Gesetzentwurf Cybersicherheit: Inhalte des neuen Gesetzes zur nationalen IT-Sicherheit
Was ist der Gesetzentwurf Cybersicherheit
Der Gesetzesentwurf zur Cybersicherheit, bekannt als Gesetzentwurf Cybersicherheit, wurde als direkte Antwort auf die zunehmenden Cyberangriffe eingeführt, die in den letzten Jahren erheblich zugenommen haben. Diese gesetzgeberische Initiative zielt darauf ab, das nationale Sicherheitsgefüge zu konsolidieren, um das Phänomen der Cyberkriminalität wirksam zu bekämpfen.
Gefördert von der Präsidentin des Ministerrats, Giorgia Meloni, und dem Justizminister Carlo Nordio, hat er das Ziel, die kritische nationale Infrastruktur zu schützen und die Widerstandsfähigkeit von öffentlichen Verwaltungen und privaten Unternehmen zu verbessern. Der Staatssekretär Alfredo Mantovano unterstützte den Gesetzesentwurf ebenfalls aktiv und betonte die Stärkung der operativen Werkzeuge für die nationale Cybersicherheit.
Der Gesetzentwurf Cybersicherheit wurde endgültig verabschiedet
Nach der vorherigen Zustimmung des Abgeordnetenhauses am 15. Mai 2024 wurde der Gesetzesentwurf auch vom Senat am 19. Juni 2024 genehmigt. Die endgültige Verabschiedung des Gesetzes zur Cybersicherheit stellt einen entscheidenden Schritt im Kampf gegen Cyberkriminalität und zur Stärkung der Cybersicherheitsverteidigung des Landes dar.
Diese gesetzliche Bewegung reagiert nicht nur auf die zunehmenden Bedrohungen der digitalen Sicherheit, sondern zielt auch darauf ab, den Schutzbedürfnissen der Bürger und Institutionen in einem Kontext gerecht zu werden, in dem Cyberrisiken immer ausgeklügelter und allgegenwärtiger werden.
Gesetzentwurf Cybersicherheit: Text und Inhalte
Der Text des neuen Gesetzes umfasst 24 Artikel, darunter einige Änderungen des Strafgesetzbuches und der Strafprozessordnung. Diese Änderungen sehen eine erhebliche Erhöhung der Strafen und erschwerenden Umstände für schweren Betrug vor, einschließlich der obligatorischen Beschlagnahme der zur Begehung dieser Straftaten verwendeten Güter. Ziel ist es, kriminelle Aktivitäten zu entmutigen und den Schutz kritischer Infrastrukturen zu verbessern. Zu den wichtigsten Änderungen gehören:
- Erhöhung der Strafen für Straftaten wie den unbefugten Zugang zu einem IT-System und die Beschädigung von Informationen, Daten und Computerprogrammen;
- Verpflichtung der öffentlichen Verwaltungen zur Meldung von Cyberangriffen innerhalb von 24 Stunden an die Agentur für Cybersicherheit;
- Ernennung eines Verantwortlichen für Cybersicherheit (CISO) in jeder Verwaltung, um ein proaktives Management der IT-Sicherheit zu gewährleisten.
Die vom Gesetzentwurf Cybersicherheit eingeführten Maßnahmen
Erhöhung der Strafen für IT-Straftaten
Das Gesetz verschärft die Strafen für IT-Straftaten wie den unbefugten Zugang zu einem IT-System sowie für die Beschädigung von Informationen, Daten und Computerprogrammen. Darüber hinaus wird das Strafgesetzbuch um einen neuen Artikel, Artikel 629, erweitert, der sich auf Erpressung durch IT-Straftaten bezieht.
Erweiterung der Zusammensetzung des CISR
Das CISR (Interministerielles Komitee für die Sicherheit der Republik), das Beratungs-, Vorschlags- und Beschlussfunktionen in Bezug auf die allgemeinen Ziele und Richtlinien der Sicherheitsinformationspolitik wahrnimmt, wird um neue Mitglieder erweitert:
- Minister für Unternehmen und Made in Italy;
- Minister für Umwelt und Energiesicherheit;
- Minister für Landwirtschaft, Ernährungssouveränität und Wälder;
- Minister für Infrastruktur und Verkehr;
- Minister für Universitäten und Forschung.
Neue Regeln für den Zugang zu Datenbanken
Das Gesetz verschärft den Zugang zu öffentlichen Datenbanken, der die Verwendung spezifischer digitaler Authentifizierungssysteme erfordert, die auf mindestens zwei verschiedenen Technologien basieren, von denen eine biometrisch ist. Diese Maßnahme soll einen angemessenen Schutz vor unbefugtem Datenzugriff in den Informationssystemen der öffentlichen Verwaltungen gewährleisten.
