Il nuovo DDL Cybersicurezza
L’Italia, come molte altre nazioni, si trova sempre più sotto il fuoco degli attacchi informatici: nel solo mese di luglio 2024, sono stati segnalati ben 86 incidenti di sicurezza, con un preoccupante aumento dell’87% rispetto al mese precedente. Nello stesso periodo, l’Italia si è classificata al terzo posto a livello globale per numero di attacchi ransomware e ha conquistato il triste primato di Paese più colpito nell’Unione Europea (Fonte, link esterno).
In risposta a questa crescente minaccia, il governo italiano ha adottato un nuovo Disegno di Legge (DDL) sulla cybersicurezza. Pubblicato nella Gazzetta Ufficiale Serie Generale n. 153 del 2 luglio 2024 ed entrato in vigore il 17 luglio, questo provvedimento rappresenta un avanzamento significativo nella protezione delle infrastrutture critiche nazionali e nel rafforzamento delle misure contro i crimini informatici.
Una panoramica del DDL sulla cybersicurezza
Il nuovo DDL, identificato come Legge 90/2024, è stato concepito per affrontare le sfide sempre più complesse poste dagli attacchi informatici. Questo disegno di legge introduce un insieme di modifiche legislative che non solo mirano a proteggere le infrastrutture digitali essenziali, ma anche a rafforzare la resilienza operativa nel settore finanziario. La normativa richiede l’adeguamento delle pubbliche amministrazioni e delle imprese private alle nuove disposizioni, con l’obiettivo finale di garantire un ecosistema digitale più sicuro e resiliente in Italia.
Obiettivi strategici della Legge 90/2024
L’obiettivo principale della Legge 90/2024, come indicato nel suo titolo completo “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, è il rafforzamento della cybersicurezza nazionale in Italia. La legge mira a raggiungere questo obiettivo attraverso una serie di misure volte a:
- Proteggere le infrastrutture digitali critiche: la legge si concentra sulla protezione di infrastrutture critiche per il funzionamento del paese, come reti, sistemi informativi e servizi informatici essenziali per il mantenimento di attività civili, sociali o economiche fondamentali.
- Prevenire i reati informatici: il provvedimento introduce pene più severe per i reati informatici, nuovi strumenti di indagine e accertamento, e nuove figure di reato come l’estorsione cibernetica.
- Potenziare gli strumenti di prevenzione e contrasto: la Legge 90/2024 introduce, infatti, l’obbligo di notifica degli attacchi informatici per determinate organizzazioni e rafforza il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) nel coordinamento delle attività di difesa.
Novità DDL sicurezza
Il DDL sulla cybersicurezza introduce diverse novità importanti per rafforzare la sicurezza informatica nazionale in Italia. Ecco le principali:
- Inasprimento di sanzioni e pene per i reati informatici. Il DDL introduce pene più severe per reati come l’accesso abusivo a sistemi informatici, la diffusione di malware e l’estorsione informatica. Ad esempio, l’accesso abusivo a un sistema informatico può comportare una pena da 2 a 10 anni di reclusione. Il DDL prevede anche aggravanti per la truffa aggravata e la confisca obbligatoria dei beni utilizzati per commettere tali reati.
- Obbligo di notifica degli attacchi informatici. Le pubbliche amministrazioni, le aziende sanitarie locali e le società di trasporto pubblico dovranno notificare all’ACN gli attacchi informatici subiti entro 24 ore. La mancata segnalazione comporterà sanzioni amministrative significative.
- Nomina di un Chief Information Security Officer (CISO). Le pubbliche amministrazioni dovranno nominare un responsabile della cybersicurezza (CISO). con il compito di garantire una gestione proattiva della sicurezza informatica e coordinare e implementare le politiche di sicurezza.
