Coinvolgimento della magistratura in caso di incidenti, obblighi di notifica e referente cyber per le pubbliche amministrazioni, disposizioni per il coordinamento tra intelligence e Acn (che prende l’intelligenza artificiale) e multe per chi non segnala. Ecco il disegno di legge
Il Ddl cyber, arrivato oggi in pre Consiglio dei ministri in vista della riunione di domani, è una mezza rivoluzione in materia di sicurezza informatica, soprattutto per la Pubblica amministrazione.
Il disegno di legge prevede, tra le varie cose, il coinvolgimento della magistratura in caso di cyber-attacchi (articolo 7). È previsto, inoltre, l’obbligo di notifica degli incidenti per le pubbliche amministrazioni centrali, le regioni e le province autonome di Trento e Bolzano, i comuni con una popolazione superiore ai 100.000 abitanti e i comuni capoluoghi di regione, le società di trasporto pubblico urbano con bacino di utenza non inferiore ai 100.000 abitanti e le aziende sanitarie locali (articolo 8). Gli stessi attori sono chiamati a dotarsi di un referente per la cybersicurezza (articolo 13). Si tratterebbe di un allargamento delle logiche del Perimetro di sicurezza nazionale cibernetica ad alcuni ambiti della pubblica amministrazione.
Il Ddl cyber, infine, prevede disposizioni in materia di coordinamento operativo tra i servizi di informazione per la sicurezza e l’Agenzia per la cybersicurezza nazionale (articolo 12); attribuisce all’Agenzia per la cybersicurezza nazionale le funzioni di valorizzazione, anche tramite partnership tra pubblico e privato, dell’intelligenza artificiale “come risorsa per il rafforzamento della cybersicurezza nazionale, anche al fine di favorire un uso etico e corretto dei sistemi basati su tale tecnologia” – il che spegne ogni progetto di agenzie specifica – (articolo 14); e introduce sanzioni per l’accertamento e la contestazione di violazioni in materia di cybersicurezza di competenza dell’Agenzia per la cybersicurezza nazionale, ovvero multe per chi non segnala gli incidenti (articolo 15).
Il tutto, come recita l’ultimo articolo, il 18, “Clausola di invarianza finanziaria” senza “nuovi e maggiori oneri a carico della finanza pubblica”. Infatti, “le amministrazioni pubbliche interessate provvedono all’adempimento delle disposizioni della presente legge con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente”.
Il testo dovrebbe essere discusso in Consiglio dei ministri domani per poi arrivare in Parlamento per la discussione e la conversione. Entro ottobre, invece, è fissato il recepimento nell’ordinamento nazionale di due direttive europee: la cosiddetta Nis 2, che ha introdotto nuovi obblighi in materia per le aziende in materia di sicurezza dei dati e maggiori responsabilità per i soggetti interessati, ampliando il perimetro fino a comprendere molte piccole e medie imprese italiane, realtà spesso poco consapevoli dei rischi informatici; e quella Cer, relativa alla resilienza dei soggetti critici.
