Ddl cybersicurezza: i contenuti della nuova legge per la sicurezza informatica nazionale

Cos’è il Ddl cybersicurezza

Il disegno di legge sulla Cybersicurezza, noto come Ddl Cybersicurezza, è stato introdotto come risposta diretta all'escalation degli attacchi informatici, che hanno visto un incremento significativo negli ultimi anni. Questa iniziativa legislativa mira a consolidare l'impianto di sicurezza nazionale per contrastare efficacemente il fenomeno del cybercrime.

Promosso dalla Presidente del Consiglio, Giorgia Meloni, e dal Ministro della Giustizia, Carlo Nordio, ha l’obiettivo di proteggere l'infrastruttura critica nazionale e migliorare la resilienza di pubbliche amministrazioni e aziende private. Il Sottosegretario di Stato, Alfredo Mantovano, ha anch'esso sostenuto attivamente il disegno di legge, enfatizzando il rafforzamento degli strumenti operativi per la sicurezza cyber nazionale.

Il Ddl cybersicurezza è stato approvato in via definita

Dopo la precedente approvazione della Camera dei deputati, avvenuta il 15 maggio 2024, il disegno di legge è stato approvato anche dal Senato in data 19 giugno 2024. L’approvazione in via definitiva del disegno di legge sulla cybersicurezza segna un passo in avanti determinante nella lotta contro i crimini informatici e nel rafforzamento delle difese cybersicurezza del Paese.

Questo movimento normativo non solo risponde alle crescenti minacce di sicurezza digitale, ma si propone anche di dare una risposta concreta alle necessità di protezione dei cittadini e delle istituzioni, in un contesto in cui i rischi cyber diventano sempre più sofisticati e pervasivi.

Ddl cybersicurezza: testo e contenuti

Il testo della nuova legge comprende 24 articoli, tra cui alcune modifiche al Codice penale e al codice di procedura penale. Queste modifiche prevedono un significativo incremento delle pene e delle aggravanti per la truffa aggravata, oltre alla confisca obbligatoria dei beni utilizzati per commettere tali reati. L'intento è scoraggiare le attività criminali e migliorare la protezione delle infrastrutture critiche. Tra le principali modifiche evidenziamo le seguenti:

• aumento delle pene per reati come l’accesso abusivo a un sistema informatico e il danneggiamento di informazioni, dati e programmi informatici;
• obbligo di notifica degli attacchi informatici entro 24 ore da parte delle amministrazioni pubbliche all’Agenzia per la Cybersicurezza;
• nomina di un Responsabile della Cybersicurezza (CISO) in ogni amministrazione, per garantire una gestione proattiva della sicurezza informatica.

Le misure introdotte dal Ddl cybersicurezza

Aumento delle pene per reati informatici

Il decreto di legge aggrava le pene per reati informatici come l’accesso abusivo a un sistema informatico, nonché per il danneggiamento di informazioni, dati e programmi informatici. Inoltre, il Codice penale viene aggiornato con una nuova norma, l’articolo 629, riguardante l’estorsione realizzata attraverso reati informatici.

Ampliamento della composizione del CISR

Il CISR (Comitato Interministeriale per la Sicurezza della Repubblica), che svolge funzioni di consulenza, proposta e deliberazione sugli indirizzi e sulle finalità generali della politica dell’informazione per la sicurezza, si arricchisce con nuovi membri:

• Ministro delle Imprese e del Made in Italy;
• Ministro dell’Ambiente e della Sicurezza Energetica;
• Ministro dell’Agricoltura, della Sovranità Alimentare e delle Foreste;
• Ministro delle Infrastrutture e dei Trasporti;
• Ministro dell’Università e della Ricerca.

Nuove regole per l’accesso alle banche dati

Il decreto di legge esercita una stretta sull’accesso alle banche dati pubbliche, che richiederà l’uso di specifici sistemi di autenticazione digitale basati sul almeno due tecnologie differenti, una delle quali biometrica. Questa misura punta a garantire una protezione adeguata dai rischi di accesso abusivo ai dati nei sistemi informativi delle pubbliche amministrazioni.

Gli addetti tecnici (come definiti dal Ddl), possono accedere solo per interventi indifferibili legati a malfunzionamenti, guasti, installazioni hardware e software, aggiornamenti e riconfigurazione dei sistemi. Se l’intervento richiede la presenza fisica vicino al sistema, possono accedere anche senza le due tecnologie di autenticazione/autenticazione biometrica.

