L’Italia fa un altro importante passo verso la definizione di un quadro normativo sulla cyber security coerente con lo sviluppo e la diffusione delle nuove tecnologie e di minacce informatiche sempre più mirate e pericolose: lo scorso 15 maggio 2024, infatti, la Camera dei deputati ha approvato il disegno di legge n. 1717, intitolato “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” e meglio noto come DDL cyber.
Presentato il 16 febbraio 2024, questo provvedimento legislativo mira a consolidare le misure di sicurezza informatica e a contrastare efficacemente i crimini digitali in Italia.
L’esame del testo in Commissione è iniziato il 13 marzo e si è concluso l’8 maggio, seguito dalla discussione in Assemblea tra il 13 e il 15 maggio. L’iniziativa è ora trasmessa al Senato per l’ulteriore iter legislativo.
Indice degli argomenti
I punti salienti del DDL cyber
Il disegno di legge C. 1717, di natura ordinaria, è stato esaminato congiuntamente dalle Commissioni I, Affari Costituzionali e II, Giustizia, con i relatori Nazario Pagano e Ciro Maschio a guidare il dibattito rispettivamente in Commissione e in Assemblea. Il provvedimento ha inoltre ricevuto il parere delle Commissioni Difesa, Bilancio e Tesoro, Finanze, Ambiente, Trasporti, Attività produttive, Lavoro, Affari sociali, Politiche UE e della Commissione parlamentare per le questioni regionali.
L’obiettivo principale del disegno di legge è rafforzare la resilienza dell’infrastruttura nazionale contro gli attacchi cibernetici e aggiornare il quadro normativo relativo ai reati informatici, garantendo maggiore protezione sia per le istituzioni che per i cittadini italiani.
Nuovi obblighi di notifica degli incidenti informatici
In primo luogo, come disposto dall’articolo 1, il disegno di legge impone obblighi stringenti di notifica per incidenti informatici.
Tutti i soggetti pubblici e privati inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), infatti, sono tenuti a notificare qualsiasi incidente che impatti su reti, sistemi informativi e servizi informatici, ossia eventi che possono compromettere la funzionalità, la sicurezza o la disponibilità di questi componenti tecnologici fondamentali per un’organizzazione.
I soggetti interessati includono le pubbliche amministrazioni centrali, le regioni, le province autonome di Trento e Bolzano, le città metropolitane, i comuni con popolazione superiore a 100.000 abitanti, le società di trasporto pubblico e le aziende sanitarie locali.
La segnalazione iniziale deve avvenire entro 24 ore dall’incidente, con una notifica completa entro 72 ore.
Questa misura intende migliorare la capacità di risposta e il coordinamento tra le varie entità coinvolte, riducendo il tempo di reazione e aumentando la trasparenza nella gestione degli incidenti.
La crittografia come strumento di difesa cibernetica
La nuova legge valorizza l’uso della crittografia come strumento di difesa cibernetica, un elemento chiave per garantire la riservatezza e l’integrità dei dati, specialmente in un contesto di minacce informatiche sempre più sofisticate.
Con l’articolo 10, infatti, viene istituito il Centro Nazionale di Crittografia presso l’Agenzia per la Cybersicurezza Nazionale (ACN), il quale sarà responsabile dello sviluppo di standard e linee guida crittografiche. Il centro avrà anche il compito di valutare la sicurezza dei sistemi crittografici utilizzati e promuovere l’adozione della crittografia attraverso attività di sensibilizzazione e formazione.
La promozione di partenariati con università e centri di ricerca mira a sviluppare nuovi algoritmi crittografici e a migliorare la capacità di protezione dei dati nazionali.
Il ruolo di coordinamento operativo dell’ACN
Il ruolo di ACN viene ulteriormente enfatizzato dall’articolo 6, dall’articolo 8 e dall’articolo 11. L’articolo 6 mira a migliorare il coordinamento operativo tra i servizi di informazione per la sicurezza e l’ACN.
Questo include la condivisione di informazioni e la cooperazione nelle attività di prevenzione e risposta a incidenti di sicurezza informatica.
In situazioni particolari, il Presidente del Consiglio dei ministri può disporre il differimento degli obblighi informativi e delle attività di resilienza dell’ACN qualora i servizi di sicurezza della Repubblica lo ritengano necessario per il perseguimento delle loro finalità istituzionali, garantendo così una risposta più flessibile e mirata.
Misure specifiche per migliorare la resilenza delle PA
L’articolo 8, invece, introduce misure specifiche per migliorare la resilienza delle pubbliche amministrazioni. Ogni amministrazione inclusa nel perimetro di sicurezza deve istituire una struttura interna dedicata alla cyber sicurezza, se non già presente, e nominare un referente per la cyber sicurezza che fungerà da punto di contatto unico con l’ACN.
