Approvata la legge sulla Cybersicurezza

La legge sulla cybersecurity “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, dopo una lunga discussione, è stata finalmente approvata dal nostro parlamento ed è stata pubblicata in Gazzetta Ufficiale, per cui si appresta a diventare a tutti gli effetti una Legge dello Stato Italiano.

Il provvedimento in pillole

La legge prevede un discreto numero di misure (praticamente tutti i primi 15 articoli) che riguardano il rafforzamento della cybersecurity delle pubbliche amministrazioni, comprese anche le società di trasporto pubblico e le ASL, che da adesso avranno l’obbligo di segnalare ogni incidente informatico all’Agenzia per la Cybersicurezza Nazionale (ACN) entro 24 ore dalla scoperta. L’ACN dopo aver ricevuto la segnalazione provvederà a indicare delle misure correttive che dovranno essere implementate dall’amministrazione pubblica segnalante entro il termine di 15 giorni, scaduti i quali potranno essere erogate sanzioni fino a 125.000 euro. Oltre alla sanzione, in caso di inadempienza alle indicazioni dell’ACN, i dirigenti dovranno assumersi anche la responsabilità disciplinare e contabile dell’accaduto. Le stesse sanzioni si applicano in caso di mancata adozione degli interventi risolutivi.

Nuove figure organizzative

Per quanto riguarda la composizione della struttura organizzativa, dalla legge si evince come al Nucleo per la cybersicurezza possano partecipare anche rappresentanti della Direzione Nazionale Antimafia e della Banca d’Italia, mentre al Comitato Interministeriale per la Sicurezza della Repubblica (CISR) partecipano anche il Ministro dell’Agricoltura, il Ministro delle Infrastrutture e dei Trasporti e il Ministro dell’Università e della Ricerca. Le pubbliche amministrazioni, a loro volta, dovranno istituire una struttura dedicata alla sicurezza e nominare un responsabile che si occupi della gestione della cybersicurezza.

La crittografia, uno dei cardini della Legge

La crittografia dovrà essere uno dei protagonisti della sicurezza informatica futura, e a questo proposito verrà istituito il Centro Nazionale di Crittografia, che tra le sue funzioni ha quella di assumere iniziative idonee a valorizzare la crittografia come strumento di sicurezza. Particolare importanza avranno le strutture preposte alle attività di prevenzione nelle pubbliche amministrazioni, che tra i loro compiti avranno anche quello di verificare costantemente che le applicazioni rispettino le linee guida sulla crittografia adottate dall’ACN e dall’Autorità garante per la protezione dei dati personali.

Pene più pesanti

La cybersicurezza può comportare un notevole coinvolgimento della sfera privata, che naturalmente necessita di una protezione ottimale della propria privacy. Per “incoraggiare” gli attori coinvolti in questo compito, la legge approvata prevede una serie di modifiche al codice penale, tra cui l’inasprimento delle pene e l’introduzione di nuovi reati correlati alla cybersicurezza. Ad esempio, se un aggressore dovesse ottenere importanti dati aziendali o personali e richiedesse il pagamento di una somma di denaro per non diffondere questi dati, tale condotta verrebbe inquadrata come estorsione.

Tutto bene? Mica tanto

Nuovi organismi, nuove figure da inquadrare nell’organico. E i fondi per farlo? Zero! La legge è stata realizzata senza prevedere in alcun modo la possibilità che le amministrazioni pubbliche vengano caricate di ulteriori oneri. Le pubbliche amministrazioni dovranno, infatti, rispettare tutti gli obblighi previsti dalla legge facendo di necessità virtù con proprie risorse. Ci riusciranno? Maggiori approfondimenti su questo sito.