I punti chiave dello schema di disegno di legge che sarà approvato dal Consiglio dei ministri domani per prevenire e contrastare in modo più efficace gli attacchi informatici, a partire dalle PA più rilevanti in Italia.
Il Consiglio dei Ministri approverà domani mattina il disegno di legge con il quale verrà rafforzata la cybersicurezza nazionale con 3 nuove “mosse” necessarie nel contesto geo-politico attuale caratterizzato da attacchi informatici e AI-Cyber-War.
- All’Agenzia per la Cybersicurezza Nazionale (ACN) viene attribuita, secondo lo schema di disegno di legge, con l’articolo 14 una missione aggiuntiva a quelle previste dal decreto istitutivo n.82 del 2021: “promuove e sviluppa ogni iniziativa, anche di partenariato pubblico-privato, volta a valorizzare l’intelligenza artificiale”, si legge nello schema del disegno di legge, “come risorsa per il rafforzamento della cybersicurezza nazionale, anche al fine di favorire un uso etico e corretto dei sistemi basati su tale tecnologia”.
Per cui, l’intelligenza artificiale viene considerata dal Governo Meloni, e anche su questo aspetto del disegno di legge si vede l’impostazione del sottosegretario alla presidenza del Consiglio dei ministri, Alfredo Mantovano, Autorità delegata per la sicurezza della Repubblica, solo come un rischio, ma anche un’opportunità per rafforzare la cybersecurity del Paese.
“Quello che ci dovrà orientare, e che ci sta già orientando come governo ma immagino anche come Parlamento”, ha detto, di recente Mantovano, “è procedere evitando da un lato la demonizzazione dell’intelligenza artificiale e non trascurando tutto ciò che di positivo sta già avvenendo ma accompagnando la non demonizzazione con una ragionevole regolamentazione”.
Il coordinamento tra ACN e Magistratura e tra l’Agenzia e il DIS
- Un altro aspetto chiave normato dal disegno di legge è il coordinamento degli interventi tra ACN e la magistratura in caso di attacchi informatici, collaborazione totalmente assente nel decreto che ha istituito l’Agenzia cyber nazionale.
“Nei casi in cui l’Agenzia ha notizia di un attacco ai danni di uno dei sistemi informatici o telematici”, è scritto nell’articolo 7, “informa senza ritardo il procuratore nazionale antimafia e antiterrorismo” … così come, eccezion fatta per alcuni casi, “quando acquisisce la notizia di attacchi cyber il pubblico ministero ne dà tempestiva informazione all’ACN”.
Lo stesso coordinamento operativo è previsto anche tra i servizi di informazione per la sicurezza (DIS) e l’Agenzia per la cybersicurezza nazionale.
- Infine, il terzo protagonista del disegno di legge sono le Pubbliche Amministrazioni centrali e quelli più rilevanti, che dovranno rafforzare le difese cyber attraverso una vera e propria strategia di cybersecurity definita da una struttura ad hoc, laddove non già presente. E dovranno anche dotarsi del referente per la cybersicurezza.
Nel dettaglio, le PA interessate sono:
Le pubbliche amministrazioni centrali, con le rispettive società in-house, le Regioni e le Province autonome di Trento e Bolzano, i comuni con una popolazione superiore ai 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonché le società di trasporto pubblico urbano con bacino di utenza non inferiore ai 100.000 abitanti e le aziende sanitarie locali, devono segnalare e notificare gli incidenti informatici subìti aventi impatto su reti, sistemi informativi e servizi informatici. Chi non effettua la notifica rischia sanzioni da 25mila a 125mila euro dall’Agenzia per la Cybersicurezza Nazionale.
I tempi per notificare i cyber attacchi subìti dalle PA
I soggetti interessati devono segnalare all’ACN senza ritardo, e comunque entro il termine massimo di 24 ore dal momento in cui ne sono venuti a conoscenza a seguito delle evidenze comunque ottenute, un incidente ed effettuano, entro 72 ore a decorrere dal medesimo momento, la notifica completa di tutti gli elementi informativi disponibili.
Il referente per la cybersicurezza, come sceglierlo e quali i suoi compiti
Più lavoro in arrivo per avvocati specializzati in cybersicurezza. E per altre figure professionali esperte del settore. Il disegno di legge introduce, come detto, figura del referente per la cybersicurezza delle PA interessate dalla nuova norma, che dovrà poi seguire l’iter parlamentare per l’approvazione definitiva.
Il referente per la cybersicurezza dovrà essere individuato in ragione “delle qualità professionali possedute”.
Svolgerà anche la funzione di punto di contatto unico dell’amministrazione con l’Agenzia per la cybersicurezza nazionale in relazione a quanto previsto dalla presente legge e dalle normative settoriali in materia di cybersicurezza cui è soggetta la medesima amministrazione.
Infine, il nominativo del referente per la cybersicurezza è comunicato all’Agenzia per la cybersicurezza nazionale.
Per tutte queste misure di rafforzamento della cyber resilienza delle Pa e del Paese in generale il Governo non ha previsto nuovo finanziamento, ma “le amministrazioni pubbliche interessate provvedono all’adempimento delle disposizioni della presente legge con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente”.
Dal nostro punto di vista, più aumenta la digitalizzazione di PA, delle aziende pubbliche e private inserite anche nel perimetro di sicurezza nazionale cibernetica, più aumenta la “superficie d’attacco”, ossia i target sensibili che ogni giorno, secondo dopo secondo, sono presi di mira da cyber gang o da gruppi strutturati spesso sponsorizzati da Stati, che considerano l’Italia un Paese ostile.
Per questo motivo, crediamo non siano sufficienti le risorse finanziarie già a disposizione delle Pubbliche Amministrazioni. Nella prossima legge di Bilancio perché non prevedere una quota cyber per mettere più in sicurezza l’ecosistema digitale in Italia? Vedremo quali modifiche avrà il disegno di legge durante l’iter parlamentare anche sull’aspetto delle risorse economiche. Ricordiamo che la Strategia nazionale per cybersicurezza valida fino al 2026 stanzia “l’1,2% degli investimenti nazionali lordi ogni anno alla cybersecurity”. Al momento, lo prevede solo sulla carta…