Il 17 luglio 2024 è entrata in vigore la c.d. nuova Legge italiana sulla Cybersecurity (Legge n. 90/2024), già pubblicata in Gazzetta lo scorso 28 giugno a seguito dell’approvazione del Senato del disegno di legge frutto dell’iniziativa governativa e co-firmato dal Ministro della Giustizia (e non da altri dicasteri più tecnici come ci si aspetterebbe).
L’intenzione del legislatore è quella di conferire una postura proattiva alla gestione della sicurezza informatica delle P.A. più grandi ed importanti, delle loro aziende in-house e delle società private appaltatrici di servizi ICT strategici.
Oltre a ciò, però, il vero obbiettivo della Legge, ad una lettura più organica e ad ampio respiro, risulta essere quello di dare maggior tempo alle P.A. centrali ed essenziali per prepararsi agli standard dettati dalla Direttiva (UE) 2022/2555 (la c.d. ‘Direttiva NIS 2’), considerando anche il fatto che le P.A. storicamente sono meno avvezze ad approcciarsi in modo reattivo e tempestivo ai cambiamenti (senza neanche sottovalutare, come diremo fra poco, il minor budget a disposizione).
È comunque importante chiarire subito che già da prima dell’entrata in vigore di questa legge, l’adozione di misure di sicurezza informatica, tecniche ed organizzative, adeguate a rischi in continua evoluzione, rappresentava non solo un dovere legale (imposto, in primis, dal GDPR), ma anche una vera e propria responsabilità verso i cittadini e i loro dati personali.
Per tale motivo è naturale, e non ci stupisce di certo, che le P.A. più importanti che vedremo fra un attimo vengano coinvolte direttamente e responsabilizzate dal legislatore per contribuire anch’esse al perimetro di sicurezza cibernetica nazionale.
Indice
A chi si applica la Legge italiana sulla Cybersecurity?
La legge in commento è già applicabile alle P.A. considerate centrali ed essenziali per gli interessi pubblici: quelle identificate da uno specifico elenco ISTAT che viene aggiornato periodicamente e che contiene numerose importanti P.A., le regioni, le provincie autonome di Trento e Bolzano e le città metropolitane.
Oltre ad esse, che potremmo definire primo cluster, la Legge 90/2024 si applica anche al secondo cluster composto dai capoluoghi di regione, dai comuni con più di 100.000 abitanti, dalle società di trasporto pubblico urbano con un bacino di utenza di almeno 100.000 persone, dalle società in house degli enti finora richiamati se forniscono loro servizi informatici o di trasporto, oppure di raccolta, trattamento gestione di acque reflue o rifiuti, e inoltre alle Aziende Sanitarie Locali.
L’aggiunta delle ASL è importantissima se consideriamo che non erano state ricomprese nel Perimetro di Sicurezza Nazionale Cibernetica di cui al D.L. 105/2019, ma che sono risultate essere i bersagli prediletti degli attacchi informatici, anche a causa della mancanza di fondi di cui da sempre soffrono.
Basti pensare, da ultimo, al recente caso dell’attacco ransomware, parrebbe di matrice filo-russa, che a Londra ha destabilizzato il National Health Service (NHS) con ricadute notevoli sulla salute dei pazienti più urgenti coinvolti.
Quando entrerà in vigore la nuova Legge?
Le P.A. del primo cluster devono rispettare gli obblighi previsti dalla Legge n. 90/2024 subito dalla data di entrata in vigore, avvenuta il 17.07.2024.
Tutte le altre P.A. ricomprese nel secondo cluster, invece, avranno tempo 6 mesi, fino al 17.01.2025, per implementare, applicare e rispettare i nuovi obblighi.
Una tale scansione temporale deriva dal fatto che il legislatore presume che le P.A. del primo cluster, essendo le più centrali, essenziali e dimensionate, abbiano già una struttura tale da permettere loro di rispettare subito i nuovi requisiti imposti, mentre invece le P.A. del secondo cluster si prevede che necessitino di più tempo per organizzare i propri processi di conformazione.
Come avevamo già scritto in un precedente articolo, altro termine importante da tenere in considerazione nell’analizzare questa legge è il 17.10.2024, data entro la quale dovrà essere recepita la Dir. UE 2022/2555 tramite l’emanazione di una disposizione interna che fisserà delle scadenze successive concretamente applicabili ad aziende ed enti pubblici.
E tali scadenze, appunto, saranno fissate verosimilmente dopo il 17.01.2025, quando ormai la Legge italiana sulla cybersecurity sarà già da qualche tempo pienamente in vigore.
Nuovi obblighi introdotti dalla Legge 90/2024
Il legislatore quindi ha voluto anticipare il trend della NIS 2 per stimolare gli enti ricompresi all’interno di un perimetro di resilienza cibernetica esteso ed aggiornato ad adottare le seguenti misure, soprattutto organizzative, ma in parte anche tecniche, tendenti alla continuità operativa.
Struttura per la cybersecurity
Gli enti destinatari della Legge in commento dovranno dotarsi di una Struttura per la cybersecurity, la quale potrà essere individuata anche tra quelle già esistenti e pure nell’ufficio del Responsabile della Transizione Digitale (RTD) laddove individuato.
La coincidenza degli uffici presumibilmente sarà una scelta molto percorsa dagli enti destinatari della norma, soprattutto perché la Struttura per la cybersec dovrà essere individuata nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, e cioè in regime d’invarianza finanziaria.
Questo profilo rappresenta la vera debolezza della normativa in quanto un obbiettivo di così ampio respiro e di così alto livello avrebbe probabilmente meritato uno stanziamento di fondi ad hoc per ottenere un reale e concreto “rafforzamento”, come vorrebbero le intenzioni della norma, e non solo una mera “riorganizzazione” dello ‘status quo’ vigente e disponibile.
Invece, sono sollevati dall’obbligo d’istituire la suddetta Struttura gli organi dello Stato preposti alla prevenzione, all’accertamento e alla repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica, alla difesa e sicurezza militare dello Stato e le Agenzie d’intelligence.
Altri obblighi specifici
Oltre a quanto sopra, la normativa, essendo di matrice squisitamente programmatico-politica, in quanto come abbiamo visto è emanata su impulso del Ministro della Giustizia, non prevede un’elencazione specifica delle misure di sicurezza da adottarsi da parte degli enti destinatari delle previsioni ivi contenute.
L’impostazione della Legge 90/2024 si differenzia dunque dall’impostazione, ad esempio, dell’Allegato B del DPCM n. 81/2021 il quale, emanato in recepimento della NIS 1, riprende le misure minime di sicurezza aggiungendovi anche gli obbiettivi minimi di sicurezza (sulla falsa riga anche dell’approccio adottato dal Codice Privacy prima delle modifiche apportate dal D.Lgs. 101/2018).
Gli enti del primo e del secondo cluster saranno dunque entrambi tenuti, seppur con tempistiche diverse come visto sopra, a:
- Verificare che i programmi in uso impieghino strumenti crittografici e di conservazione delle password conformi alle indicazioni emanate dall’ACN e dal GPDP (di recente adozione e disponibili qui);
- Monitorare e valutare l’esposizione in ciclo continuo alle vulnerabilità note e già registrate e auspicabilmente anche già risolte dalla comunità informatica.
- Implementare e aggiornare periodicamente sistemi di analisi preventiva per il rilevamento delle minacce e degli incidenti informatici e un piano per la gestione del rischio informatico;
- Tenere e aggiornare una policy documentale che definisca l’organigramma del sistema interno all’ente per la sicurezza delle informazioni;
- Pianificare ed attuare interventi di potenziamento delle capacità di gestione dei rischi informatici, rispetto ed in continuità migliorativa con i sistemi, le procedure e le misure di cui sopra;
- Pianificare ed attuare le misure previste dalle linee guida che verranno via via emanate dall’ACN.
Chi sovraintende a tali compiti?
A chiusura e completamento della Struttura per la cybersecurity, la Legge prevede la nomina da parte degli enti destinatari anche di un Referente per la Cybersec.
