Decreto legislativo - 18/05/2018 - n. 65 art. 1 - Oggetto e ambito di applicazione 1

Fattori chiave per conseguire un livello comune elevato di sicurezza

La Direttiva NIS si propone di raggiungere il predetto livello comune elevato di sicurezza tra gli Stati membri sulla base di diversi fattori chiave, tra i quali si annoverano i seguenti:

1. definizione di una strategia di cybersicurezza, per far fronte alle minacce informatiche;

2. collaborazione tra gli Stati membri a livello strategico ed operativo, grazie anche all'istituzione di un gruppo di cooperazione composto da rappresentanti degli Stati membri medesimi, della Commissione europea e dell'Agenzia europea per la sicurezza delle reti e dell'informazione o European Union Agency for Network and Information Security (c.d. «ENISA»), istituita con reg. (CE) 460/2004 e s.m.i. al fine di «assicurare un alto ed efficace livello di sicurezza delle reti e dell'informazione nell'ambito della Comunità [rectius, dell'Unione, n.d.r.] e di sviluppare una cultura in materia di sicurezza delle reti e dell'informazione a vantaggio dei cittadini, dei consumatori, delle imprese e delle organizzazioni del settore pubblico dell'Unione europea, contribuendo in tal modo al buon funzionamento del mercato interno» – cfr. art. 1, § 1, reg. (CE) 460/2004 e s.m.i. L'ENISA è stata dotata di un mandato limitato, sottoposto ad estensioni nel tempo, dapprima fino a marzo 2012 con il reg. (CE) 1007/2008, quindi fino a settembre 2013 con il reg. (CE) 580/2011 e, non da ultimo, fino a giugno 2020 con il reg. (UE) 526/2013, che ha, altresì, abrogato il reg. (CE) n. 460/2004. Il successivo reg. (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 «relativo all'ENISA, l'Agenzia dell'Unione europea per la cybersicurezza, e alla certificazione della cybersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cybersicurezza»)», noto come Cybersecurity Act, ha introdotto un mandato permanente per l'ENISA e ne ha rafforzato ruolo e compiti, come descritto successivamente;

3. istituzione di una rete di CSIRT («Computer Security Incident Response Team Network»), composta da rappresentanti di CSIRT degli Stati membri e del CERT-UE, quali squadre di intervento per la sicurezza informatica in caso di incidente;

4. prescrizione di obblighi di sicurezza e di notifica incidenti per gli operatori di servizi essenziali ed i fornitori di servizi digitali, al fine di «promuovere una cultura della gestione dei rischi e garantire la segnalazione degli incidenti più gravi» (considerando 4 Direttiva NIS). Come precisato dall'art. 1, paragrafo 3, della Direttiva NIS, tali obblighi non si applicano alle imprese che forniscono reti di comunicazione elettronica pubblica o servizi di comunicazione elettronica accessibili al pubblico, né alle persone fisiche o giuridiche che prestano uno o più servizi fiduciari, ossia servizi elettronici forniti normalmente dietro remunerazione (es. creazione, verifica e convalida di firme, sigilli o certificati elettronici), in quanto soggetti agli obblighi di cui all'art. 19 del reg. (UE) 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la dir. 1999/93/CE (cfr. artt. 13-bis e 13-ter dir. 2002/21/CE ed exartt. 16-bis e 16-ter d.lgs. n. 259/2003 «Codice delle comunicazioni elettroniche» di recepimento delle direttive 2002/21/CE «Direttiva quadro», 2002/19/CE «Direttiva accesso», 2002/20/CE «Direttiva autorizzazioni», 2002/22/CE «Direttiva servizio universale», 2002/58/CE «Direttiva relativa alla vita privata e alle comunicazioni elettroniche» poi abrogati dal d.lgs. n. 207/2021 di «Attuazione della direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell'11 dicembre 2018, che istituisce il Codice europeo delle comunicazioni elettroniche»). Si precisa che i riferimenti alle dir. 2002/20/CE e 2002/21/CE devono considerarsi rivolti alla dir. (UE) 2018/1972 (rifusione) e devono leggersi secondo la «tavola di concordanza» di cui all'Allegato XIII di quest'ultima direttiva;

5. designazione, a cura di ciascuno Stato membro, di CSIRT e di una o più autorità nazionali competenti in materia di sicurezza delle reti e dei sistemi informativi, nonché di un «punto di contatto unico» (può essere la stessa autorità competente) per il coordinamento, a livello nazionale, delle questioni relative alla sicurezza delle reti e dei sistemi informativi e per la collaborazione transfrontaliera con le autorità competenti negli altri Stati membri, oltreché con il gruppo di cooperazione e la rete di CSIRT di cui ai precedenti punti 2 e 3.

In tale contesto, un ruolo di primo piano è stato riservato alle aziende pubbliche e private, che gestiscono infrastrutture critiche (materiali ed immateriali) del sistema Paese, in quanto operatori di servizi essenziali (es. energia, trasporti, infrastrutture del mercato finanziario o infrastrutture digitali).

La normativa nazionale

A livello nazionale, nel gennaio del 2013 il Governo ha adottato il D.P.C.M. 24 gennaio 2013, «Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale», definendo l'architettura istituzionale «deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali» (art. 1 d.P.C.M. 24 gennaio 2013). Nel dicembre di quello stesso anno sono stati approvati il Quadro Strategico nazionale per la sicurezza dello spazio cibernetico ed il Piano Nazionale per la protezione cibernetica e la sicurezza informatica. Sono stati, così, individuati in modo organico i ruoli ed i compiti attribuiti a ciascun organo istituzionale attinenti alla difesa cibernetica, nonché i meccanismi e le procedure da seguire per la prevenzione e gestione dei crimini informatici, oltreché per il ripristino immediato della funzionalità dei sistemi in caso di crisi.

Successivamente, con d.P.C.M. 17 febbraio 2017, il Governo ha emanato una direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, che ha sostituito quella antecedente del 24 gennaio 2013.

Nelle more del recepimento della Direttiva NIS, la Presidenza del Consiglio dei ministri ha ritenuto necessario aggiornare, razionalizzare e semplificare l'architettura istituzionale designata a tutelare la sicurezza nazionale con riferimento alle infrastrutture critiche, materiali e immateriali, avendo particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali «indicando a tal fine i compiti affidati a ciascuna componente ed i meccanismi e le procedure da seguire ai fini della riduzione delle vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi» (art. 1 d.P.C.M. 17 febbraio 2017).

Tra i player dell'architettura nazionale, il d.P.C.M. 17 febbraio 2017 ha ricompreso oltre ai soggetti pubblici, anche gli operatori privati, che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, gli operatori di servizi essenziali, i fornitori di servizi digitali e quelli che gestiscono infrastrutture critiche di rilievo nazionale ed europeo, il cui funzionamento è condizionato dall'operatività di sistemi informatici e telematici (cfr. art. 11 d.P.C.M. 17 febbraio 2017).

Nel mese di marzo 2017 è stato, altresì, adottato il nuovo «Piano nazionale per la protezione cibernetica e la sicurezza informatica» (G.U. n. 125 del 31 maggio 2017), volto a sviluppare gli indirizzi operativi individuati dal Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico («QSN») del dicembre 2013, nel rispetto di quanto indicato dal Presidente del Consiglio dei ministri in qualità di organo di vertice dell'architettura nazionale cyber. Tale Piano nazionale ha sviluppato, non meramente aggiornato, gli indirizzi e le direttive fornite nel 2013, secondo le indicazioni presenti nella Direttiva NIS.

Se da un lato il QSN del 2013 – adottato dal Presidente del Consiglio, su proposta del Comitato Interministeriale per la Sicurezza della Repubblica («CISR») – identifica nel lungo periodo «i profili e le tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti d'interesse nazionale», definisce i ruoli ed i compiti dei vari soggetti, pubblici e privati, indica mezzi e procedure per accrescere la capacità di prevenzione e risposta dello Stato alle minacce cibernetiche, dall'altro il Piano nazionale del 2017 – adottato dal Presidente del Consiglio dei ministri, su deliberazione del CISR – definisce nel breve periodo gli obiettivi da conseguire e le linee di azione da porre in essere per realizzare il QSN (per maggiori approfondimenti si rinvia a quanto riportato a commento del successivo art. 6 del d.lgs. n. 65/2018).

Con l. n. 109/2021 «Conversione in legge, con modificazioni, del decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale» è stata attribuita in via esclusiva al Presidente del Consiglio dei ministri l'alta direzione e la responsabilità generale delle «politiche di cybersicurezza», anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico, nonché l'adozione della relativa strategia nazionale sentito il «Comitato interministeriale per la cybersicurezza» («CIC»). Tale Comitato è stato istituito presso la Presidenza del Consiglio dei ministri quale organismo con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza (cfr. artt. 2 e 4 del d.l. n. 82/2021, coordinato con la legge di conversione n. 109/2021).

In aggiunta a quanto sopra, l'Agenzia per l'Italia digitale – quale organismo deputato a dettare «indirizzi, regole tecniche e linee guida in materia di sicurezza informatica», ai sensi dell'art. 20, comma 3, lett. b) del d.l. n. 83/2012 convertito in l. n. 134/2012 recante «Misure urgenti per la crescita del Paese» – ha successivamente emesso la Circolare 17 marzo 2017, n. 1/2017, recante «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)» sostituita con Circolare 18 aprile 2017, n. 2/2017, in attuazione della Direttiva del Presidente del Consiglio dei ministri del 1° agosto 2015, che richiede l'adozione di «standard minimi di prevenzione e reazione ad eventi cibernetici», a fronte delle crescenti minacce per il Paese.

Tutte le Pubbliche Amministrazioni («P.A.») di cui all'art. 2, comma 2 del d.lgs. n. 82/2005 e s.m.i. «Codice dell'Amministrazione Digitale» hanno avuto tempo fino al 31 dicembre 2017 (art. 5 della Circolare n. 2/2017) per implementare gradualmente le misure di sicurezza ICT, seguendo i tre livelli di attuazione previsti dalla predetta circolare:

– Minimo, quale livello base al quale ogni P.A., indipendentemente dalla sua natura e dimensione, deve necessariamente essere conforme; è previsto, ad esempio, che le P.A. accedano sistematicamente a servizi di early warning per rimanere aggiornate sulle nuove vulnerabilità di sicurezza;

– Standard, ossia il livello di riferimento per la maggior parte delle P.A.;

– Alto, rappresenta l'optimum per tutte le PA più esposte a rischi ed il target di riferimento per tutte le altre amministrazioni;

ciò in considerazione del fatto che le P.A. sono divenute, nel tempo, un bersaglio di attacchi informatici condotti da gruppi organizzati, non solo di matrice criminale, con l'intento principale di esfiltrare informazioni.

Con l. n. 163/2017 il Governo è stato delegato ad adottare i decreti legislativi per l'attuazione delle direttive europee (c.d. «Legge di delegazione europea 2016-2017») e con il d.lgs. n. 65/2018 (G.U. Serie Generale n. 132 del 9 giugno 2018), in vigore dal 24 giugno 2018, è stata recepita la Direttiva NIS.

Tale decreto definisce le misure volte ad ottenere un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea (art. 1, comma 1, d.lgs. n. 65/2018).

In prima istanza sono state designate più autorità competenti NIS e sono state individuate nei seguenti Ministeri: Ministero dello Sviluppo Economico; Ministero delle Infrastrutture e dei Trasporti; Ministero dell'Economia e delle Finanze in collaborazione con Banca d'Italia e Consob; Ministero della Salute; Ministero dell'Ambiente e della Tutela del Territorio e del Mare. Per alcuni ambiti – come la salute e la fornitura e distribuzione di acqua potabile – rientravano tra le autorità competenti anche le Regioni e Province autonome di Trento e Bolzano (direttamente o per il tramite delle autorità territorialmente competenti) – cfr. artt. 3 lett. a) e 7, comma 1, d.lgs. n. 65/2018.

Spettava alle predette autorità competenti NIS identificare, con propri provvedimenti, gli operatori di servizi essenziali con sede nel territorio nazionale (art. 4 d.lgs. n. 65/2018).

Successivamente, il d.l. n. 82/2021 convertito in l. n. 109/2021 ha modificato il d.lgs. n. 65/2018 tenendo conto della nuova architettura nazionale di cybersicurezza delineata dal decreto-legge medesimo (cfr. art. 15). In tale circostanza, tra le modifiche apportate si segnala la previsione della designazione delle autorità di settore e di un'unica autorità nazionale competente NIS, individuata nell'Agenzia per la Cybersicurezza Nazionale o «ACN» – che riveste il ruolo anche di punto di contatto unico, in luogo del precedente Dipartimento delle Informazioni per la Sicurezza.

Si sottolinea il fatto che nella previgente formulazione della norma non era prevista una sola autorità nazionale competente NIS, ma tante autorità competenti NIS quanti erano i ministeri interessati e, in taluni casi, le regioni e province autonome, in base ai settori di competenza (energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, infrastrutture digitali, fornitura e distribuzione acqua potabile).

 Con il d.l. n. 82/2021 convertito in l. n. 109/2021, i singoli ministeri di seguito elencati sono stati designati quali autorità di settore e l'ACN è stata posta «sopra le autorità di settore» come «istanza di raccordo», con la responsabilità di attuare il decreto-legge e con la titolarità di poteri ispettivi e sanzionatori (A.C. 3161, 30):

- Ministero delle Imprese e del Made in Italy già Ministero dello Sviluppo Economico, per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonché per i servizi digitali;

- Ministero delle Infrastrutture e dei Trasporti per il settore trasporti, sottosettori aereo, ferroviario, per vie d'acqua e su strada;

- Ministero dell'Economia e delle Finanze per il settore bancario e per il settore infrastrutture dei mercati finanziari, in collaborazione con le autorità di vigilanza di settore, Banca d'Italia e Consob;

- Ministero della Salute per l'attività di assistenza sanitaria, come definita dall'art. 3, comma 1, lett. a), del d.lgs. n. 38/2014, prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso, le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità sanitarie territorialmente competenti, per le attività di assistenza prestata dagli operatori autorizzati e accreditati delle Regioni o dalle Province autonome negli ambiti territoriali di rispettiva competenza;

- Ministero dell'Ambiente e della Sicurezza Energetica già Ministero della Transizione Ecologica per il settore energia, sottosettori energia elettrica, gas e petrolio nonché per il settore fornitura e distribuzione di acqua potabile, quest’ultimo congiuntamente alle Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità territorialmente competenti).

Per quanto attiene, invece, la prescrizione di obblighi di sicurezza e di notifica incidenti per gli operatori di servizi essenziali ed i fornitori di servizi digitali, tra i fattori chiave della Direttiva NIS descritti precedentemente, come noto in data 21 novembre 2019 è entrata in vigore la l. n. 133/2019 di conversione in legge, con modificazioni, del d.l. n. 105/2019, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica» (pubblicata in G.U. Serie Generale n. 272 del 20 novembre 2019).

Trattasi di un decreto-legge approvato dal Consiglio dei ministri, nella seduta del 19 settembre 2019, in considerazione della «straordinaria necessità ed urgenza [omissis] di disporre, per le finalità di sicurezza nazionale, di un sistema di organi, procedure e misure, che consenta una efficace valutazione sotto il profilo tecnico della sicurezza degli apparati e dei prodotti, in linea con le più elevate ed aggiornate misure di sicurezza adottate a livello internazionale».

È stato, così, istituito un perimetro di sicurezza nazionale cibernetica con il fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale da cui «dipende l'esercizio di una funzione essenziale dello Stato [la difesa dello Stato, la continuità dell'operato del Governo e degli Organi costituzionali ad esempio, n.d.r.], ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale [come le attività strumentali all'esercizio di funzioni essenziali di Stato o le attività di ricerca, n.d.r.]» – cfr. art. 1, comma 1, del d.l. n. 105/2019, coordinato con la legge di conversione n. 133/2019 e s.m.i.

All'art. 1, comma 8, lett. b) del d.l. n. 105/2019, coordinato con la legge di conversione n. 133/2019 e s.m.i., è previsto espressamente che assolvendo l'obbligo di notifica degli incidenti, di cui all'art. 1, comma 3, lett. a) del d.l. n. 105/2019, aventi impatto su reti, sistemi informativi e sistemi informatici del perimetro di sicurezza nazionale cibernetica, gli operatori di servizi essenziali ed i fornitori di servizi digitali ottemperano all'obbligo di notifica degli incidenti, aventi un impatto rilevante sulla continuità dei servizi essenziali, prescritto dagli artt. 12 e 14 del d.lgs. n. 65/2018.

Ebbene, l'art. 1, comma 3, lett. a) del d.l. n. 105/2019, coordinato con la legge di conversione n. 133/2019 e s.m.i., prevede che i soggetti a perimetro sicurezza nazionale cibernetica siano tenuti a notificare «ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l'interruzione, anche parziali, ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici» (v. infra), al CSIRT Italia operante presso l'ACN in seguito alle novità introdotte dal d.l. n. 82/2021 convertito in l. n. 109/2021 (ex CSIRT Italiano, inizialmente istituito presso il DIS, per la cui costituzione e regole di funzionamento si rinvia a quanto riportato a commento del successivo art. 8 del d.lgs. n. 65/2018). Il CSIRT Italia trasmette, a sua volta, le notifiche al Nucleo per la cybersicurezza presso l'ACN (già Nucleo per la sicurezza cibernetica), per fornire supporto al Presidente del Consiglio in ambito cybersecurity, ai fini di prevenzione/preparazione ad eventuali situazioni di crisi e di attivazione di procedure di allertamento (cfr. artt. 8, comma 1, e 9, comma 1, lett. f) del d.l. n. 82/2021 convertito in l. n. 109/2021; d.P.C.M. 14 aprile 2021, n. 81).

Ai fini di ciò che qui rileva, in aggiunta a quanto sopra, l'art. 1, comma 8, del d.l. n. 105/2019, coordinato con la legge di conversione n. 133/2019 e s.m.i., come modificato dalla l. n. 109/2021, impone al CSIRT Italia di inoltrare le notifiche, ricevute dagli operatori di servizi essenziali e dai fornitori di servizi digitali, all'autorità nazionale competente NIS o ACN (art. 7 d.lgs. n. 65/2018).

Il mancato adempimento del prescritto obbligo di notifica degli incidenti di cui all'art. 1, comma 3, lettera a), è punito con la sanzione amministrativa pecuniaria da 250.000 a 1.500.000 euro, salvo il fatto costituisca reato – cfr. art. 1, comma 9, lett. b) del d.l. n. 105/2019, convertito con modificazioni in l. n. 133/2019 e s.m.i. Come noto l'ACN è l'autorità competente per lo svolgimento di funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni amministrative (anted.l. n. 82/2021 convertito in l. n. 109/2021, le autorità competenti erano la Presidenza del Consiglio dei ministri, con riferimento ai soggetti pubblici o ai prestatori di servizi fiduciari e l'ex Ministero dello sviluppo economico relativamente ai soggetti privati – cfr. art. 29 del d.lgs. n. 82/2005 e s.m.i. «Codice dell'amministrazione digitale»; art. 1, comma 12, del d.l. n. 105/2019, coordinato con la legge di conversione n. 133/2019 e s.m.i.).

L'art. 1, comma 2-bis del d.l. n. 105/2019 (introdotto dall'art. 27 rubricato «Sicurezza nazionale cibernetica» del d.l. n. 162/2019 convertito con modificazioni, in l. n. 8/2020) reca i criteri per l'individuazione dei soggetti a perimetro di sicurezza nazionale cibernetica, da intendersi quali amministrazioni pubbliche, enti e operatori pubblici e privati dalle cui reti, sistemi informativi e servizi informatici «dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivarne un pregiudizio per la sicurezza nazionale» (cfr. art. 1, comma 1, del d.l. n. 105/2019).

In particolare, l'elencazione dei soggetti a perimetro, individuati sulla base dei già menzionati criteri, è stata demandata ad un atto amministrativo, da adottarsi da parte del Presidente del Consiglio dei ministri, su proposta del Comitato interministeriale per la sicurezza della Repubblica (c.d. «CISR») entro aprile 2020. Ebbene, solo nell'ottobre 2020 è stato pubblicato in Gazzetta Ufficiale il d.P.C.M. n. 131/2020 rubricato «Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133», che definisce modalità e criteri procedurali di individuazione dei soggetti pubblici e privati inclusi nel predetto perimetro in ragione delle funzioni svolte e/o dei servizi erogati, nonché i criteri con cui questi predispongono e aggiornano l'elenco dei beni ICT di rispettiva pertinenza, comprensivo della relativa architettura e componentistica.

Il citato regolamento specifica all'art. 2, titolato «Soggetti che esercitano funzioni essenziali e servizi essenziali», due macrocategorie di soggetti rientranti nel perimetro di sicurezza nazionale cibernetica ed in particolare quanti:

– esercitano una funzione essenziale dello Stato, laddove l'ordinamento attribuisce loro compiti volti ad assicurare: la continuità dell'azione di Governo e degli Organi costituzionali;

– la continuità dell'azione di Governo e degli Organi costituzionali;

– la sicurezza interna ed esterna e la difesa dello Stato;

– le relazioni internazionali;

– la sicurezza e l'ordine pubblico;

– l'amministrazione della giustizia;

– la funzionalità dei sistemi economico, finanziario e dei trasporti.

– Prestano un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, quali:

– attività strumentali all'esercizio di funzioni essenziali dello Stato;

– attività necessarie per l'esercizio e il godimento dei diritti fondamentali;

– attività necessarie per la continuità degli approvvigionamenti e l'efficienza delle infrastrutture e della logistica;

– attività di ricerca e attività relative alle realtà produttive nel campo dell'alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell'autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.

Tale elenco, che in un momento iniziale (22 dicembre 2020) comprendeva circa n. 100 soggetti pubblici e privati, è stato in prima istanza aggiornato in data 15 giugno 2021 dal Presidente del Consiglio dei Ministri, a seguito della proposta formulata dal CISR, contemplando un allargamento dell'ambito di applicazione «ad ulteriori soggetti pubblici e privati che, complessivamente, esercitano, attraverso reti, sistemi informativi e servizi informatici, 223 funzioni essenziali dello Stato, ovvero erogano servizi essenziali per il mantenimento di attività civili, sociali o economiche strategiche. Allo stesso tempo, si è provveduto ad un affinamento di alcune funzioni e servizi essenziali dello Stato già ricompresi nel perimetro.»

I soggetti individuati sono stati tenuti a trasmettere all'ACN, entro i sei mesi successivi, l'elenco delle reti, dei sistemi informativi e dei servizi informatici impiegati per l'erogazione delle funzioni e dei servizi essenziali dello Stato inclusi nel perimetro, nonché ad aggiornarlo con cadenza almeno annuale (in una fase iniziale – prima delle modifiche previste dal d.l. n. 82/2021 coordinato con la legge di conversione n. 109/2021 – tale invio doveva avvenire verso la Presidenza del Consiglio dei ministri e l'ex Ministero dello sviluppo economico, secondo quanto statuito dall'art. 1, comma 2, lett. b) del d.l. n. 105/2019 come modificato dal d.l. n. 162/2019, coordinato con la legge di conversione n. 133/2019 e s.m.i.). Successivamente, gli elenchi sono stati inoltrati al Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche o «CNAIPIC», quale organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione, che si occupa di assicurare «i servizi di protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale individuate con decreto del Ministro dell'interno, operando mediante collegamenti telematici definiti con apposite convenzioni con i responsabili delle strutture interessate» (art. 7-bis del d.l. n. 144/2005, convertito, con modificazioni, in l. n. 155/2005 recante misure urgenti per il contrasto del terrorismo internazionale, c.d. «Decreto Pisanu»).

Per motivi di sicurezza nazionale, gli elenchi non sono stati e non sono sottoposti a pubblicazione né a diritto di accesso, così come avvenuto per quello degli operatori di servizi essenziali e dei fornitori di servizi digitali (si rinvia a quanto riportato a commento del successivo art. 4 del d.lgs. n. 65/2018).

