Lo prevede la bozza del Decreto legislativo del MiSe sulle norme di adeguamento della normativa nazionale Cybersicurezza. Il Consiglio dei ministri ha dato l’ok all’esame preliminare.
Fino a 5 milioni di euro è l’ammontare massimo delle sanzioni che l’Agenzia per la cybersicurezza nazionale (ACN) può comminare. Lo prevede la bozza dello schema di decreto legislativo – ministero dello Sviluppo economico – recante norme di adeguamento della normativa nazionale alle disposizioni del Titolo III, quadro di certificazione della cybersicurezza, del regolamento (UE) 2019/881, del Parlamento europeo e del Consiglio del 17 aprile 2019 relativo all’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza, e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione (TIC) e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cybersicurezza»).
Il regolamento europeo mira ad introdurre regole armonizzate in tutta l’Unione Europea per la certificazione di cibersicurezza di prodotti TIC (Tecnologie dell’Informazione e delle Comunicazioni), servizi TIC e processi TIC.
Autorità e Sanzioni, l’unica sezione dell’ACN non ancora operativa
Cybersecurity Italia ha preso visione di questa bozza. Il decreto legislativo andrà a dar vita all’unica sezione dell’ACN non ancora operativa, quella dell’Autorità e Sanzioni, come si vede dalla figura seguente.
Ecco tutte le sanzioni che l’ACN potrà comminare, a chi e per quale motivo
L’Agenzia, in caso di violazione degli obblighi del quadro europeo di certificazione della cybersicurezza e dell’articolo 65 del Regolamento sulla cybersicurezza, irroga sanzioni pecuniarie ed accessorie.
L’Agenzia può impartire ordini o intimare diffide ai soggetti che operano in contrasto al quadro europeo di certificazione. Ai soggetti che non ottemperano nel termine indicato nell’ordine o nella diffida l’Agenzia commina la sanzione del pagamento di una somma da 200.000 euro ad 1.000.000 di euro.
Se le violazioni riguardano provvedimenti adottati dall’Agenzia nei confronti di soggetti con fatturato pari almeno a 200.000.000 euro, si applica a ciascun soggetto interessato una sanzione amministrativa pecuniaria non inferiore allo 0,3 per cento e non superiore all’1,5 per cento del fatturato, restando comunque fermo il limite massimo di 5.000.000 di euro. Come riferimento per il fatturato si assume il valore realizzato dallo stesso soggetto nell’esercizio precedente a quello in cui sia stato impartito l’ordine o sia stata intimata la diffida.
A chi andrebbero i soldi delle sanzioni?
Gli introiti derivanti dalle sanzioni pecuniarie, si legge nella bozza del testo, sono versati ad apposito capitolo dell’entrata del bilancio dello Stato per essere successivamente riassegnati con decreto del Ministro dell’economia e delle finanze sul pertinente capitolo dello stato di previsione della spesa del Ministero dell’economia e delle finanze, per incrementare la dotazione dei capitoli del bilancio dell’Agenzia destinati alle attività di ricerca e formazione concernenti la certificazione della cybersicurezza di prodotti TIC, servizi TIC e processi TIC.
L’autorità nazionale di certificazione della cybersicurezza
Il decreto legislativo stabilisce proprio misure volte ad adeguare la normativa nazionale al nuovo quadro europeo di certificazione della cybersicurezza.
Concretamente, il decreto va a designare l’autorità nazionale di certificazione della cybersicurezza, organizzazione e procedure per lo svolgimento dei compiti in ambito nazionale di certificazione della cybersicurezza: il tutto in capo all’ACN, in quanto l’autorità nazionale di certificazione della cybersicurezza.
L’Agenzia rilascia i certificati di cybersicurezza con livello di affidabilità elevato tramite l’Organismo di Certificazione della Sicurezza Informatica (OCSI).
I fornitori o fabbricanti di prodotti TIC, servizi TIC o processi TIC possono rilasciare sotto la propria responsabilità dichiarazioni UE di conformità di livello di base per dimostrare il rispetto di requisiti tecnici previsti nel sistema.
Il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC rende disponibile all’Agenzia, per il periodo stabilito nel corrispondente sistema europeo di certificazione della cybersicurezza del Regolamento, la dichiarazione UE di conformità, la documentazione tecnica e tutte le altre informazioni pertinenti relative alla conformità dei prodotti TIC o servizi TIC al sistema. Una copia della dichiarazione UE di conformità è trasmessa all’Agenzia e all’ENISA.
Ove l’Agenzia accerti la non conformità di una dichiarazione UE di conformità in esito alle attività di vigilanza è fatto obbligo al fabbricante o fornitore emittente di revisionare o revocare la dichiarazione UE di conformità entro trenta giorni dandone comunicazione all’Agenzia e all’ENISA, salvo diversa disposizione dello specifico sistema di certificazione. Il rilascio di una dichiarazione UE di conformità è volontario.
Attività di ricerca, formazione e sperimentazione nazionale nell’ambito della certificazione della cybersicurezza
Allo scopo di elevare il livello nazionale di cybersicurezza, si legge nel testo, l’Agenzia può realizzare progetti di ricerca, ivi inclusi quelli per lo sviluppo di software, e di formazione, anche in collaborazione con università, centri di ricerca o laboratori specializzati nel campo della valutazione della sicurezza informatica, anche nel contesto di attività di supporto alla standardizzazione a livello nazionale, europeo ed internazionale.
L’Agenzia, inoltre, monitora gli sviluppi nel campo della certificazione della cybersicurezza, anche consultando i portatori di interesse nazionale del settore e scambiando informazioni, esperienze e buone pratiche con la Commissione europea e le altre autorità nazionali della cybersicurezza.
Infine, conformemente all’articolo 57 del Regolamento ed in assenza di un sistema europeo di certificazione, l’Agenzia può introdurre sistemi di certificazione nazionali della cybersicurezza, per prodotti TIC, servizi TIC o processi TIC.
La parole chiave del decreto
- «abilitazione»: provvedimento con il quale l’Agenzia accerta i requisiti necessari affinché un esperto o un laboratorio di prova possa coadiuvare l’Agenzia nelle attività di vigilanza nazionale o di rilascio dei certificati di cybersicurezza;
- «laboratorio di prova»: organismo di valutazione della conformità che svolge verifiche documentali e/o prove in base alle norme armonizzate europee ed agli standard e specifiche tecniche nell’ambito del sistema europeo di certificazione in cui è accreditato;
- «organismo di certificazione»: organismo di valutazione della conformità che emette certificati europei di cybersicurezza in base alle norme armonizzate europee ed agli standard di riferimento ai sensi del Regolamento per il sistema di certificazione in cui è accreditato.
Aggiornamento ore 23:00
Stasera il Consiglio dei ministri ha dato l’ok all’esame preliminare del decreto legislativo – Ministro dello sviluppo economico).