15 Lug Legge cybersecurity, i nuovi obblighi su notifica incidenti, referenti PA e contratti pubblici
Dal prossimo 17 luglio 2024 la nuova legge sulla cyber security entrerà in vigore ed è dunque utile analizzare le diverse misure di sicurezza che mirano a rafforzare i meccanismi di protezione contro le minacce cibernetiche.
Tali disposizioni si sono rese necessarie per dare una risposta concreta contro gli attacchi dei cyber criminali, i quali, negli ultimi anni, sono stati caratterizzati da una preoccupante ascesa, complici l’imperante digitalizzazione e la scarsa preparazione degli enti a far fronte agli attacchi informatici.
I dati dell’ultimo rapporto Clusit restituiscono un quadro allarmante in questo senso. Con 2.779 incidenti gravi analizzati a livello globale, il 2023 dà una fotografia nettamente peggiorativa rispetto ai dodici mesi precedenti, descrivendo una curva degli attacchi in inesorabile crescita.
Il Clusit rileva che nell’81% dei casi la gravità degli attacchi è elevata o critica, secondo la scala di “severity” utilizzata dai ricercatori di Clusit che si basa sulla tipologia di attacco e sugli impatti. In questo contesto, l’Italia appare sempre più nel mirino dei cyber criminali: lo scorso anno in Italia è andato a segno l’11% degli attacchi gravi globali mappati dal Clusit (era il 7,6% nel 2022), per un totale di 310 attacchi, dato che marca una crescita del 65% rispetto al 2022.
Oltre la metà degli attacchi – il 56% – ha avuto conseguenze di gravità critica o elevata. Con uno sguardo agli ultimi cinque anni, emerge inoltre che più del 47% degli attacchi totali censiti in Italia dal 2019 si è verificato nel 2023.
Stante tale situazione di preoccupante emergenza, il legislatore italiano ha voluto – e dovuto – dare una risposta concreta per cercare di rendere l’Italia più resiliente dal punto di vista cyber e lo ha fatto varando la legge sulla cyber sicurezza di cui si propone una breve analisi di seguito con riferimento alle più importanti novità.
Obblighi di segnalazione e notifica degli incidenti cyber
Il Capo I della legge reca disposizioni in materia di rafforzamento della cybersicurezza nazionale, di resilienza delle pubbliche amministrazioni e del settore finanziario, di personale e funzionamento dell’agenzia per la cyber sicurezza nazionale e degli organismi di informazione per la sicurezza, nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici.
In particolare, l’art. 1 della legge statuisce l’obbligo di segnalazione e notifica degli incidenti cyber aventi impatto su reti, sistemi informativi e servizi informatici. Tali incidenti sono indicati nella tassonomia di cui all’articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019 n.105, convertito, con modificazioni, dalla legge 18 novembre 2019. La tassonomia degli incidenti è stata indicata con determina del Direttore Generale dell’ACN (determina del 3 gennaio 2023, Allegato A).
La disposizione in esame si applica ai seguenti enti pubblici:
Pubbliche amministrazioni centrali individuate ai sensi dell’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196.
Regioni e province autonome di Trento e Bolzano.
Città metropolitane.
Comuni con popolazione superiore a 100.000 abitanti.
Comuni capoluoghi di regione.
Società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti.
Società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane.
Aziende sanitarie locali.
Società in house che forniscono servizi informatici, servizi di trasporto, di raccolta e trattamento di acque reflue urbane, domestiche o industriali, gestione dei rifiuti.
Tali soggetti sono tenuti a segnalare e notificare qualunque incidente riconducibile alla tassonomia di cui sopra senza ritardo e comunque entro i seguenti termini:
24 ore dal momento in cui la pubblica amministrazione sia venuta a conoscenza dell’incidente per effettuare una prima segnalazione;
72 ore dalla conoscenza dell’incidente per effettuare la notifica completa.