Si evidenzia che gli operatori di servizi essenziali ed i fornitori di servizi digitali, inclusi nel perimetro di sicurezza nazionale cibernetica, hanno l'obbligo di osservare le misure di sicurezza previste dal d.lgs. n. 65/2018 di attuazione della Direttiva NIS, purché «di livello almeno equivalente» a quelle stabilite per tutti gli altri soggetti (inseriti in elenco) con decreto del Presidente del Consiglio dei ministri, su proposta del CISR – cfr. art. 1, comma 3, lett. b) e comma 8, lett. a), d.l. n. 105/2019, coordinato con la legge di conversione n. 133/2019 e s.m.i. Si tratta, nello specifico di misure tecnico-organizzative relative a: struttura organizzativa preposta alla gestione della sicurezza; security policy e gestione del rischio; prevenzione e gestione degli incidenti; data protection; integrità delle reti e dei sistemi informativi; gestione/continuità operativa; monitoring, test, controllo; formazione e awareness; affidamento di forniture di beni, sistemi e servizi ICT. L'inosservanza delle predette misure, volte a garantire elevati livelli di sicurezza, è punita con la sanzione amministrativa pecuniaria da 250.000 a 1.500.000 euro, salvo il fatto costituisca reato – cfr. art. 1, comma 9, lett. c) del d.l. n. 105/2019, convertito con modificazioni in l. n. 133/2019 e s.m.i.

In mancanza della predetta equivalenza, gli operatori di servizi essenziali ed i fornitori di servizi digitali sono tenuti ad applicare delle misure di sicurezza aggiuntive, da definirsi a cura dell'ACN, in sostituzione di: a) Presidenza del Consiglio dei ministri, nel caso di soggetti pubblici e di prestatori di servizi fiduciari (es. «Posta Elettronica Certificata») o di digital identity, nonché di conservatori di documenti informatici (art. 29 del d.lgs. 7 marzo 2005 n. 82 e s.m.i. «Codice dell'amministrazione digitale»); b) ex Ministero dello sviluppo economico per i soggetti privati, con il supporto anche del Centro di Valutazione e Certificazione Nazionale o «CVCN» (per maggiori dettagli sul CVCN si rinvia a quanto riportato a commento dell'art. 4 del d.lgs. n. 65/2018). L'art. 16, comma 6, lett. a), del d.l. n. 82/2021 convertito in l. n. 109/2021 ha previsto, infatti, che ogni riferimento alla Presidenza del Consiglio dei ministri ed all'ex Ministero dello sviluppo economico sono da intendersi riferiti all'Agenzia per la Cybersicurezza Nazionale. Con successivo d.P.C.M. 15 giugno 2022 sono stati definiti i termini e le modalità del trasferimento di funzioni, beni strumentali e documentazione dall'ex Ministero dello sviluppo economico all'ACN.

A quanto fin qui detto si aggiunge che, con d.P.C.M. 14 aprile 2021, n. 81 è stato poi adottato il «Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza» (G.U. Serie Generale n. 138 dell'11 giugno 2021). È stata, così, fornita la tassonomia degli incidenti (identificativo, categoria, descrizione), nonché la tempistica per una risposta efficace ed una lista delle misure di sicurezza articolate in funzioni/fasi del processo di gestione della cybersecurity (identificazione, protezione, rilevamento, risposta, recupero), con relative categorie (ripartizione di una funzione in gruppi di cybersecurity outcome) e sottocategorie (ulteriore suddivisione di una categoria in specifici outcome di attività tecniche e/o gestionali).

Le funzioni core del processo di gestione della cybersecurity, riportate nell'Allegato B del d.P.C.M. n. 81/2021 «Misure di Sicurezza», sono meglio esplicitate nel Framework nazionale per la cybersecurity e la data protection e da quest'ultimo ereditate dal Framework for Improving Critical Infrastructure Cybersecurity del NIST; di seguito viene fornita una sintetica descrizione:

– Identificazione («Identify»): sviluppo della comprensione del contesto organizzativo per la gestione del cybersecurity risk che riguarda sistemi, persone, risorse, dati e capacità, al fine di definire priorità ed effort, coerentemente con la propria strategia di gestione del rischio ed esigenze interne. Le categorie che vi rientrano sono: Asset Management, Business Environment, Governance, Risk Assessment, Risk Management Strategy, Supply Chain Risk Management, Data Management (quest'ultima introdotta dal Framework Nazionale).

– Protezione («Protect»): sviluppo ed implementazione di misure di sicurezza adeguate, al fine di limitare o contenere l'impatto di un potenziale evento di cybersecurity. Le categorie di riferimento sono: Identity Management, Authentication and Access Control, Awareness and Training, Data Security, Information Protection Processes and Procedures, Maintenance, Protective Technology.

– Rilevamento («Detect»): sviluppo ed implementazione di attività opportune per la rilevazione degli eventi di cybersecurity. Le annesse categorie sono: Anomalies and Events; Security Continuous Monitoring; and Detection Processes.

– Risposta («Respond»): sviluppo ed implementazione di attività opportune per contrastare un incidente di cybersecurity rilevato e contenerne l'impatto. Le corrispondenti categorie sono: Response Planning, Communications, Analysis, Mitigation, Improvements.

– Recupero («Recover»): sviluppo ed implementazione delle attività opportune per mantenere piani di resilienza e ripristinare la normale operatività o i servizi compromessi a causa di un incidente di cybersecurity così da ridurne l'impatto. Le categorie di appartenenza sono: Recovery Planning, Improvements, Communications.

A decorrere dal 1° gennaio 2022, i soggetti inclusi a perimetro sono, pertanto, tenuti a procedere alla notifica degli incidenti al CISRT Italia secondo le modalità di cui al già menzionato regolamento; spetta poi al CSIRT inoltrarle, tempestivamente, all'ACN anche nel caso si tratti di soggetti identificati quali operatori di servizi essenziali o fornitori di servizi digitali; successivamente, tali notifiche sono trasmesse al CNAIPIC (cfr. artt. 3 e 5 del d.P.C.M. n. 81/2021).

Dal momento in cui si è «venuti a conoscenza, a seguito delle evidenze ottenute, anche mediante le attività di monitoraggio, test e controllo», i termini per la notifica sono di sei ore qualora si tratti di un incidente individuato nella tabella 1 dell'allegato A (es. acquisizione credenziali valide per l'autenticazione a risorse di rete) e di un'ora, qualora si tratti di un incidente individuato nella tabella 2 del medesimo allegato (es. attacchi di tipo Denial of Service o Distributed Denial of Service).

Si fa, infine, presente che ai predetti obblighi si è aggiunto anche quello relativo alla notifica degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza, non inclusi nel Perimetro di Sicurezza Cibernetica (diversi dai beni ICT, quali insieme di reti, sistemi informativi e servizi informatici o parte di essi), da eseguirsi entro settantadue ore a cura dei soggetti, pubblici o privati, operanti nei settori di attività di cui al d.P.C.M. n. 131/2020 ossia: interno, difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, enti previdenziali/lavoro, tecnologie critiche tra cui l'intelligenza artificiale, la robotica, i semiconduttori, la cibersicurezza, le tecnologie aerospaziali, di difesa, di stoccaggio dell'energia, quantistica e nucleare, nonché le nanotecnologie e le biotecnologie come previsto dall'art. 4, paragrafo 1, lett. b), del reg. (UE) 2019/452. In tal senso, infatti, il successivo d.l. n. 115/2022 coordinato con la legge di conversione n. 142/2022, recante «Misure urgenti in materia di energia, emergenza idrica, politiche sociali e industriali» (G.U. Serie Generale n. 221 del 22 settembre 2022), ha introdotto il comma 3-bis all'art. 1 del d.l. n. 105/2019, convertito con modificazioni dalla l. n. 133/2019 e s.m.i., al fine di innalzare il livello della sicurezza nazionale nello spazio cibernetico e disporre di «un quadro tecnico più aggiornato e completo sugli attacchi e incidenti» ai danni delle reti, sistemi informativi e servizi informatici dei soggetti istituzionali e di interesse nazionale rientranti nel perimetro (cfr. Senato della Repubblica – Camera dei Deputati, Misure urgenti in materia di energia, emergenza idrica, politiche sociali e industriali, 256 ss.). È fatta eccezione per gli incidenti aventi impatto sulle reti, sui sistemi informativi e sui servizi informatici del Ministero della difesa, per i quali viene fatta salva la disciplina vigente (cfr. art. 528, comma 1, lettera d), d.lgs. n. 66/2010 «Codice dell'ordinamento militare»).