Restrizioni sui ruoli post-servizio per ex funzionari dei Servizi Segreti

Secondo il Ddl, gli ex direttori generali, vicedirettori generali del DIS (Dipartimento delle informazioni per la sicurezza), direttori e vicedirettori di AISE (Agenzia informazioni e sicurezza esterna) o AISI (Agenzia informazioni e sicurezza interna), nonché coloro che hanno ricoperto incarichi dirigenziali di prima fascia, non possono svolgere attività lavorativa, professionale o di consulenza, né ricoprire cariche presso enti esteri, pubblici o privati, per tre anni dopo la cessazione dell’incarico, salvo autorizzazione del Presidente del Consiglio dei Ministri o dell’Autorità Delegata.

ACN e raccolta dati sulla sicurezza informatica

L’Agenzia per la Cybersicurezza Nazionale (ACN) si occuperà della raccolta, elaborazione e classificazione dei dati relativi alle notifiche di incidenti di sicurezza informatica, come previsto dalla legge.

Questi dati saranno inclusi nella relazione annuale dell’Agenzia (puoi consultare i dettagli dell’ultima Relazione annuale ACN sul nostro blog), che fornisce una panoramica ufficiale degli attacchi informatici subiti dai settori cruciali per gli interessi nazionali nel campo della cybersecurity.

Strumenti di crittografia

L’articolo 10 del Ddl promuove l’utilizzo della crittografia come strumento fondamentale di difesa cibernetica e istituisce Centro Nazionale di Crittografia presso l’Agenzia per la Cybersicurezza Nazionale.

Intercettazioni e antiterrorismo

Il Ddl introduce nuove normative sulle intercettazioni, estendendole ai reati informatici sotto il coordinamento del procuratore nazionale Antimafia e Antiterrorismo. In particolare, l’articolo 21 del testo modifica il procedimento di applicazione delle speciali misure di protezione per i testimoni di giustizia e altri protetti, richiedendo il parere del procuratore nazionale Antimafia e Antiterrorismo.

Inoltre, viene definito il rapporto tra l’Agenzia di Cybersicurezza Nazionale, il procuratore nazionale Antimafia e Antiterrorismo, la Polizia Giudiziaria e il pubblico ministero, garantendo una collaborazione efficace per la sicurezza nazionale.

Da cybersecurity a cyber resilience: i punti in comune delle nuove normative

Con l’approvazione in via definitiva del nuovo Ddl cybersicurezza vengono introdotte nuove misure e requisiti in tema di cybersecurity e cyber resilience, che anticipano di fatto gli adempimenti contenuti nel testo della nuova direttiva NIS2 pubblicata dall’Unione Europea, di cui è previsto il recepimento entro il 17 ottobre 2024.

I testi delle due normative presentano, come auspicabile, varie differenze sostanziali dal punto di vista dell’ambito di applicazione, dei requisiti specifici, nonché dell’approccio e del coordinamento. Sarà quindi interessante osservare come lo Stato italiano recepirà e implementerà le linee guida della direttiva NIS2, armonizzandole con i requisiti previsti da Ddl cybersicurezza.

Allo stato attuale, le due normative presentano alcuni obiettivi comuni che evidenziano in che direzione si sta muovendo la sicurezza informatica nel contesto attuale. Questi obiettivi sono:

• rafforzare la resilienza delle infrastrutture critiche;
• migliorare la cooperazione tra enti pubblici e privati;
• aumentare la capacità di prevenzione, protezione e risposta agli incidenti di sicurezza cibernetica.

È opportuno sottolineare il ruolo sempre più centrale ricoperto dalla resilienza informatica e dalla capacità di un’organizzazione di integrare strategie di sicurezza informatica proattive, di rilevazione e reattive. Per una panoramica più dettagliata sui requisiti del disegno di legge sulla cybersicurezza, ti invitiamo a consultare il testo ufficiale pubblicato dal Senato della Repubblica.

Guida ACS: i requisiti della nuova direttiva europea NIS2

Per supportare le aziende nel processo di avvicinamento alla nuova direttiva NIS2, ACS Data Systems offre una guida completa che comprende tutte le informazioni più importanti, oltre a una pratica checklist per una corretta familiarizzazione con i nuovi requisiti.