Questa figura può essere ricoperta:
- dallo stesso Responsabile per la Transazione Digitale, laddove individuato (e non è azzardato prevedere che ove le due figure coincideranno, le responsabilità in capo a tale funzionario aumenteranno esponenzialmente),
- o dal Referente per la cybersecurity di un altro ente pubblico, previa approvazione e autorizzazione dell’ente pubblico di appartenenza,
- oppure anche in forma associata e condivisa da parte di più enti.
La previsione di queste modalità alternative di nomina del Referente Cybersec risulta particolarmente opportuna se consideriamo che anche questo incarico è soggetto alla clausola d’invarianza finanziaria, e dunque la scelta ricadrà verosimilmente tra i dipendenti attualmente a disposizione delle P.A. a cui si applica la Legge.
Come già rilevato, però, questa clausola rischia di compromettere (o comunque di rendere fin da subito in salita) il raggiungimento degli obbiettivi della legge, ad es. soprattutto per le ASL alle quali, storicamente, manca il budget sufficiente da destinare a tematiche ICT come la cybersecurity.
Oltre a ciò, è previsto che il Referente debba avere professionalità ed esperienza in materia di sicurezza informatica, rimettendosi dunque con tale ampia e generica previsione la scelta all’accountability dell’ente.
L’ente dovrà dunque aver cura di nominare un profilo che possa dimostrare studi, master, eventuali certificazioni, ed esperienze lavorative specifiche nel settore della sicurezza informatica senza però, come visto sopra, nuove assunzioni o aggiudicazioni, almeno finché non verrà adottata un nuovo conto economico consolidato: sicuramente non un compito semplice.
Le previsioni in caso d’incidente informatico
La Struttura e il Referente per la cybersecurity dovranno segnalare gli incidenti informatici attraverso l’apposita procedura telematica già disponibile sul sito dell’ACN, similmente a quanto avviene per le notifiche di violazioni di dati personali da effettuarsi tramite il sito del Garante Privacy.
Gli incidenti per i quali ricorre l’obbligo di segnalazione e notifica sono definiti tramite rimando alla Determina del Direttore Generale dell’ACN del 03.01.2023.
L’art.1 lett. f) della Determina descrive gli «incidenti» come quegli eventi di natura accidentale o intenzionale che determinano il malfunzionamento, l’interruzione, anche parziali, la compromissione o l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici.
L’Allegato A della Determina, invece, presenta un vero e proprio elenco di incidenti da notificare, che vengono raggruppati sotto le categorie dell’accesso iniziale, dell’esecuzione, dell’installazione, dei movimenti laterali e delle azioni sugli obbiettivi o di attività di spearphishing da parte di soggetti non autorizzati.
Siamo dunque in presenza di incidenti di sicurezza diversi rispetto alle violazioni di dati personali di cui all’art. 33 del GDPR ma, ciò nonostante, un singolo evento può generare sia l’obbligo di notificare al CSIRT dell’ACN in forza della Legge italiana sulla Cybersecurity, sia al Garante Privacy in forza del GDPR.
Riflessioni sulle possibili implicazioni dell’incidente di Crowdstrike
Per tali ragioni, non è azzardato sostenere che l’incidente informatico salito agli onori della cronaca come ‘Blue Screen of Death’ (BSOD) abbia subito messo alla prova l’operatività della Legge 90/2024.
Infatti, in base a quanto sappiamo al momento, ma potrebbero emergere novità che ci smentiscono, se una P.A. appartenente al primo cluster visto sopra avesse effettivamente riscontrato disservizi, indisponibilità o irraggiungibilità causati da Crowdstrike, avrebbe dovuto valutare attentamente l’opportunità di fare la notifica all’ACN.
È pur vero che il fornitore di servizi di cibersicurezza Crowdstrike è un soggetto teoricamente definibile come autorizzato ad accedere e modificare i sistemi dei clienti, e dunque potenzialmente non rientrante nell’elencazione dell’Allegato A del D.G. dell’ACN, ma l’abnormità della modifica travalica di sicuro il perimetro di quanto autorizzato, facendo sfociare l’operato di Crowdstrike nella sfera del ‘non autorizzato’, alla stregua di attaccante esterno malevolo.