Per la decorrenza del termine di settantadue ore di cui al predetto comma 3-bis e per le modalità di notifica si applicano, in quanto compatibili, le disposizioni del regolamento in materia di notifiche degli incidenti: notifica al CSIRT Italia tramite gli appositi canali – anche nei casi in cui uno degli incidenti si verifichi a carico di un sistema informativo o un servizio informatico, o parti di essi, che «condivide con un bene ICT funzioni di sicurezza, risorse di calcolo o memoria, ovvero software di base, quali sistemi operativi e di virtualizzazione»; decorrenza della notifica dal momento in cui si viene a conoscenza dell'incidente (cfr. art. 3, comma 4, d.P.C.M. n. 81/2021). In tema di notifica volontaria si rinvia, altresì, alle disposizioni di cui all'art. 4, commi 2 e 4, del medesimo regolamento. È compito dell'ACN, con determinazioni tecniche del direttore generale, indicare le categorie di incidenti da notificare ai sensi del comma 3-bis e dettare specifiche modalità di notifica – cfr. art. 37-quater d.l. n. 115/2022, coordinato con la legge di conversione n. 142/2022.

Nel mese di febbraio 2024 è stato presentato il disegno di legge «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici» (A.C. 1717) per dare una risposta sostanziale all'aumento delle minacce da attacchi cibernetici e una risposta politica alle vicende in materia di «accessi abusivi e di indebita diffusione di informazioni confidenziali e di segnalazioni di operazioni sospette (SOS) [su esponenti politici, n.d.r.]» (cfr. Camera dei Deputati, Esame del disegno di legge AC 1717 in materia di rafforzamento della cybersicurezza nazionale e di reati informatici, 3 ss.). Tali vicende hanno sollevato il tema della tutela della riservatezza delle informazioni trattate dalle autorità preposte alla prevenzione e contrasto dei fenomeni di riciclaggio e di finanziamento del terrorismo (cd. «caso dossieraggi»).

La prima parte del disegno di legge «anticipa» la normativa di recepimento della direttiva (UE) 2022/2555 («NIS 2») all'interno dell'ordinamento italiano, con l'obiettivo di «sviluppare  capacità  nazionali di  prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici»: si individua così un extra perimetro, che comprende non solo i soggetti destinatari delle misure previste dalla direttiva (UE) 2016/1148 («NIS») ed i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, ma anche altre/i organizzazioni/enti esplicitamente elencate/i quali: P.A. centrali (individuate nell'elenco pubblicato annualmente dall'ISTAT ai sensi dell'art. 1, comma 3, della l. 31 dicembre 2009, n. 196 «Legge di contabilità e finanza pubblica»); regioni e province autonome di Trento e di Bolzano; comuni sopra i 100.000 abitanti e comunque ai comuni capoluoghi di regione; società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti; società di trasporto extraurbano operanti nell'ambito delle città metropolitane; aziende sanitarie locali; società in-house degli enti fin qui richiamati che forniscono i servizi(ai sensi dell'art. 16 del d.lgs. 19 agosto 2016, n. 175«Testo unico in materia di società a partecipazione pubblica», si tratta di società sulle quali un'amministrazione attua un controllo analogo a quello esercitato sui propri servizi o più amministrazioni esercitano il controllo analogo congiunto, nelle quali la partecipazione di capitali privati avviene solo se prescritta da norme di legge e con modalità tali da non determinare poteri di controllo o di veto, nonché con oltre l'80% del fatturato effettuato nello svolgimento dei compiti ad esse affidati dall'ente pubblico o dagli enti pubblici soci).

 

 

 In data 21 giugno 2024, il Senato della Repubblica Italiana ha approvato il predetto disegno di legge «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici» (A.S. 1143) - che aveva già ottenuto il via libera della Camera dei Deputati il 15 maggio u.s. (cfr. Senato della Repubblica – Camera dei Deputati, Dossier XIX Legislatura n. 257/2) – divenuto poi l. 28 giugno 2024 n. 90 (G.U. Serie Generale n.153 del 2 luglio 2024).

Con l’applicazione delle nuove norme (dal 17 luglio 2024 per pubbliche amministrazioni centrali, regioni, province autonome di Trento e di Bolzano e città metropolitane; dal 13 gennaio 2025 per gli altri soggetti, ossia a decorrere dal centottantesimo giorno successivo all’entrata in vigore della legge, ex art. 1 comma 3) diviene, così, obbligatoria la segnalazione degli incidenti indicati nella tassonomia del «Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza» adottato con D.P.C.M. 14 aprile 2021, n. 81 e cioè «ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l'interruzione, anche parziali, ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici» (art. 1, comma 1, lett. h), D.P.C.M. n. 81/2021). Tale regolamento fornisce la tassonomia degli incidenti (identificativo, categoria, descrizione), nonché la tempistica per una risposta efficace ed una lista di misure di sicurezza. La prima segnalazione deve avvenire senza ritardo e comunque entro il termine massimo di ventiquattro ore dal momento in cui se ne è a conoscenza, mentre entro settantadue ore dalla medesima circostanza deve seguire la notifica completa di tutti gli elementi informativi disponibili; a tal fine devono essere impiegate le procedure disponibili sul sito internet dell’ACN. Trattasi del medesimo regolamento che, a decorrere dal 1° gennaio 2022, i soggetti inclusi nel PSNC sono tenuti a rispettare per la notifica degli incidenti al CISRT Italia.

Si evidenzia, altresì, che ai sensi dell’art. 2 della l. n. 90/2024 l'ACN può segnalare ai predetti soggetti - così come agli OSE, FSD, soggetti inclusi nel PSNC, operatori Tel.Co. che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico ai sensi dell'art. 40, comma 3, del d.Lgs. n. 259/2003 - specifiche vulnerabilità alle quali risultano potenzialmente esposti e che è dovere dei destinatari di tali segnalazioni adottare gli interventi risolutivi indicati dalla stessa ACN tempestivamente, e comunque non oltre 15 giorni dalla comunicazione. Inoltre, l’art. 3 della l. n. 90/2024 è intervenuto sull’art. 1 d.l. n. 105/2019, modificando il comma 3-bis, e nello specifico:

- da un lato ha esteso, in capo ai soggetti inclusi nel perimetro di sicurezza nazionale cibernetica (P.A., enti e operatori pubblici e privati che svolgono funzioni istituzionali o essenziali per gli interessi dello Stato, individuati con apposito atto amministrativo, adottato dal Presidente del Consiglio dei ministri, su proposta del Comitato interministeriale per la cybersicurezza), l’obbligo di segnalazione (in aggiunta a quello della notifica), senza ritardo e comunque al massimo entro 24 ore, agli incidenti su reti, sistemi informativi e servizi informatici, che si trovano al di fuori del perimetro (diversi quindi dai beni ICT), ma che sono di pertinenza di soggetti che vi rientrano; ciò  con finalità di raccordo del d.l. n. 105/2019;

- dall’altro lato ha previsto, per i casi di reiterata inosservanza dell’obbligo di notifica, la sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000.

Si precisa, infine, che le disposizioni di notifica di cui all’art. 1 della l. n. 90/2024 non si applicano ai soggetti indicati espressamente al comma 7, lett. a) e b), ossia:

- agli OSE né agli FSD, di cui all’art. 3, comma 1, lettere g) e i), del d.lgs. n. 65/2018;

- alle amministrazioni pubbliche, agli enti ed agli operatori pubblici e privati, aventi una sede nel territorio nazionale, inclusi nel perimetro di sicurezza nazionale cibernetica di cui all’art. 1, comma 2-bis, del d.l. n. 105/2019, convertito, con modificazioni, dalla l. n. 133/2019;

- agli organi dello Stato preposti alla prevenzione, all’accertamento e alla repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato e agli organismi di informazione per la sicurezza di cui agli artt. 4, 6 e 7 della l. n. 124/2007.

