24 ore e l’istituzione di standard di sicurezza per i contratti pubblici, rafforzano la capacità del paese di affrontare le minacce cibernetiche. Tuttavia, la mancanza di risorse dedicate pone una sfida che dovrà essere affrontata per garantire l’efficacia delle nuove disposizioni. L’opportunità offerta dalla Commissione Europea per finanziare progetti di sicurezza informatica potrebbe rappresentare un complemento essenziale alle iniziative nazionali, promuovendo una maggiore cooperazione e sviluppo tecnologico nel settore della cybersicurezza.
Le novità sulla cybersicurezza: gli obblighi previsti per PA e imprese dalla legge 28 giugno 2024, n. 90 -formazione per professionisti a cura di Stefano Mele
Le novità sulla cybersicurezza: gli obblighi previsti per PA e imprese dalla legge 28 giugno 2024, n. 90
Il corso illustra le novità e gli adempimenti che la nuova legge 90/2024 sulla cybersicurezza richiede a pubbliche amministrazioni e imprese: gli obblighi e i tempi di segnalazione e notifica, le conseguenze derivanti dalle eventuali inosservanze, i nuovi reati informatici e i principali punti di attenzione che derivano dalla nuova norma.
L’appuntamento è gratuito, previa compilazione del form di iscrizione.
→ Per più info ed iscrizioni ←
→ Vai al modulo per l’iscrizione←
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Scrivi un commento
Accedi per poter inserire un commento