Al pari, l’incidente si potrebbe configurare potenzialmente anche come violazione di dati personali in quanto il disservizio e l’inutilizzabilità dei sistemi informatici potrebbe aver causato l’indisponibilità, seppur temporanea, dei dati personali ivi archiviati, che di per sé potrebbe già essere sufficiente ai fini degli artt. 4 par. 12) e 33 del GDPR.
Le implicazioni del BSOD attribuibile a Crowdstrike però non sono ancora del tutto definite ed infatti il Garante Privacy, a riguardo, ha avviato ulteriori accertamenti.
Quali sono i termini previsti dalla nuova Legge?
La Legge sulla cybersecurity prevede due scaglioni temporali, anche in questo caso identici a quelli previsti dalla Direttiva NIS 2: gli enti e le P.A. coinvolte hanno 24 ore di tempo per effettuare la “mera” segnalazione preliminare degli incidenti di sicurezza subiti, e 72 ore per la notifica vera e propria, completa di tutte le informazioni disponibili.
Entrambi i termini decorrono a partire dal momento in cui gli enti vengono in concreto a conoscenza dell’incidente.
La brevità dei termini per effettuare la segnalazione ha l’obbiettivo di instradare una risposta tempestiva, coordinata ed efficace, riducendo il più possibile l’impatto degli attacchi informatici sulla continuità dei servizi pubblici più importanti ed essenziali.
L’ACN può segnalare direttamente alle P.A. alle quali si applica la Legge 90/2024 delle vulnerabilità a cui le stesse risultano esposte, sia per averne avuto notizia tramite una segnalazione, sia per esserne venuta a conoscenza d’ufficio (ad es. perché viene resa nota dalla comunità informatica una vulnerabilità di un software che si sa da altre fonti essere in uso presso un ente o una P.A.).
In caso di vulnerabilità segnalate dall’ACN, i destinatari che ne risultino potenzialmente esposti devono provvedere all’adozione degli interventi risolutivi e correttivi indicati dall’ACN stessa, senza ritardo e comunque non oltre 15 giorni dalla ricezione della comunicazione.
Se non vi ottemperano ripetutamente entro tale termine è prevista l’irrogazione di una sanzione, salvo che l’ente comunichi tempestivamente (e cioè prima dello spirare dei 15 giorni) all’Autorità le motivate esigenze di natura tecnico-amministrativa che ne impediscono l’adozione o che ne comportano il differimento oltre il termine.
Sanzioni previste dalla Legge italiana sulla Cybersecurity
La normativa in esame stabilisce poi che per ciascun caso d’inosservanza dell’obbligo di tempestiva segnalazione e notifica, l’ACN invierà una comunicazione all’ente avvisandolo che il reiterato inadempimento comporterà l’applicazione a suo carico di una sanzione amministrativa da 25.000 a 125.000 €.
È altresì importante ricordare che tale violazione può costituire causa di responsabilità disciplinare e amministrativo-contabile per i funzionari e i dirigenti responsabili.
L’applicabilità delle sanzioni solo in caso di reiterata inosservanza all’obbligo di notifica, con la rimessione all’ACN del giudizio quantitativo su di essa, rappresenta di sicuro un trattamento di favore rispetto, ad es., alle sanzioni previste per i privati dal GDPR o dall’AI Act di nuova introduzione.
Ciò può essere spiegato pensando che questa è una Legge emanata con clausola d’invarianza finanziaria che si applica principalmente, anche se non esclusivamente, a pubbliche amministrazioni.
Inoltre, questo trattamento di favore potrebbe essere dovuto anche al fatto che le sanzioni previste dalla Legge 90/2024 sulla Cybersecurity risulterebbero cumulabili con quelle previste dal GDPR in quanto applicate da Autorità diverse, per fatti e circostanze diverse (una per la reiterata inosservanza dell’obbligo di tempestiva segnalazione e notifica, l’altra per una violazione di dati personali) ma che possono però occasionalmente generare la violazione contestuale di entrambe le normative.