Agenzia per la Cybersicurezza Nazionale

L'Autorità nazionale per la cybersicurezza è stata istituita con il d.l. n. 82/2021 coordinato con la legge di conversione n. 109/2021 recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la Cybersicurezza Nazionale» (G.U. n. 185 del 4 agosto 2021), al fine di salvaguardare gli interessi nazionali, con personalità giuridica di diritto pubblico, dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria.

Tra le funzioni attribuite all'Agenzia per la Cybersicurezza Nazionale o «ACN» rientrano in particolare:

– predisporre la strategia nazionale di cybersicurezza, volta a salvaguardare la sicurezza delle reti e dei sistemi di interesse nazionale e rendere il Paese più sicuro e resiliente. A tal proposito, con decreto del Presidente del Consiglio dei Ministri, in data 17 maggio 2022 è stata adottata la strategia 2022-2026, comprensiva del relativo «Piano di implementazione strategia nazionale di cybersicurezza 2022-2026», ai sensi dell'art. 2, comma 1, lett. b), del d.l. n. 82/2021, convertito con modificazioni dalla l. n. 109/2021. Attraverso i due documenti, il Governo mira ad affrontare diverse sfide quali: assicurare una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo; anticipare l'evoluzione della minaccia cyber; contrastare la disinformazione online; gestire le crisi cibernetiche; conseguire l'autonomia strategica nazionale ed europea nel settore del digitale;

– essere il punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi per le finalità di cui al d.lgs. n. 65/2018, in sostituzione del Dipartimento delle informazioni per la sicurezza o «DIS», nonché accertare le violazioni ed irrogare le sanzioni amministrative previste dal citato decreto legislativo;

– assumere tutte le funzioni in materia di cybersicurezza già attribuite all'ex Ministero dello sviluppo economico, comprese quelle afferenti il perimetro di sicurezza nazionale cibernetica (dunque, anche le attività attribuite al Centro di Valutazione e Certificazione Nazionale, le attività di ispezione, di accertamento delle violazioni e di irrogazione delle sanzioni amministrative), nonché quelle relative alla sicurezza ed all'integrità delle comunicazioni elettroniche (exartt. 16-bis e 16-ter del d.lgs. n. 259/2003 e s.m.i.) ed alla sicurezza delle reti e dei sistemi informativi di cui al d.lgs. n. 65/2018; sono fatte salve le funzioni di individuazione dei soggetti a perimetro per i settori di attività di cui all'art. 3 del «Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'art. 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133» adottato con d.P.C.M. n. 131/2020, come riportato a commento del successivo art. 4 del d.lgs. n. 65/2018. L'ACN è, quindi, anche Autorità nazionale di certificazione della cybersicurezza;

– acquisire tutte le funzioni in materia di perimetro di sicurezza nazionale cibernetica attribuite alla Presidenza del Consiglio dei Ministri, di cui al d.l. n. 105/2019 convertito con modificazioni dalla l. n. 133/2019 e s.m.i., e quelle già assegnate all'Agenzia per l'Italia Digitale, tra cui l'attuazione del QSN e del Piano nazionale per la sicurezza cibernetica/in formatica, oltreché la determinazione dei livelli di sicurezza delle infrastrutture digitali per la pubblica amministrazione;

 

– promuovere l’uso della crittografia anche a vantaggio della tecnologia blockchain, sviluppare e diffondere standard, linee guida e raccomandazioni, al fine di rafforzare la cybersecurity dei sistemi informatici, valutare la sicurezza dei sistemi crittografici, organizzare e gestire attività di divulgazione finalizzate a promuovere l'utilizzo della crittografia come tool di cybersecurity; favorire, anche per il potenziamento dell'autonomia industriale e tecnologica dell'Italia, la cooperazione con università e centri di ricerca per lo sviluppo di nuovi algoritmi proprietari, la studio e il raggiungimento di nuove capacità crittografiche nazionali (cfr. art. 10 della l. 90/2024). In tale senso, nel dicembre 2023 sono state pubblicate le «Linee Guida Funzioni Crittografiche», suddivide in documenti che approfondiscono specificamente differenti tematiche e ambiti di applicazione sull’utilizzo della crittografia: «Funzioni di Hash», «Codici di autenticazione di messaggi (MAC)» e «Conservazione delle password». E’ istituito, altresì, presso l’ACN il Centro nazionale di crittografia quale centro di competenza nazionale per tutti gli aspetti di crittografia «in ambito non classificato», ferme restando le competenze dell’Ufficio centrale per la segretezza («UCSe»), di cui all’art. 9 della l. 3 agosto 2007, n. 124 e s.m.i., nonché le competenze del Dipartimento dell'informazione per la sicurezza («DIS»), dell'Agenzia informazioni e sicurezza esterna («AISE») nonché dell'Agenzia informazioni e sicurezza interna («AISI») di cui agli artt. 4, 6 e 7 della l. n. 124/2007;

– occuparsi della qualificazione dei servizi cloud per la pubblica amministrazione (cfr. art. 33-septies, comma 4, del d.l. n. 179/2012, convertito con modificazioni dalla l. n. 221/2012). In tal senso, l'ACN ha provveduto a definire: un apposito modello per la predisposizione dell'elenco e la classificazione dei dati digitali e dei servizi digitali della PA, basato sulla compilazione di un questionario (da aggiornarsi su base periodica, almeno ogni due anni) elaborato dall'ACN medesima, d'intesa con il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri, al fine di favorire le pubbliche amministrazioni nell'analisi guidata e semplificata dell'impatto dell'eventuale compromissione dei propri dati e dei servizi sotto il profilo della confidenzialità, integrità e disponibilità; i requisiti per la qualificazione dei servizi cloud per la P.A. Sono stati, altresì, aggiornati i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la Pubblica Amministrazione che possono trattare i dati e i servizi digitali classificati quali ordinari, critici e strategici, nonché attualizzate le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud, per la P.A., che possono trattare i dati e i servizi digitali classificati quali ordinari, critici e strategici (cfr. determinazioni 306/2022 e 307/2022). Per la procedura di qualificazione dei predetti servizi cloud si rinvia al Decreto direttoriale prot. n. 29 del 02/01/2023, che prevedeva un regime transitorio fino al 31 luglio 2023 (termine entro cui saranno adottate le nuove modalità e procedure del regime ordinario), al fine di garantire la continuità dei servizi qualificati già in uso alla pubblica amministrazione e favorire una progressiva armonizzazione della normativa nazionale. Diversamente, per la transizione di infrastrutture e servizi digitali si deve far riferimento al Decreto direttoriale prot. n. 5489 del 08/02/2023;

– sviluppare le capacità nazionali per la prevenzione e gestione degli incidenti di sicurezza informatica e degli attacchi informatici, anche attraverso il CSIRT Italia trasferito dal DIS all'ACN medesima (cfr. art. 8 del d.lgs. n. 65/2018). Presso l'Agenzia è stato, altresì, costituito, in via permanente, il Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei Ministri in materia di cybersecurity, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l'attivazione delle procedure di allertamento. Alla luce di quanto sopra, sono state così centralizzate in un'unica Autorità le funzioni in materia di cybersecurity, fatta eccezione per quelle di cyber-intelligence che restano in carico agli organismi di informazione per la sicurezza, di cyber-defense del Paese in ambito Ministero della difesa, di prevenzione e repressione dei reati a cura delle Forze di polizia;

– provvedere alla raccolta, elaborazione e classificazione dei dati relativi alle notifiche di incidenti informatici, ricevute dai soggetti a ciò tenuti dalle norme vigenti. Di tali dati sugli incidenti informatici viene assicurata pubblicità nell’ambito della relazione trasmessa dal Presidente del Consiglio entro il 30 aprile di ogni anno al Parlamento sull'attività svolta dall’ACN nell’anno precedente, in materia di cybersicurezza nazionale come prevista dall’art. 14, comma 1, d.l. n. 82/2021 convertito, con modificazioni, dalla l.n. 109/2021 (cfr. art. 4, l. n. 90/2024);

– promuovere la formazione nel campo della cybersicurezza e le iniziative di partenariato pubblico-privato;

– collaborare con il «Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca» in quanto Centro nazionale di coordinamento per lo Stato italiano, al fine di contribuire a garantire la sicurezza dell'infrastruttura digitale.

