Gli ultimi mesi hanno visto una significativa proliferazione di norme in materia di cybersicurezza. Il 2024 si sta infatti confermando l’anno della sicurezza informatica: l’inarrestabile digitalizzazione delle attività sia in termini di servizi che di settori ha ampliato in maniera significativa fenomeni di cyber attacchi ai danni di aziende ed Enti.  Ragione questa che ha imposto alle autorità di dare un impulso decisivo alla regolamentazione del settore con l’introduzione di misure organizzative e di sicurezza tali da garantire il rafforzamento del perimetro di protezione. Una serie di provvedimenti, quelli che hanno visto la luce nelle ultime settimane, accomunati dalla logica secondo cui i possibili rischi connessi alla digitalizzazione devono essere gestiti in ottica di security by design, adottando un approccio multidisciplinare e una visione d’insieme tali da consentire di beneficiare degli indiscutibili vantaggi connessi alle nuove tecnologie e di mitigarne le criticità.

Ma vediamo nella pratica quali sono state le disposizioni normative protagoniste dell’estate.

Prima tra tutti, in ordine di importanza e di impatto, l’attesissima NIS2 che in qualità di Direttiva entrerà in vigore il prossimo 17 ottobre. Ma non solo. Gli ultimi mesi hanno visto anche l’emanazione del provvedimento dell’ACN e Garante Privacy in materia di crittografia delle credenziali e quello del Garante sulla conservazione dei metadati delle e-mail dei dipendenti.

Non ultima la legge pubblicata in Gazzetta Ufficiale lo scorso 28 giugno recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, in vigore dal 17 luglio. E su questa concentreremo la nostra attenzione per non correre il rischio che una normativa da un impatto così significativo possa passare in sordina.

I 24 articoli della versione finale della cosiddetta “Legge sulla Cybersicurezza” contengono una serie di misure destinate al «rafforzamento della cybersicurezza nazionale, resilienza delle pubbliche amministrazioni, personale e funzionamento dell’Agenzia per la cybersicurezza nazionale, nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici», confermando il grande impegno delle autorità – in un momento storico di grande fermento sul fronte della cyber sicurezza – nell’innalzamento del livello di  protezione dei sistemi informativi delle organizzazioni, soprattutto pubbliche, attive nel mercato tecnologico e digitale e della resilienza rispetto ai cyber attacchi.

Sul piano operativo, la Legge 90 si muove in varie direzioni, annunciando l’introduzione di nuovi reati, un impianto sanzionatorio di notevole impatto, un focus specifico sul tema dei contratti pubblici di beni e servizi informatici e rilevanti prescrizioni per i soggetti pubblici (principali destinatari delle disposizioni) tra cui l’introduzione – per i soggetti previsti – della figura del Referente per la cibersicurezza. Tale soggetto interverrà a titolo esemplificativo sullo sviluppo delle politiche e le procedure di cybersicurezza interne all’Ente, sulla produzione e l’aggiornamento di sistemi di analisi preventiva di rilevamento e di un piano per la gestione del rischio informatico e sulla produzione e aggiornamento di un piano programmatico per la sicurezza dei dati.

Per quanto concerne l’ambito di applicazione, il provvedimento si rivolge alle pubbliche amministrazioni individuate dalla norma, ai soggetti considerati nel Perimetro di Sicurezza Nazionale Cibernetica, fino a quelli sottoposti alla Direttiva NIS2, comprese le autorità più significative del settore della cybersicurezza, quali il CISR, gli Organismi di Informazione per la Sicurezza, l’ACN e il suo Nucleo per la Cybersicurezza.

Tra i soggetti pubblici destinatari, a titolo esemplificativo sono ricomprese:

• le pubbliche amministrazioni centrali incluse nell’elenco annuale ISTAT delle pubbliche amministrazioni previsto dall’articolo 1, comma 3, della legge di contabilità e finanza pubblica (legge n. 196 del 2009);
• le regioni e le province autonome di Trento e di Bolzano;
• le città metropolitane;
• i comuni con popolazione superiore a 100.000 abitanti;
• i comuni capoluoghi di regione;
• le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti;
• le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane;
• le aziende sanitarie locali;
• le società in house degli enti fin qui richiamati, qualora siano fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, ovvero servizi di gestione dei rifiuti.

Da una prima lettura potrebbe sembrare che la legge 90 sia in sovrapposizione o ridondante rispetto alla NIS2. Basti pensare ai soggetti destinatari piuttosto che a disposizioni specifiche come l’obbligo di notifica degli incidenti. Tuttavia, le due cornici normative devono essere lette come due impianti distinti con finalità differenti, nonostante vi siano evidenti aspetti di continuità e vicinanza.

La differenza principale dei due provvedimenti risiede nella ratio che li definisce. La legge 90 obbliga infatti a fare le notifiche in ottica di monitoraggio dell’andamento, delle vulnerabilità e delle minacce per consentire all’autorità di intervenire e di creare una strategia. La NIS2, pur consentendo di raccogliere informazioni al CSIRT, si rivela invece molto più operativa: gap analysis, prevenzione, procedure, supply chain, formazione. La notifica di un incidente, inoltre, nel caso della NIS2, riguarda la continuità operativa, più che il tema del monitoraggio e analisi degli attacchi.

La Legge 90 non introduce degli obblighi rispetto alle misure, come avviene nella NIS2, ma prevede degli obblighi di monitoraggio e rilevazione per enti e PA che gestiscono dati di interesse comune. Per la reiterata inosservanza dell’obbligo di segnalazione il provvedimento prevede ispezioni e possibili sanzioni da 25 a 125.000 euro.

Ma come dicevamo la legge 90 non è una legge isolata – altri paesi si sono mossi in questa direzione – e si inserisce in un quadro europeo estremamente attivo rappresentando un’apripista in posizione preliminare rispetto all’applicazione della strategia della cybersicurezza del nostro Paese. È sintomatica di fatto di come l’attenzione dell’autorità non si focalizzi solo sul settore privato, ma stia spostando la lente dell’obiettivo anche sulla PA, spesso coinvolta in prima linea in attacchi informatici.