Su questo punto, però, i commentatori non sono ancora del tutto concordi.
Nuove funzioni dell’Agenzia per la Cybersicurezza Nazionale
La Legge 90/2024 prevede che i proventi delle sanzioni appena viste siano destinati all’ACN, e ciò anche al fine di finanziare, seppur indirettamente e a posteriori, l’attività di natura reattiva e di supporto svolta tramite il Team ACN di Computer Security Incident Response (CSIRT) il quale, in caso di incidente informatico, si occupa di indirizzare l’ente che segnala l’incidente verso le più rilevanti ed appropriate attività di mitigazione e correzione.
Oltre a ciò, l’ACN sarà chiamata alla diffusione di standard, linee guida e raccomandazioni al fine di rafforzare, con un’impostazione coerente e aggiornata al mutevole stato dell’arte, la cybersicurezza dei sistemi informatici degli enti del primo e del secondo cluster visti sopra.
Centro Nazionale di Crittografia
Una delle innovazioni più significative della Legge è la creazione presso l’ACN del Centro Nazionale di Crittografia (CNC), ma anche in questo caso l’innovatività potrebbe risultare attenuata dalla clausola d’invarianza finanziaria.
Il CNC, il cui funzionamento sarà disciplinato con provvedimento del Direttore Generale dell’ACN, avrà il compito di sviluppare e implementare soluzioni avanzate per la protezione dei dati e di promuovere l’uso della crittografia per la cybersicurezza.
In tale contesto il CNC promuoverà la collaborazione con centri universitari e di ricerca per valorizzare e sviluppare nuovi algoritmi proprietari, nonché per ricercare e conseguire nuove capacità crittografiche nazionali, anche per il rafforzamento dell’autonomia ed indipendenza industriale e tecnologica dell’Italia.
Tema scottante e divisivo, che potrebbe arrivare sul tavolo del neo-istituito CNC, sarà quello di trovare un punto d’equilibrio nel conflittuale rapporto tra la libera disponibilità di tecnologie crittografiche avanzate, da un lato, e dall’altro l’ostruzione che esse apportano, in maniera spesso e volentieri insormontabile, per le attività delle forze dell’ordine, di polizia e dei servizi di intelligence.
Per approfondire su tale tematica si rimanda all’interessante lettura del Primo Report sulla Crittografia pubblicato dall’Innovation Hub per la Sicurezza Interna dell’UE.
Legge italiana cybersecurity e contratti pubblici
Un’altra innovazione significativa, che suscita l’interesse degli addetti ai lavori, riguarda i contratti pubblici sottoscritti per la fornitura di beni e servizi ICT da utilizzare in contesti connessi alla tutela degli interessi strategici nazionali.
In tali specifici contesti, infatti, i contratti dovranno prevedere il rispetto di appositi requisiti di cybersicurezza definiti tramite Decreto del Presidente del Consiglio dei Ministri (DPCM) su proposta dell’ACN e previo parere del Comitato sulla sicurezza della Repubblica, da emanarsi entro 4 mesi dall’entrata in vigore della Legge.
Da ciò ne deriva che tutte le pubbliche amministrazioni, i gestori di servizi pubblici e le società a controllo pubblico (escluse le società quotate) e i soggetti privati rientranti nel Perimetro di Sicurezza Nazionale Cibernetica dovranno tenere conto degli elementi essenziali di cybersicurezza nei loro contratti pubblici e gare.
Per elementi essenziali di cybersecurity si intende, per espressa previsione normativa, l’insieme di criteri e regole tecniche atti a proteggere la confidenzialità, l’integrità e la disponibilità dei dati in misura proporzionale e corrispondente alle esigenze di tutela degli interessi nazionali strategici.
Per gestire la resilienza informatica lungo tutto la catena degli approvvigionamenti la nuova normativa richiederà dunque che i fornitori e gli appaltatori delle amministrazioni pubbliche rispettino standard di sicurezza informatica maggiori del normale richiesti dalla Legge sulla cybersicurezza.