A ciò si accompagna «il più ampio ruolo di coordinamento e stretta sinergia con tutte le altre amministrazioni coinvolte ratione materiae (intelligence, difesa, Forze di polizia, strutture preposte alla protezione fisica delle infrastrutture critiche, ex Ministero dello sviluppo economico ecc.), in modo da assicurare iniziative coerenti, efficientamento della spesa, capacità di fornire un chiaro e aggiornato quadro situazionale all'Autorità politica, nonché un'interfaccia unica a livello nazionale, europeo e internazionale, assicurando le relative posture nazionali unitarie» (A.C. 3161, 3).

In tale contesto, dunque, si è proceduto anche a riconsiderare la complessiva architettura nazionale, che a partire dal 2012 aveva visto l'attribuzione agli organismi di intelligence (nello specifico al DIS) di compiti e funzioni di difesa della sicurezza nazionale. Con riferimento a ciò, il d.l. n. 82/2021 coordinato con la legge di conversione n. 109/2021 ha ridefinito, nel mutato contesto istituzionale, l'architettura di sicurezza cibernetica di cui al d.P.C.M. 17 febbraio 2017.

Si precisa che l'alta direzione dell'ACN è affidata alla Presidenza del Consiglio dei Ministri alla quale ultima compete, altresì, il compito di adottare la strategia nazionale di cybersicurezza previo parere del Comitato Interministeriale per la Cybersicurezza («CIC»), in sostituzione del Comitato Interministeriale per la Sicurezza della Repubblica («CISR»), e di trasmetterla alla Commissione europea entro tre mesi dalla sua adozione.

Infine, per quanto attiene la copertura finanziaria, la dotazione del capitolo di bilancio dedicato all'ACN passa da 2.000.000 euro per il 2021 ai 122.000.000 euro a decorrere dall'anno 2027. Secondo quanto previsto dall'art. 18 del d.l. n. 82/2021 coordinato con la legge di conversione n. 109/2021, a tali oneri si provvede mediante corrispondente riduzione del Fondo per far fronte ad esigenze indifferibili, istituito presso il Ministero dell'economia e delle finanze ai sensi dell'art. 1, comma 200, della l. n. 190/2014.

Infrastrutture critiche

Il decreto di attuazione della Direttiva NIS ha previsto espressamente che le proprie disposizioni non impattassero la normativa vigente, riguardante le infrastrutture critiche europee o gli attacchi contro i sistemi di informazione, in termini di definizione dei reati e relative sanzioni penali.

L'art. 1, comma 4, d.lgs. n. 65/2018 statuisce che il decreto si applica fatto salvo quanto previsto dal d.lgs. n. 61/2011 di attuazione della dir. 2008/114/CE, recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione e dalla dir. 2013/40/UE relativa agli attacchi contro i sistemi di informazione, che sostituisce integralmente la Decisione quadro 2005/222/GAI del Consiglio dell'Unione europea.

Ebbene, con la Decisione quadro 2005/222/GAI del 24 febbraio 2005, gli Stati membri dell'Unione europea hanno voluto armonizzare la propria normativa in materia penale e garantire un'efficace cooperazione transnazionale giudiziaria e di polizia per far fronte alle sempre più incombenti minacce, a livello mondiale, di attacchi a danno di sistemi di informazione, facenti parte di infrastrutture critiche, ad opera di terroristi o della criminalità organizzata, seguendo la scia della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001 e ratificata in Italia con l. n. 48/2008 (per un maggiore approfondimento si rinvia a quanto riportato a commento dell'art. 132 ss. del d.lgs. n. 196/2003 e s.m.i.). Tutto ciò tramite un «approccio comune nei confronti degli elementi costitutivi dei reati mediante la definizione di reati comuni di accesso illecito ad un sistema di informazione, di interferenza illecita per quanto riguarda i sistemi e di interferenza illecita per quanto riguarda i dati», e sanzioni penali severe, effettive, proporzionate e dissuasive dei comportamenti illeciti (considerando 2, 8, 11, 17 della decisione quadro 2005/222/GAI).

Ciascuno Stato membro si è fatto carico, così, di recepire nella legislazione nazionale, le prescrizioni della decisione quadro per contrastare gli attacchi contro i sistemi di informazione e di adottare le misure necessarie affinché le condotte di seguito elencate siano punite come reato, almeno per i casi gravi: accesso illecito ad un sistema di informazione o parte di esso; interferenza illecita relativamente ai sistemi o ai dati (es. interruzione del funzionamento di un sistema di informazione; danneggiamento, cancellazione, alterazione, soppressione di dati informatici in un sistema di informazione); istigazione, favoreggiamento, complicità e tentativo di commettere tali illeciti (artt. 2, 3, 4, 5 e 12 della decisione quadro 2005/222/GAI). È stata, inoltre, prescritta l'introduzione della responsabilità (civile, penale, amministrativa) delle persone giuridiche per i predetti reati, commessi a loro beneficio dai cosiddetti soggetti apicali.

La decisione quadro 2005/222/GAI è stata sostituita integralmente dalla dir. 2013/40/UE «finalizzata ad avvicinare le diverse normative nazionali in materia, sia sul piano delle indagini sia sul piano del trattamento penale per rendere più incisiva la repressione dei fenomeni connessi alla criminalità informatica», che ha aggiornato e rafforzato la strategia di contrasto agli attacchi informatici precedentemente definita (cfr. Senato della Repubblica, Doc. XVIII n. 62 del 3 novembre 2010).

Con la dir. 2013/40/UE sono state stabilite le norme minime per definire i reati e le relative sanzioni nel settore degli attacchi contro i sistemi di informazione (lasciando agli Stati il compito di fissare le pene), al fine di avvicinare le diverse legislazioni nazionali in materia, sia sul fronte delle indagini che del trattamento penale, nonché rendere maggiormente incisiva la repressione dei fenomeni di criminalità informatica.

Il d.lgs. n. 61/2011 di attuazione della dir. 2008/114/CE recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione (entrato in vigore il 5 maggio 2011), ha definito «le procedure per l'individuazione e la designazione di Infrastrutture critiche europee (ICE), nei settori dell'energia e dei trasporti, nonché le modalità di valutazione della sicurezza di tali infrastrutture e le relative prescrizioni minime di protezione dalle minacce di origine umana, accidentale e volontaria, tecnologica e dalle catastrofi naturali» (art. 1, comma 1, d.lgs. n. 61/2011).

Per infrastruttura critica deve intendersi una «infrastruttura, ubicata in uno Stato membro dell'Unione europea, che è essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale della popolazione ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo in quello Stato, a causa dell'impossibilità di mantenere tali funzioni» – cfr. art. 2, lett. b) d.lgs. n. 61/2011. Laddove il danneggiamento o la distruzione abbia un significativo impatto su almeno due Stati membri allora si parla di un'infrastruttura critica europea; la rilevanza di tale impatto è valutata in termini intersettoriali» ossia inerente due o più settori o sotto-settori (es. elettricità, petrolio, gas, trasporto stradale o ferroviario). Il compito di individuare e designare le infrastrutture critiche europee è stato affidato al Nucleo Interministeriale Situazione e Pianificazione («NISP»), istituito presso la Presidenza del Consiglio dei ministri con d.P.C.M. 5 maggio 2010 recante l'organizzazione nazionale per la gestione di crisi (l'ACN vi partecipa per gli aspetti in ambito cybersicurezza).

