Il Consiglio dei ministri approva il disegno di legge per la cybersicurezza.
Il disegno di legge per la cybersicurezza è stato approvato oggi dal Consiglio dei ministri ed è stato illustrato dal Sottosegretario alla Presidenza del Consiglio dei ministri e anche Autorità delegata per la sicurezza della Repubblica Alfredo Mantovano durante la conferenza stampa al termine del CdM.
Mantovano: “Nel Ddl non norme su AI, attendiamo Regolamento europeo anche per individuare l’Autorità competente sull’intelligenza artificiale”
“Questo disegno di legge per la cybersicurezza non contiene disposizioni sull’intelligenza artificiale, non perché il Governo se ne sia dimenticato, ma perché sarebbe stato fuori luogo proporre norme nazionali prima che fossere state articolate quelle presenti del Regolamento europeo” (AI Act n.d.r.). “Non appena ci saranno”, ha spiegato Mantovano, “poiché è un disegno di legge, si interverrà come proposta del Governo o concordandola con i parlamentari ad integrare la parte relativa all’intelligenza artifciale, ossia dall’individuazione dell’Autorità ai limiti di utilizzo in base alle tipologie di uso”.
L’AI Act obbliga tutti i Paesi dell’Unione ad individuare almeno un’Autorità o agenzia nazionale pubblica con il compito, tra gli altri, di supervisionare la corretta applicazione dell’AI ACT. Ogni Stato membro dovrebbe anche designare un’Autorità di vigilanza del mercato per fungere da punto di contatto unico.
Disegno di legge per la cybersicurezza, i 6 punti chiave
Mentre è stato confermato tutto il resto contenuto nello schema del disegno di legge, come:
- Il coordinamento tra ACN e Magistratura in caso di attacchi informatici
- Lo stesso coordinamento operativo è previsto anche tra i servizi di informazione per la sicurezza (DIS) e l’Agenzia per la cybersicurezza nazionale.
- Aumenta il perimetro dei soggetti pubblici o che erogano un servizio di pubblica utilità tenuti a dotarsi, obbligatoriamente, di sistemi di cybersicurezza. Come: Comuni sopra i 100mila abitanti, Asl, capoluoghi di Regione, ecc.. Saranno obbligati a notificare senza ritardo il cyber attacco subìto all’Acn, così da attivare un’immediata reazione. Quest’obbligo, nel caso non venga rispettato, è seguito da un richiamo iniziale e poi da una sanzione comminata dalla stessa ACN che può variare da 25mila a 125mila euro.
- Per i dipendenti delle PA in caso di sanzione può costituirsi anche la causa di responsabilità disciplinare e amministrativo-contabile.
- Richiamo e sanzioni, quindi, per le PA che non notificano gli attacchi informatici subìti
- Nasce il referente per la cybersicurezza per le PA interessate dal disegno di legge
Il disegno di legge, ha spiegato il Sottosegretario Mantovano, si adegua al contesto geo-politico attuale. “Lo stato dell’arte ha visto un incremento significativo negli ultimi anni (dalla guerra Russia-Ucraina e Israele-Hamas) di attacchi cyber e la legislazione vigente risale a quasi 20 anni fa e 20 anni per il cyber è un’era geologica. La legislazione vigente prevede sanzioni penali veramente esigue, tanto che al cybercriminale conviene fare attacchi piuttosto che rubare la frutta al mercato, con il sistema delle attenuanti e dei riti abbreviati parliamo di pochi mesi di reclusioni, che non si espiano”.
Per saperne di più vai all’articolo con tutte le novità del Ddl Cyber
Ma il disegno di legge non prevede un nuovo finanziamento pubblico per favorire l’adeguamento dei soggetti interessati alle nuove norme cyber
Per tutte queste misure di rafforzamento della cyber resilienza delle Pa e del Paese in generale il Governo non ha previsto nuovo finanziamento, ma “le amministrazioni pubbliche interessate provvedono all’adempimento delle disposizioni della presente legge con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente”.
Dal nostro punto di vista, più aumenta la digitalizzazione di PA, delle aziende pubbliche e private inserite anche nel perimetro di sicurezza nazionale cibernetica, più aumenta la “superficie d’attacco”, ossia i target sensibili che ogni giorno, secondo dopo secondo, sono presi di mira da cyber gang o da gruppi strutturati spesso sponsorizzati da Stati, che considerano l’Italia un Paese ostile.
Per questo motivo, crediamo non siano sufficienti le risorse finanziarie già a disposizione delle Pubbliche Amministrazioni. Nella prossima legge di Bilancio perché non prevedere una quota cyber per mettere più in sicurezza l’ecosistema digitale in Italia? Vedremo quali modifiche avrà il disegno di legge durante l’iter parlamentare anche sull’aspetto delle risorse economiche. Ricordiamo che la Strategia nazionale per cybersicurezza valida fino al 2026 stanzia “l’1,2% degli investimenti nazionali lordi ogni anno alla cybersecurity”. Al momento, lo prevede solo sulla carta…
Casu (Pd): “Servono risorse e personale, proposta Governo senza fondi”
“Ma come possono le amministrazioni pubbliche interessate alzare la guardia della difesa cyber con le risorse umane, strumentali e finanziarie disponibili? Tagliando altri servizi? È fondamentale intervenire per proteggere il patrimonio di dati del nostro sistema paese ma per farlo servono risorse, non si può svuotare il mare di attacchi che l’Italia sta subendo con un secchiello bucato”. Così il deputato democratico Andrea Casu ha commentato il disegno di legge per la cybersicurezza approvato oggi dal Consiglio dei ministri.
*Articolo aggiornato al 19 febbraio 2024 con le informazioni contenute nel nuovo articolo: Ddl Cyber, nel testo finale: ACN può usare l’AI per rafforzare la cybersicurezza nazionale