È stata pubblicata in Gazzetta Ufficiale la legge 28 giugno 2024, n. 90 che contiene “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”. Dopo l’approvazione delle Camere, il sottosegretario Alfredo Mantovano, che ha le deleghe alla sicurezza e alla cybersicurezza, aveva spiegato che il testo fornisce “strumenti operativi più adeguati” a respingere gli attacchi informatici, in particolare da parte di soggetti statuali ostili (come la Russia e la Cina).

Come raccontato su queste pagine, il testo prevede novità per i soggetti ricompresi nel Perimetro per la sicurezza nazionale cibernetica, una procedura di allarme e di collaborazione con l’Agenzia per la cybersicurezza nazionale, per gli interventi riparatori e definisce la modalità di intervento quando ci sono competenze concorrenti, per esempio dell’Agenzia per la cybersicurezza nazionale e della polizia giudiziaria. Viene rafforzata l’azione contro il cyber-crime, con l’individuazione di nuove fattispecie di reato e l’uso di più efficaci strumenti di indagine. È previsto anche uno stop alle porte girevoli nell’intelligence: gli ex direttori, vice e capireparto di Dis, Aisi e Aise non potranno lavorare all’estero o in aziende rientranti nel perimetro del golden power per tre anni, a meno di un’autorizzazione del presidente del Consiglio.

“La legge anticipa alcune previsioni normative che saranno previste dal decreto legislativo di recepimento a livello nazionale della Direttiva Nis 2”, osserva l’avvocato Stefano Mele, partner dello studio Gianni & Origoni, in cui è responsabile del dipartimento cybersecurity, privacy & space economy law. Tra queste, gli obblighi per le pubbliche amministrazioni di notificare gli incidenti entro 24 ore (prima segnalazione) e 72 ore (notifica completa), di dotarsi di una struttura per la cybersicurezza e di istituire la figura del referente per la cybersicurezza.

Il criterio di selezione delle pubbliche amministrazioni esplicitato dal legislatore nella legge “sembra essere particolarmente adatto per la futura identificazione dei soggetti pubblici da includere, attraverso il decreto di recepimento italiano, all’interno dell’alveo di applicazione della Direttiva Nis 2”, osserva ancora Mele. Pertanto, le pubbliche amministrazioni ricomprese nella legge “saranno verosimilmente le stesse che – molto presto – dovranno applicare anche il dettato normativo della Direttiva Nis 2 e del suo decreto legislativo di recepimento nazionale”, aggiunge.

La legge prevede sia per i soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica e quelli sottoposti alla Direttiva Nis (e alla Direttiva Nis 2 in futuro) sia per le pubbliche amministrazioni l’obbligo di verificare che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che impieghino soluzioni crittografiche, rispettino le linee guida sulla crittografia e quelle sulla conservazione delle password adottate dall’Agenzia per la cybersicurezza nazionale e dall’Autorità garante per la protezione dei dati personali.

La legge, però, “non identifica chiaramente quale sia la struttura dei soggetti Perimetro e Nis obbligata a svolgere tale adempimento, come avviene, invece, in maniera precisa per le pubbliche amministrazioni”, dichiara l’avvocato.

La legge prevede, infine, una clausola di invarianza finanziaria che, secondo l’avvocato Mele, rappresenta “una preoccupazione per le pubbliche amministrazioni interessate”. Infatti, essa potrebbe rendere “di difficile attuazione nei fatti gli adempimenti richiesti che pur sono imprescindibili alla luce dello stato della minaccia”, conclude.