Queste strutture saranno responsabili dello sviluppo di politiche di sicurezza, dell’aggiornamento dei piani di rischio informatico, della pianificazione di interventi di potenziamento della capacità di gestione dei rischi e del monitoraggio continuo delle minacce.
Inoltre, vengono rafforzate le misure di sicurezza per l’accesso alle banche dati pubbliche, garantendo che solo personale autorizzato e adeguatamente autenticato possa accedere a informazioni sensibili.
Nuovi controlli per la verifica della conformità normativa
Per quanto riguarda l’articolo 11, questo definisce ulteriormente le funzioni dell’ACN, includendo il compito di condurre ispezioni per verificare la conformità alle normative sulla sicurezza informatica e applicare sanzioni in caso di violazioni.
L’Agenzia avrà il potere di intervenire in modo proattivo per migliorare la sicurezza delle reti e dei sistemi informativi, collaborando con le altre autorità competenti e fornendo supporto tecnico alle amministrazioni pubbliche e ai soggetti privati.
Questo rafforzamento del ruolo dell’ACN si rivela fondamentale per garantire un’implementazione efficace delle nuove normative e per costruire un ambiente più sicuro e resiliente contro le minacce informatiche.
Gli altri punti salienti del DDL cyber
Tra le altre disposizioni introdotte dalla legge, vi sono quelle volte a disciplinare i contratti pubblici relativi a beni e servizi informatici utilizzati per la tutela degli interessi nazionali strategici.
Queste disposizioni, definite dall’articolo 13, promuovono l’uso di tecnologie di cyber sicurezza sviluppate in Italia o nei Paesi dell’Unione Europea e della NATO, al fine di garantire la sicurezza nazionale e favorire l’autonomia tecnologica e strategica del Paese.
Questa misura è particolarmente importante per ridurre la dipendenza da tecnologie straniere e potenzialmente vulnerabili, assicurando che le infrastrutture critiche siano protette da soluzioni di sicurezza affidabili.
La resilienza operativa digitale del settore finanziario
Sono state poi definite disposizioni specifiche per il settore finanziario, mirate a garantire la resilienza operativa digitale in risposta alla crescente minaccia degli attacchi cibernetici contro tale settore, che possono avere gravi conseguenze economiche e sociali.
In base all’articolo 14, infatti, le istituzioni finanziarie devono adottare misure di sicurezza rafforzate per proteggere i dati sensibili e garantire la continuità dei servizi in caso di incidenti informatici.
Introdotti nuovi reati contro i sistemi informatici
Al fine di migliorare la prevenzione e il contrasto dei reati informatici a livello nazionale, l’articolo 15 apporta alcune modifiche al Codice penale, tra cui l’introduzione di nuove aggravanti e l’aumento delle pene per l’accesso abusivo a sistemi informatici.
Sono stati introdotti, inoltre, nuovi reati come quello di detenzione, diffusione e installazione abusiva di apparecchiature destinate a danneggiare o interrompere sistemi informatici.
Tale tipologia di strumenti include una varietà di dispositivi sofisticati come, ad esempio, i jammer di rete, che emettono segnali di disturbo volti a interrompere la comunicazione wireless, le apparecchiature per attacchi DDoS (Distributed Denial of Service), che possono generare enormi quantità di traffico per sovraccaricare e bloccare server e reti, causando interruzioni significative nei servizi, o i keylogger hardware, che si collegano tra la tastiera e il computer per registrare ogni pressione dei tasti, permettendo di rubare informazioni sensibili come password e dati di accesso.
Queste modifiche mirano a rendere il quadro normativo più adeguato alle nuove minacce informatiche, garantendo sanzioni più severe per chi compie reati nel cyberspazio.
Stretto connubio tra DDL intelligenza artificiale e DDL cyber
Insieme al DDL Intelligenza Artificiale, altra norma significativa in ambito cybersicurezza discussa in Italia nel 2024, il disegno di legge AC-1717 rappresenta un avanzamento significativo nella strategia di sicurezza informatica dell’Italia.
Le nuove disposizioni migliorano la resilienza delle infrastrutture critiche, promuovono l’adozione di tecnologie avanzate come la crittografia e rafforzano la cooperazione tra vari enti e servizi di sicurezza. Complessivamente queste misure contribuiscono a creare un quadro normativo più robusto e adeguato alle nuove sfide del cyberspazio, costruendo un ambiente digitale più sicuro e protetto per le istituzioni, le imprese e i cittadini italiani.
