È questa la novità principale contenuta nell’emendamento del Governo per modificare l’articolo 29 del decreto-legge ‘Ucraina’, relativa al “rafforzamento della disciplina cyber nelle PA”.
Non solo la lista degli hardware e software “sicuri”, ma anche i nomi delle relative aziende produttrici o fornitrici a cui le Pubbliche amministrazioni potranno rivolgersi per “diversificare” le soluzioni di cybersecurity, come imposto dal decreto-legge ‘Ucraina’. È questa la novità principale contenuta nell’emendamento del Governo presentato nelle Commissioni Finanze e Industria al Senato per modificare l’articolo 29 del provvedimento, relativa al “rafforzamento della disciplina cyber”.
Nella circolare che scriverà l’Agenzia per la Cybersicurezza Nazionale – si legge nell’emendamento – andranno ricomprese, “in particolare, le categorie di prodotti e servizi ivi incluse le relative aziende produttrici o fornitrici”.
Software ed hardware nelle PA, cosa prevede l’emendamento del Governo per per “diversificare” le soluzioni di cybersecurity
Più nel dettaglio, l’emendamento stabilisce che:
“Le categorie di prodotti e servizi – necessarie per garantire la diversificazione degli acquisti nella Pa e prevenire possibili pregiudizi per la sicurezza nazionale nello spazio cibernetico anche alla luce del conflitto in Ucraina – dovranno essere individuate con una circolare adottata dell’Agenzia per la cybersicurezza nazionale (Acn), anche “sulla base degli elementi forniti nell’ambito del Nucleo per la cybersicurezza” (questa è un’altra novità) indicando le “principali raccomandazioni procedurali”.
L’emendamento anticipato da Baldoni (ACN): “Arrivare di fatto a una sorta di black list“
L’arrivo della proposta dell’esecutivo era stata anticipata dal direttore generale dell’Agenzia per la cybersicurezza nazionale (Acn) Roberto Baldoni durante il ciclo di audizioni, al fine di chiarire un “dubbio interpretativo”. “Dobbiamo cercare di realizzare un discorso di legislazione più dinamica”, ha detto Baldoni, e intervenire “ovviamente su fornitori che sono untrusted ed arrivare di fatto a una sorta di black list. Dobbiamo in qualche modo non fossilizzarci su schemi fissi ma che possano seguire l’andamento tecnologico”.
Infatti la relazione illustrativa dell’emendamento spiega che la modifica “è finalizzata a meglio precisare, a livello di norma primaria, i contenuti della circolare che dovrà essere adottata dall’Agenzia per la cybersicurezza nazionale”.