Die technischen Mitarbeiter (wie im Gesetzentwurf definiert) können nur bei unaufschiebbaren Eingriffen bei Störungen, Ausfällen, Hardware- und Software-Installationen, Updates und Neukonfigurationen der Systeme zugreifen. Erfordert der Eingriff physische Nähe zum System, können sie auch ohne die beiden Authentifizierungstechnologien/biometrische Authentifizierung zugreifen.
Beschränkungen für ehemalige Geheimdienstmitarbeiter
Laut Gesetzentwurf dürfen ehemalige Generaldirektoren, stellvertretende Generaldirektoren des DIS (Abteilung für Sicherheitsinformationen), Direktoren und stellvertretende Direktoren des AISE (Agentur für externe Sicherheit) oder AISI (Agentur für interne Sicherheit) sowie Personen, die leitende Funktionen innehatten, für drei Jahre nach Beendigung ihres Dienstes keine berufliche, beratende oder leitende Tätigkeit bei ausländischen öffentlichen oder privaten Stellen ausüben, es sei denn, sie erhalten die Genehmigung des Präsidenten des Ministerrats oder der beauftragten Behörde.
ACN und Datenerfassung zur IT-Sicherheit
Die Agentur für nationale Cybersicherheit (ACN) wird sich mit der Erfassung, Verarbeitung und Klassifizierung der Daten befassen, die sich auf die Meldungen von Sicherheitsvorfällen beziehen, wie es das Gesetz vorschreibt.
Diese Daten werden in den jährlichen Bericht der Agentur aufgenommen (Details zum letzten ACN-Jahresbericht finden Sie auf unserem Blog), der einen offiziellen Überblick über die Cyberangriffe auf Sektoren bietet, die für die nationalen Interessen im Bereich der Cybersecurity von entscheidender Bedeutung sind.
Verschlüsselungswerkzeuge
Artikel 10 des Gesetzentwurfs fördert die Verwendung von Verschlüsselung als grundlegendes Werkzeug der Cyberverteidigung und richtet ein Nationales Verschlüsselungszentrum bei der Agentur für Cybersicherheit ein.
Abhörmaßnahmen und Anti-Terrorismus
Der Gesetzentwurf führt neue Vorschriften für Abhörmaßnahmen ein, die auf IT-Straftaten unter der Koordination des nationalen Anti-Mafia- und Anti-Terrorismus-Staatsanwalts ausgeweitet werden. Insbesondere ändert Artikel 21 den Anwendungsprozess für spezielle Schutzmaßnahmen für Justizzeugen und andere Geschützte, indem die Stellungnahme des nationalen Anti-Mafia- und Anti-Terrorismus-Staatsanwalts erforderlich ist.
Darüber hinaus wird das Verhältnis zwischen der Agentur für Cybersicherheit, dem nationalen Anti-Mafia- und Anti-Terrorismus-Staatsanwalt, der Polizei und der Staatsanwaltschaft definiert, um eine effektive Zusammenarbeit für die nationale Sicherheit zu gewährleisten.
Von Cybersicherheit zu Cyberresilienz: die gemeinsamen Punkte der neuen Vorschriften
Mit der endgültigen Verabschiedung des neuen Gesetzentwurfs Cybersicherheit werden neue Maßnahmen und Anforderungen in Bezug auf Cybersicherheit und Cyberresilienz eingeführt, die die Erfüllung der neuen NIS-2-Richtlinie vorwegnehmen, deren Umsetzung bis zum 17. Oktober 2024 vorgesehen ist.
Die Texte der beiden Vorschriften weisen, wie zu erwarten, mehrere wesentliche Unterschiede in Bezug auf den Anwendungsbereich, die spezifischen Anforderungen sowie den Ansatz und die Koordination auf. Es wird daher interessant sein zu beobachten, wie der italienische Staat die Leitlinien der NIS2-Richtlinie umsetzt und mit den im Gesetzentwurf Cybersicherheit vorgesehenen Anforderungen in Einklang bringt.
Derzeit weisen die beiden Vorschriften einige gemeinsame Ziele auf, die zeigen, in welche Richtung sich die IT-Sicherheit im aktuellen Kontext entwickelt. Diese Ziele sind:
- die Widerstandsfähigkeit der kritischen Infrastrukturen zu stärken;
- die Zusammenarbeit zwischen öffentlichen und privaten Stellen zu verbessern;
- die Fähigkeit zur Prävention, zum Schutz und zur Reaktion auf Cyber-Sicherheitsvorfälle zu erhöhen.
Es ist hervorzuheben, dass die IT-Widerstandsfähigkeit und die Fähigkeit einer Organisation, proaktive, Erkennungs- und reaktive Sicherheitsstrategien zu integrieren, eine immer zentralere Rolle spielen. Für eine detailliertere Übersicht über die Anforderungen des Gesetzesentwurfs zur Cybersicherheit empfehlen wir Ihnen, den offiziellen Text (auf Italienisch) zu lesen, der vom Senat der Republik veröffentlicht wurde.