CdM, ok al disegno di legge sulla Cybersecurity

Il Consiglio dei Ministri, su proposta del Presidente Giorgia Meloni e del Ministro della giustizia Carlo Nordio, ha approvato, con la previsione della richiesta alle Camere di sollecita calendarizzazione, nel rispetto dei regolamenti dei due rami del Parlamento, un disegno di legge che introduce disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale.

Il testo interviene con modifiche (sostanziali e processuali) in relazione ai reati informatici, prevedendo l’innalzamento delle pene, l’ampliamento dei confini del dolo specifico, l’inserimento di aggravanti e/o il divieto di attenuanti per diversi reati commessi mediante l’utilizzo di apparecchiature informatiche e finalizzati a produrre indebiti vantaggi per chi li commette, a danno altrui o ad accedere abusivamente a sistemi informatici e/o a intercettare/interrompere comunicazioni informatiche e telematiche.

Inoltre, si rafforzano le funzioni dell’Agenzia per la cybersicurezza nazionale (ACN) e il suo coordinamento con l’Autorità giudiziaria in caso di attacchi informatici, con specifiche procedure volte a rendere più immediato l’intervento dell’Agenzia a fini di prevenzione degli attacchi e delle loro conseguenze e del ripristino rapido delle funzionalità dei sistemi informatici.

Si pone a carico dei soggetti pubblici individuati dalla norma (pubbliche amministrazioni centrali individuate dall’ISTAT, le regioni e le province autonome di Trento e Bolzano, i comuni con una popolazione superiore ai 100.000 abitanti e, comunque, i comuni capoluogo di regione, le società di trasporto pubblico urbano con bacino di utenza non inferiore ai 100.000 abitanti e le aziende sanitarie locali, nonché le rispettive società in house), un obbligo di segnalazione e notifica degli incidenti indicati in apposito provvedimento ACN, con impatto su reti, sistemi informativi e servizi informatici, e si disciplina la relativa procedura. Si disciplinano le conseguenze dell’inosservanza dell’obbligo di notifica: il singolo inadempimento fa scattare la comunicazione da parte dell’Agenzia del possibile invio di ispezioni, nei 12 mesi successivi all’accertamento del ritardo o dell’omissione, anche al fine di verificare l’attuazione di interventi di rafforzamento della resilienza. Nei casi di reiterata inosservanza dell’obbligo di notifica, si prevede l’applicazione all’ente, da parte dell’Agenzia, di una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000. Inoltre, per i dipendenti delle pubbliche amministrazioni, la violazione delle disposizioni può costituire causa di responsabilità disciplinare e amministrativo-contabile.

Per gli stessi soggetti, in presenza di segnalazioni puntuali dell’Agenzia circa specifiche vulnerabilità cui risultano potenzialmente esposti, si prevede l’obbligo di provvedere senza ritardo, e comunque non oltre quindici giorni dalla comunicazione, all’adozione degli interventi risolutivi indicati dalla stessa Agenzia e, per la mancata o ritardata adozione di tali interventi risolutivi, l’applicazione delle medesime sanzioni. Si prevede che i soggetti indicati debbano individuare, laddove non già presente, una struttura, anche tra quelle esistenti, che provvede alle attività necessarie per il rafforzamento della resilienza delle pubbliche amministrazioni in materia di cybersicurezza e svolge la funzione di punto di contatto unico dell’amministrazione con l’Agenzia.

In relazione a specifiche questioni di particolare rilevanza concernenti le iniziative in materia di cybersicurezza del Paese, potrà essere convocato il Nucleo per la cybersicurezza, in composizione di volta in volta estesa alla partecipazione di un rappresentante della Procura nazionale antimafia e antiterrorismo, della Banca d’Italia o di altri operatori previsti dal del decreto-legge “perimetro” (21 settembre 2019, n. 105), nonché di eventuali altri soggetti, interessati alle stesse questioni.

Fonte: Consiglio dei Ministri