Sarà quindi interessante confrontare i contenuti contrattuali previsti dal DPCM governativo con le clausole diffuse nei Data Protection Agreement più attenti e strutturati del settore software, SaaS e ICT in generale, oppure ad esempio confrontarli con le Clausole Contrattuali Standard da ultimo approvate nel 2021 dalla Commissione europea.
Altri interessanti punti da tenere d’occhio
Tale DPCM, peraltro, provvederà anche a dettagliare i casi in cui, al fine di tutelare la sicurezza nazionale, debbano essere previsti (finalmente, anche) criteri di premialità (e non solo deterrenti sanzionatori) per i fornitori di beni o servizi ICT provenienti da Italia, UE, paesi NATO, o paesi che hanno stretto alleanze e trattati internazionali con essi.
Ciò di nuovo al fine, come già visto sopra, di conseguire l’autonomia tecnologica e strategica dell’Italia nell’ambito della cybersicurezza da fornitori provenienti da blocchi geo-politici ed economici non alleati.
Inoltre per le stazioni appaltanti e le centrali di committenza, sempre nel contesto di gare connesse alla tutela degli interessi nazionali strategici, vengono previsti i seguenti obblighi e facoltà:
- non aggiudicare, oppure ritirare entro 30 giorni dall’aggiudicazione, l’offerta che non tenga conto dei summenzionati elementi essenziali di cybersicurezza;
- considerare sempre gli elementi essenziali di cybersicurezza nella valutazione della qualità per individuare il miglior rapporto qualità/prezzo;
- inserire gli elementi essenziali di cybersicurezza tra i requisiti minimi dell’offerta in caso dia utilizzo del criterio del minor prezzo.
Considerazioni per i soggetti a cui la Legge italiana sulla Cybersecurity non è applicabile
È evidente come questa norma debba essere tenuta bene in considerazione anche dalle altre P.A. minori, come ad es. i Comuni con meno di 100.000 residenti, e dalle società private, in particolar modo quelle che già fanno parte della catena di approvvigionamento dei big player pubblici, o che intendono entrarvi partecipando a gare e appalti.
La Legge 90/2024, infatti, offre a tutti i soggetti non ricompresi nei due cluster di riferimento delle preziose indicazioni su dove andrà in prospettiva il mercato e sugli esempi virtuosi a cui tendere, in ottica non solo di miglioramento, ma di vera e propria sopravvivenza, in un mondo del lavoro ormai digitale e iperconnesso.
Il provvedimento legislativo analizzato (seppur sia per lo più indirizzato alle P.A. più grandi) si presenta come il precursore della normativa di recepimento della Direttiva NIS 2, con la quale presenta numerosi punti in comune, tanto che molte delle aziende private e delle P.A. minori a cui non si applica la L. 90/2024 dovranno però applicare, in un futuro ormai prossimo, la NIS 2.
Ma v’è di più: il corretto recepimento e adeguamento della NIS 2 non potrà che fare da apripista all’entrata il vigore dell’AI Act, risultando evidente che tanto più e tanto meglio le aziende riusciranno a conformarsi alla NIS 2 e alla sua normativa di recepimento, tanto più rapida e agevole risulterà la loro conformazione all’AI Act.
Conclusioni
Per tali ragioni il nostro Studio è a vostra disposizione per valutare insieme i punti di contatto tra gli adempimenti già svolti ai sensi delle normative che già hanno ricadute in tema di cybersicurezza (ad es., Direttiva NIS 1, PSNC, GDPR) da un lato, e gli adempimenti richiesti dalle normative di nuova emanazione (ad es. Legge italiana sulla Cybersecurity, Direttiva NIS 2 e AI Act), dall’altro.
Contattaci, dunque, per avere supporto e assistenza nella proceduralizzazione di un sistema di compliance tecnica e legale che sia efficiente e puntuale, preservando, valorizzando e soprattutto migliorando il lavoro già svolto.
