Riforma previdenziale forense in vigore dal 2025  Redazione - 04/10/24  |  Il ruolo degli avvocati nell'era dell'intelligenza artificiale: opportunità o minaccia? Roberto Cataldi - 30/09/24  |  La scienza smascherata United Lawyers for Freedom - ALI Avvocati Liberi - 21/06/23  |  Compiti a casa: i docenti devono usare il registro elettronico  Redazione - 12/04/23  |  Annullate multe over50: la prima sentenza United Lawyers for Freedom - ALI Avvocati Liberi - 26/03/23  |  

In vigore la legge cybersecurity

In vigore, con modifiche importanti introdotte in sede di conversione, la legge Cybersecurity che definisce il perimetro di sicurezza cibernetica nazionale


di Annamaria Villafrate - Pubblicata in Gazzetta Ufficiale il 20 novembre, la legge di conversione (n. 133/2019 sotto allegata) del decreto legge n. 105 del 21 settembre 2019 che definisce il perimetro di sicurezza nazionale cibernetica (cosiddetta legge cybersecurity) è entrata in vigore il 21 novembre 2019. Importanti le modifiche apportate in sede di conversione, non solo all'art. 1 che definisce il perimetro, ma anche all'apparato sanzionatorio e ai poteri dell'esecutivo in materia (Golden Power) che sono stati notevolmente ampliati (anche al 5G), garantendo così al Governo la possibilità di effettuare controlli più stringenti sull'ITC e di esercitare, in casi particolari, un importante potere di veto.

Vediamo le novità più significative:

Cos'è il perimetro di sicurezza cibernetica

[Torna su]

Il perimetro di sicurezza nazionale è istituito per assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, con una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato o la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, o utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

Entro 4 mesi dall'entrata in vigore della legge di conversione un provvedimento del PdCM, su proposta del CISR, è tenuto a definire le amministrazioni e gli enti con sede in Italia compresi nel perimetro di sicurezza e quindi tenuti al rispetto delle regole.

Individuazione che deve avvenire in base a un criterio di gradualità, tenendo conto dell'entità del pregiudizio per la sicurezza nazionale derivante dal malfunzionamento o interruzione, anche parziale del servizio e valutando la specificità dei settori.

Entro 10 mesi dall'entrata in vigore della legge di conversione un provvedimento del PdCM deve altresì individuare le procedure che i soggetti devono seguire per notificare gli incidenti in grado di avere un impatto sui sistemi al gruppo di intervento per la sicurezza informatica, tenuto a trasmetterlo al Dipartimento delle informazioni per la Sicurezza che a sua volta deve trasmetterlo all'organo del Ministero dell'Interno appositamente istituito. Sempre entro 10 mesi dall'entrata in vigore della legge di conversione con decreto del PdCM sono stabilite misure finalizzate a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e informatici, tenendo conto degli standard definiti a livello internazionale e dell'Unione europea, relative alla gestione della sicurezza, del rischio e alla mitigazione e prevenzione del rischio e all'affidamento di forniture di beni, sistemi e servizi ITC.

Con regolamento da adottare entro dieci mesi dalla data di entrata in vigore della legge di conversione sono disciplinati le procedure, le modalità e i termini con cui i soggetti di cui al comma 2, lettera a), ovvero le centrali di committenza "intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici (…) ne danno comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso il Ministero dello sviluppo economico (…)

Entro quarantacinque giorni dalla ricezione della comunicazione, prorogabili di quindici giorni, una sola volta, in caso di particolare complessità, il CVCN può effettuare verifiche preliminari ed imporre condizioni e test di hardware e software ..." I soggetti devono collaborare alla fase di test, in caso contrario il CVCN segnala questo problema al Ministero dello Sviluppo Economico, se i soggetti sono privati, alla Presidenza del Consiglio se i soggetti sono pubblici, che possono sottoporli a ispezioni e verifiche.

Sanzioni pesanti per chi trasgredisce

[Torna su]

Salvo che il fatto costituisca reato le sanzioni amministrative applicate nei confronti di chi non si attiene alle regole sono molto pesanti:

Le sanzioni vengono irrogate dalla Presidenza del Consiglio per i soggetti pubblici, dal Ministero dello sviluppo economico se i trasgressori sono privati.

Golden Power, più potere all'esecutivo

[Torna su]

La legge di conversione riconosce al Governo più potere nei settori altamente tecnologici e in materia di esercizio di poteri speciali (Golden Power) nell'ambito della difesa, della sicurezza nazionale, nelle attività rilevanti da un punto di vista strategico nei settori dell'energia, dei trasporti e delle comunicazioni.

Il Governo nel valutare l'acquirente esterno all'Unione Europea deve tenere conto se questi:

Alla Presidenza del Consiglio dei Ministri il potere di veto sulla conclusione del contratto, come l'imposizione di specifiche condizioni o prescrizioni, previo invio di un'informativa completa entro dieci giorni dalla conclusione di un contratto o accordo da parte dell'impresa che ha acquisito, a qualsiasi titolo, i beni o i servizi.

L'art. 5 riconosce infine al Presidente del Consiglio, in presenza di un rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi informativi e servizi informatici, previa delibera del Comitato interministeriale per la sicurezza della Repubblica, il potere di disporre se indispensabile e per il tempo strettamente necessario all'eliminazione dello specifico fattore di rischio o alla sua mitigazione, nel rispetto del criterio di proporzionalità, la disattivazione totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l'espletamento dei servizi interessati.

5G

[Torna su]

Le norme si applicano ai soggetti inclusi nel perimetro e valgono anche per contratti e accordi relativi ai servizi di comunicazione elettronica a banda larga basati sul 5G. Rispetto a questi, è prevista una notifica alla presidenza del Consiglio per l'eventuale esercizio del potere di veto o di specifiche condizioni o prescrizioni.

Leggi anche:

- Decreto Cybersecurity: ok dalla Camera

- Cybersecurity: la guida

Data: 22/11/2019 10:00:00
Autore: Annamaria Villafrate