- Introduzione di requisiti di sicurezza nei contratti pubblici. Il DDL introduce norme rigorose per i contratti pubblici relativi a beni e servizi informatici. La legge stabilisce che tali contratti devono soddisfare specifici requisiti di sicurezza, che saranno definiti tramite decreti della Presidenza del Consiglio su proposta dell’ACN. Questo garantisce che le soluzioni informatiche destinate al settore pubblico rispettino standard elevati di sicurezza, minimizzando le vulnerabilità e proteggendo in modo più efficace le infrastrutture digitali critiche del Paese.
- Rafforzamento del ruolo dell’ACN. L’Autorità nazionale per la cybersicurezza avrà un ruolo centrale nel coordinamento delle attività di monitoraggio e di difesa e nella promozione di una cultura della sicurezza informatica. L’agenzia raccoglierà e analizzerà i dati sugli attacchi informatici e promuoverà l’uso della crittografia come strumento di difesa.
- Introduzione di nuove figure di reato: Il DDL introduce nuove figure di reato, come l’estorsione cibernetica, e migliora gli strumenti di indagine e accertamento dei reati informatici.
- Maggiore attenzione alla resilienza delle infrastrutture critiche: Il DDL mira a rafforzare la resilienza delle infrastrutture critiche, come quelle del settore finanziario, sanitario ed energetico. Le aziende di questi settori dovranno adottare misure di sicurezza più rigorose per proteggere i dati degli utenti e prevenire attacchi informatici.
Il DDL cybersicurezza e la direttiva NIS 2
La Legge 90/2024 è un passo importante verso l’allineamento dell’Italia con la Direttiva NIS 2, pur non rappresentandone un recepimento completo. La direttiva NIS 2, infatti, introduce requisiti più stringenti per la sicurezza delle reti e dei sistemi informativi, oltre a potenziare la cooperazione tra gli Stati membri dell’UE. Il DDL italiano adotta questi standard, stabilendo presidi di sicurezza operativa digitale che assicurano una protezione uniforme e coordinata delle infrastrutture critiche.
> Leggi anche: “NIS 2: per chi è obbligatoria e quali sono i requisiti per le aziende”
Vediamo i punti di collegamento:
- Obiettivi Comuni: entrambe le normative mirano a rafforzare la resilienza informatica, soprattutto per quanto riguarda le infrastrutture critiche. Si mira a un livello di sicurezza più elevato e uniforme in tutta l’Unione Europea.
- Tempistica di Recepimento: la Direttiva NIS 2 deve essere recepita entro il 17 ottobre 2024. L’Italia, con la Legge 90/2024, ha già introdotto alcune misure che anticipano gli adempimenti della direttiva.
- Coordinamento Necessario per armonizzare la Legge 90/2024 con la Direttiva NIS 2, assicurando una compliance completa ed efficace. Questo richiederà un’attenta analisi delle differenze sostanziali tra i due testi, come ad esempio l’ambito di applicazione e i requisiti specifici.
Il nuovo DDL sulla cybersicurezza rappresenta solo l’inizio di un percorso che richiederà significativi adeguamenti futuri. Le aziende e le istituzioni pubbliche dovranno affrontare una serie di sfide per conformarsi alle nuove disposizioni, tra cui l’implementazione di tecnologie avanzate di sicurezza, la formazione continua del personale e l’adozione di procedure efficaci per la gestione degli incidenti informatici.
Inoltre, l’evoluzione costante delle minacce cibernetiche imporrà un aggiornamento periodico delle strategie di difesa e una maggiore collaborazione tra il settore pubblico e quello privato. La sfida principale sarà mantenere un elevato livello di sicurezza operativa in un panorama digitale in continua evoluzione, garantendo al contempo la protezione delle infrastrutture critiche e la resilienza delle reti. Il successo del DDL dipenderà dalla capacità di adattarsi rapidamente a nuove minacce e dalla volontà di investire nelle risorse necessarie per fronteggiarle.
Puoi leggere il testo completo del DDL cybersicurezza qui: https://www.gazzettaufficiale.it/eli/gu/2024/07/02/153/sg/pdf