Ddl Cyber, dalla mia audizione a come ho scoperto il bando (poi risolto) a Israele

Innovazione e Tecnologia Parlamento
DI Luigi Garofalo
Luglio 18, 2024
Ddl Cyber, dalla mia audizione a come ho scoperto il bando (poi risolto) a Israele

Il Governo Meloni alza le difese cyber del nostro Paese. E lo fa con il disegno di legge (di recente approvato alla Camera dei Deputati e ora al vaglio del Senato) sui reati informatici e di rafforzamento della cybersicurezza nazionale con cui innalza le pene per chi commette reati nel cyberspazio: “ad oggi rischia di più chi ruba una mela al mercato che chi compie reati informatici”, ha detto il Sottosegretario Alfredo Mantovano, nell’illustrare il testo, di cui è il vero “papà”. Allo stesso tempo, il Ddl amplia, anticipando alcune misure della direttiva europea NIS2, i soggetti obbligati a notificare all’Agenzia per la Cybersicurezza Nazionale (ACN) gli incidenti cyber. 

Tra questi figurano: le pubbliche amministrazioni centrali, le Regioni e le Province autonome di Trento e di Bolzano, le città metropolitane, i Comuni con popolazione superiore a 100.000 abitanti e, comunque, i Comuni capoluoghi di Regione, nonché le società di trasporto pubblico urbano con bacino di utenza non infe- riore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane e le ASL.
Sono anche comprese le rispettive società in house che forniscono servizi informatici, i servizi di trasporto, servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali.

Tutti questi soggetti dovranno segnarale senza ritardo e comunque entro il termine massimo di 24 ore dal momento in cui ne sono venuti a conoscenza a seguito delle evidenze comunque ottenute, qualunque incidente riconducibile a una delle tipologie individuate nella tassonomia ed effettuano, entro 72 ore a decorrere dal medesimo momento, la notifica completa di tutti gli elementi informativi disponibili. 

Con le eccezioni delle pubbliche amministrazioni centrali, le Regioni e le Province autonome di Trento e di Bolzano e le città metropolitane, per tutti gli altri soggetti le misure scatteranno a partire dal 180esimo giorno dall’entrata in vigore della legge.

Il legislatore ha voluto dare più tempo a chi non ha ancora una struttura dedicata alla cybersecurity per conformarsi ai nuovi obblighi.

Sanzioni

Nei casi di reiterata inosservanza, nell’arco di cinque anni, dell’obbligo di notifica l’Agenzia per la Cybersicurezza Nazionale applica una sanzione amministrativa pecuniaria fino 125.000 euro e la violazione può costituire causa di responsabilità disciplinare e amministrativo contabile per i funzionari e i dirigenti responsabili. Finalmente. 

Per le PA nasce il Referente per la Cybersicurezza

Il Disegno di legge introduce, ottimamente, anche il Referente per la Cybersicurezza per tutte le Pubbliche Amministrazioni interessate dai nuovi obblighi di notifica previsti dal testo. Il Referente –  che dovrà essere individuato in ragione di specifiche e comprovate professionalità e competenze in materia di cybersicurezza – nasce per avere un colloquio rapido e professionale con l’ACN. 

Il vero limite del Ddl cyber? Zero fondi ad hoc

Il limite principale del disegno di legge del Governo in materia di rafforzamento della cybersicurezza nazionale è il non prevede nuovi fondi pubblici per “accompagnare” i soggetti interessati a conformarsi agli obblighi previsti.

Chi può pensare di ampliare di molto la propria abitazione senza prevedere anche un’estensione del sistema di allarme?

Chi Governo ha mai varato una norma per rafforzare la sicurezza nazionale, quella fisica, senza stanziare fondi nuovi ad hoc? 

L’audizione: “manca la cultura della cybersicurezza”

Quello che vale offline, vale anche online. E quindi nel cyberspazio. Chi scrive ha fatto presente questo sacrosanto principio nell’audizione, a marzo, davanti alle commissioni riunite Giustizia e Affari costituzionali della Camera sul medesimo Ddl per mettere in evidenza il limite di non aver previsto fondi ad hoc. Se si raggiunge questa consapevolezza allora il legislatore automaticamente andrebbe a prevedere fondi pubblici nuovi, ad hoc, per rafforzare la cyber resilienza dell’Italia. Mentre il ddl è limitato dalla clausola di “invarianza finanziaria”. 

C’è da dire che il Governo ha accolto con “raccomandazione” una parte dell’Ordine del Giorno presentato dal deputato Andrea Casu del PD di concretizzare quanto previsto nella Strategia nazionale per la cybersiucrezza: “stanziare “l’1,2% degli investimenti nazionali lordi ogni anno alla cybersecurity”.

Non è una certezza. Ma è un impegno da parte del Governo Meloni a valutare come garantire uno stanziamento di fondi costante alla Cybersecurity. Magari nella prossima legge di Bilancio?

Il bando (poi risolto) a Israele

Chi scrive ha scoperto che i partiti di maggioranza, nel dare il via libera al disegno di legge sulla Cybersecurity nelle Commissioni Affari costituzionali e Giustizia alla Camera dei Deputati, avevano votato un emendamento per introdurre la “premialità per l’utilizzo di tecnologia cyber nazionale o europea o NATO”. Di fatto un’esclusione, clamorosa, alle aziende di Israele, tra i Paesi più avanzati nella cybersicurezza!

Il mio articolo su Cybersecurity Italia ha scatenato “quasi un caso diplomatico con Israele”, ha scritto Il Fatto Quotidiano, citandomi. Così, nell’Aula di Montecitorio è arrivata “la pezza” nel giorno dell’approvazione del Disegno di legge con questa nuova formulazione “i soggetti, per quanto previsto dal nuovo del codice dell’amministrazione digitale, tengono in considerazione nelle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici nonché i casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti all’Alleanza atlantica (NATO) o di Paesi terzi (individuati con un apposito il decreto) tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione”. Caso diplomatico risolto.

1^ G7 Cyber a Roma su iniziativa di ACN

Infine, a proposito di geopolitica, a Roma alla Farnesina il 16 maggio si è svolto il 1^ G7 Cyber, su iniziativa dell’ACN. “Sì, ci può essere un’influenza, attraverso la disinformazione, sul libero esercizio del voto nei Paesi G7 in cui si andrà al voto quest’anno: dalle nostre europee alle presidenziali Usa”, ha detto Bruno Frattasi, DG dell’Agenzia cyber italiana, al termine del vertice. “Anche su questo aspetto abbiamo analizzato la minaccia cyber in questo 1^ gruppo di lavoro cybersicurezza del G7. In generale”, ha concluso, “abbiamo discusso di tutte le minacce alla cybersicurezza globale, in particolare ai Paesi G7. E la nostra risposta non può che essere globale, corale e coesa”. 

Previous Post

Next Post

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *