“Vorrei sottolineare quanto sia cruciale un intervento normativo come quello che il governo sollecita con questo disegno di legge” per l’introduzione di disposizioni in materia di rafforzamento della cybersicurezza nazionale di reati informatici. Lo ha detto Alfredo Mantovano, sottosegretario alla presidenza del Consiglio, intervenendo ai lavori delle commissioni riunite Affari Costituzionali e Giustizia della Camera. L’Autorità delegata ha voluto rassicurare i partiti: “Non si tratta di un testo blindato, non è questa l’intenzione del governo, è un testo aperto all’arricchimento del lavoro parlamentare che sono certo ci sarà. Mi pare che sia materia estranea a contrapposizioni ideologiche”.

Mantovano è partito da questo presupposto, che “tutti sul piano istituzionale, non solo il governo, abbiamo la necessità di un adeguamento normativo per elevare il livello di sicurezza” cyber. I numeri parlano chiaro: l’anno scorso l’Agenzia per la cybersicurezza nazionale ha trattato 1.411 eventi con impatti su soggetti nazionali, circa 117 al mese, “con un notevole incremento rispetto al 2022”. Negli attacchi Ddos (Distributed denial of service), ha aggiunto Mantovano, “sono particolarmente attivi gruppi filorussi e filopalestinesi in concomitanza con provvedimenti e decisioni prese dalle autorità italiane”.

Il disegno di legge, ha spiegato dunque il sottosegretario, “non è ovviamente la chiave risolutiva di tutti i problemi”. Punta, però, “a incrementare anche con la predisposizione di strutture di procedure di alert e di tempi certi, una maggiore consapevolezza del rischio cyber” portando “a superare comportamenti ingenui” e “debolezze troppo umane” e ad adottare “le misure organizzative e tecnologiche adeguate, a dotarsi di una governance centralizzata degli aspetti di sicurezza e a realizzare un incremento significativo anche sul piano sanzionatorio”.

Se le premesse e gli obiettivi sono condivisi dai partiti, non mancano alcune preoccupazioni, nella maggioranza quanto nell’opposizione, sulle norme che interessano i Comuni con una popolazione superiore ai 100.000 abitanti e i Comuni capoluoghi di regione, le società di trasporto pubblico urbano con bacino di utenza non inferiore ai 100.000 abitanti e le aziende sanitarie locali. In particolare, per quanto riguarda gli obblighi di notifica degli incidenti e la figura del referente per la cybersicurezza. Come già evidenziato su Formiche.net, si tratterebbe di applicare le stesse logiche che hanno ispirato il Perimetro di sicurezza nazionale cibernetica ad alcuni ambiti della pubblica amministrazione, che però avrebbero molto meno tempo per adeguarsi e molte meno capacità rispetto ad aziende che già facevano cybersecurity con team e budget importanti prima dell’istituzione Perimetro, che ha richiesto tre anni.

Inoltre, ad aggiungere un elemento di complessità c’è il fatto che entro ottobre dovranno essere recepite la Direttiva NIS 2, relativa alle misure per un livello comune elevato di cybersicurezza, e la Direttiva CER, relativa alla resilienza dei soggetti critici, che toccano anche alcuni aspetti già interessati dal disegno di legge.