Invece, il comma 3 dell’art. 1 prevede, inoltre, che per determinati soggetti (i comuni con popolazione superiore a 100.000 abitanti; i comuni capoluoghi di regione; le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti; le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane; le aziende sanitarie locali; le società in house degli enti fin qui richiamati, qualora siano fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, ovvero servizi di gestione dei rifiuti) i medesimi obblighi di segnalazione e notifica si applichino a decorrere dal centottantesimo giorno successivo alla data di entrata in vigore della presente legge.
Il comma 6 della disposizione in esame stabilisce, poi, che nei casi di reiterata inosservanza, nell’arco di cinque anni, dell’obbligo di notifica, l’Agenzia per la cybersicurezza nazionale (ACN) applica una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000 a carico dei soggetti di cui al comma 1 del presente articolo. È importante ricordare che tale violazione può costituire causa di responsabilità disciplinare e amministrativo-contabile per i funzionari e i dirigenti responsabili.
Il parallelo con gli obblighi della Direttiva NIS 2
In tal senso, si ricorda che la Direttiva 2022/2555 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (Direttiva NIS 2) prevede la presentazione, da parte dei soggetti essenziali e importanti, di:
un preallarme entro 24 ore dalla conoscenza di un incidente significativo e di
una notifica entro 72 ore dalla conoscenza di un incidente significativo
I medesimi termini sono previsti dallo schema di decreto legislativo italiano per il recepimento della Direttiva NIS2, ai sensi dell’art. 25 comma 5.
Modifiche alle disposizioni sul Perimetro di sicurezza nazionale
Relativamente al termine di notifica degli incidenti, è fondamentale l’art. 3 della legge in esame, poiché essa apporta alcune modifiche alle disposizioni della normativa sul Perimetro di sicurezza nazionale cibernetica o PSNC (decreto-legge 21 settembre 2019 n.105, convertito, con modificazioni, dalla legge 18 novembre 2019).
Difatti, l’art. 3 della legge sulla cyber sicurezza stabilisce che gli incidenti disciplinati all’art. 3-bis del sopracitato decreto-legge sul PSNC (dunque, gli incidenti con un impatto sulle reti, sui sistemi informativi e sui servizi informatici diversi da quelli comunicati nell’elenco dei beni ICT) devono sottostare alle seguenti tempistiche:
24 ore dalla conoscenza dell’incidente per la sua segnalazione;
72 dalla conoscenza dell’incidente per la sua notifica.
E nel caso di reiterata inosservanza di questi termini, si applica la sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000.
Il referente della cyber sicurezza nella PA
L’art. 8 comma 1 della Legge sulla cybersecurity prevede che i già citati soggetti di cui all’art. 1 comma 1 individuino una struttura, se non già presente, che provveda:
allo sviluppo delle politiche e delle procedure di sicurezza delle informazioni;
alla produzione e all’aggiornamento di sistemi di analisi preventiva di rilevamento e di un piano per la gestione del rischio informatico;
alla produzione e all’aggiornamento di un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione;
alla produzione e all’aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture dell’amministrazione;
alla pianificazione e all’attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, in coerenza con i piani di cui alle lettere b) e d);
alla pianificazione e all’attuazione dell’adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall’Agenzia per la Cybersicurezza Nazionale;
al monitoraggio e alla valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza.
La norma aggiunge che presso tali strutture operi un referente per la cybersicurezza,individuato in ragione di specifiche e comprovate professionalità e competenze in materia di cybersicurezza.
Qualora i soggetti di cui all’articolo 1, comma 1, non dispongano di personale dipendente fornito di tali requisiti, possono conferire l’incarico di referente per la cyber sicurezza a un dipendente di una pubblica amministrazione, previa autorizzazione di quest’ultima. Il nominativo del referente per la cyber sicurezza deve essere comunicato all’Agenzia per la Cybersicurezza Nazionale.
Inoltre, il ruolo delle strutture di cui sopra ex art. 8 è molto importante dato che esse verificano che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che utilizzano soluzioni crittografiche, rispettino le linee guida sulla crittografia nonché quelle sulla conservazione delle passwordadottate dall’Agenzia per la Cybersicurezza Nazionale e dal Garante per la protezione dei dati personali, ai sensi dell’art. 9 della presente legge.
Tratto da CyberSecurity360
Sorry, the comment form is closed at this time.