Nell'individuazione delle infrastrutture critiche, gli organi dello Stato, ivi indicati, sono chiamati a tener conto dei criteri e dei limiti di valutazione settoriale ed intersettoriale: il primo considera la percentuale dei fruitori del bene o servizio che l'infrastruttura eroga rispetto al totale della popolazione (nazionale, di altro Stato membro o di parte del territorio UE); il secondo valuta la gravità dei possibili effetti negativi esterni ed intrinseci sul mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale della popolazione in caso di danneggiamento o distruzione dell'infrastruttura critica (es. numero delle vittime, perdite finanziarie, deterioramento del servizio, venir meno della fiducia dei cittadini nelle istituzioni) – cfr. art. 2, lett. h) e i) ed artt. 5,6 del d.lgs. n. 61/2011. Si ritiene opportuno evidenziare che questo tipo di approccio, relativo all'adozione di fattori settoriali e intersettoriali, si ritrova anche nella Direttiva NIS e nel decreto legislativo di attuazione (per maggiori approfondimenti, si rinvia a quanto riportato a commento del successivo art. 5 d.lgs. n. 65/2018).

In data 16 gennaio 2023 è entrata in vigore la dir. (UE) 2022/2557 «relativa alla resilienza dei soggetti critici e che abroga la dir. 2008/114/CE del Consiglio» (c.d. «direttiva CER»); gli Stati membri hanno tempo fino al 17 ottobre 2024 per recepirne i requisiti nella legislazione nazionale, mentre entro il 17 gennaio 2026 sono tenuti ad adottare una strategia per rafforzare la resilienza dei soggetti critici o critical entities, che gestiscono gli asset fisici, rispetto alle possibili minacce (es. catastrofi naturali, attacchi terroristici, minacce interne o sabotaggio, rischi digitali, emergenze sanitarie o attacchi ibridi). Tale direttiva, comprende una serie di azioni mirate, che coprono i seguenti settori (quasi del tutto identici a quelli della direttiva NIS 2 per i soggetti essenziali): energia, trasporti, banche, infrastrutture del mercato finanziario, salute, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione, spazio e alimenti. Gli Stati membri dovranno effettuare periodiche valutazioni del rischio (almeno ogni quattro anni) per riflettere le minacce attuali ed identificare i soggetti considerati critici o vitali per la società e l'economia, con il settore energetico come priorità. La direttiva CER detta anche le regole per l'identificazione dei soggetti critici di particolare rilevanza europea, quali: l'individuazione come soggetto critico ai sensi dell'art. 6, paragrafo 1; la fornitura di servizi essenziali identici o analoghi a o in sei o più Stati membri; la notifica da parte dell'autorità competente della sua individuazione come soggetto critico di particolare rilevanza europea (art. 17, paragrafo 3). I soggetti critici, a loro volta, sono chiamati a comunicare senza indebito ritardo all'autorità competente (designata o istituita) gli incidenti che «perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali»; entro 24 ore per una notifica iniziale, seguita da una relazione finale dettagliata al più tardi dopo un mese (art. 15 della direttiva CER).

A decorrere dal 18 ottobre 2024 viene abrogata la dir. 2008/114/CE (art. 27 direttiva CER). Si evidenzia che la direttiva CER non si applica alle materie disciplinate dalla direttiva NIS 2, fatto salvo l'art. 8, e che spetta agli Stati membri attuare in modo coordinato le citate direttive, stante la relazione tra la sicurezza fisica e la cybersicurezza dei soggetti critici (art. 1 direttiva CER).

Scambio di informazioni riservate

Il diritto dell'Unione europea riconosce la protezione dei dati come un diritto fondamentale, conformemente a quanto disposto dall'art. 8 della Carta dei diritti fondamentali dell'UE e dall'art. 16 del Trattato sul funzionamento dell'Unione europea («TFUE»), che determina i settori e le modalità d'esercizio delle proprie competenze.

All'art. 83, paragrafo 1, il TFUE riconosce espressamente la criminalità informatica come una delle forme di delittuosità da contrastare a livello europeo, così come all'art. 346, paragrafo 1, lett. a) consente a ciascuno Stato membro di non fornire informazioni, la cui divulgazione sia da questi considerata contraria agli interessi essenziali della propria sicurezza.

Nel rispetto del diritto dell'UE, dunque, il d.lgs. n. 61/2011 non poteva che far salva la previsione dell'art. 346 TFUE ed ammettere lo scambio di «informazioni riservate» con la Commissione Europea e con le autorità competenti NIS di altri Stati membri UE, se necessario ai fini dell'attuazione del decreto e purché effettuato nel rispetto della riservatezza ed a tutela della sicurezza, oltreché degli interessi commerciali degli operatori di servizi essenziali e dei fornitori di servizi digitali (cfr. art. 1, comma 6, d.lgs. n. 61/2011).

Il decreto lascia impregiudicata, altresì, ogni ulteriore misura volta a salvaguardare la sicurezza nazionale e le informazioni, nei casi in cui la comunicazione sia contraria agli interessi essenziali di sicurezza e di ordine pubblico (es. accertamento e repressione dei reati) – cfr. art. 1, comma 6, d.lgs. n. 61/2011.

Infine, il decreto stabilisce che, in presenza di specifico atto giuridico dell'UE avente ad oggetto l'obbligo, per gli operatori di servizi essenziali o i fornitori di servizi digitali, di assicurare la sicurezza delle loro reti e dei loro sistemi informativi o di notificare gli incidenti, questo stesso atto continui a trovare applicazione laddove gli obblighi in esso statuiti siano almeno equivalenti a quelli del decreto (art. 1, comma 7, d.lgs. n. 61/2011).

Revisione della direttiva NIS in ottica NIS 2

Come parte del proprio obiettivo politico chiave per rendere l'Europa adeguata all'era digitale, la Commissione europea ha avviato e concluso verso la fine del 2020 il riesame periodico del funzionamento generale della Direttiva NIS, anticipando la scadenza prevista dall'art. 23, paragrafo 2, della direttiva medesima (9 maggio 2021).

A fronte della continua evoluzione del panorama tecnologico, della crescente digitalizzazione ed interconnessione, del rapido aumento e della natura sempre più transfrontaliera delle minacce informatiche, la risposta messa in campo dall'Unione europea tende a sviluppare solide capacità negli Stati membri per prevenire, rilevare, rispondere e mitigare le minacce cibernetiche, nonché per migliorare la cyber-resilienza di tutti i settori economici chiave e ridurre la frammentazione del mercato interno, aumentando il livello di armonizzazione dei requisiti applicati in tali settori.

Ai sensi dell'art. 114 TFUE, la Commissione europea ha, dunque, avviato e concluso nel secondo semestre 2020 una consultazione pubblica volta a raccogliere opinioni sull'attuazione della Direttiva NIS e sull'impatto di potenziali cambiamenti futuri, tra cui in particolare – cfr. Commissione europea, Proposal COM(2020) 823 final – 2020/0359 (COD):

– estensione del campo di applicazione a soggetti «essenziali» (persone fisiche o giuridiche), operanti nel settore delle acque reflue, dello spazio, della pubblica amministrazione in generale e dell'infrastruttura digitale (es. cloud computing service provider, fornitori di reti di distribuzione di contenuti, fornitori di servizi fiduciari, fornitori di reti pubbliche di comunicazione elettronica e di servizi di comunicazione elettronica accessibili al pubblico), nonché ad altri «importanti» soggetti appartenenti a ulteriori settori quali, a titolo esemplificativo ma non esaustivo: postale e di spedizione; di gestione dei rifiuti; di produzione e distribuzione di prodotti chimici; di produzione/trasformazione/distribu- zione alimentare; di fabbricazione di dispositivi medici, computer, prodotti ottici, materiale elettrico, veicoli a motore, rimorchi; fornitori di servizi digitali (es. social network) – cfr. Commissione europea, COM(2020) 823 final – ANNEXES 1 to 3, 6-10);

– identificazione, a livello UE e non di singolo Stato membro, degli operatori di servizi essenziali per una maggiore coerenza ed armonizzazione degli approcci adottati dagli Stati membri, a fronte delle «incongruenze significative» nell'attuazione della Direttiva NIS a livello nazionale (es. il numero totale di operatori di servizi essenziali comunicati alla Commissione dagli Stati membri oscilla da 20 a 10.897 con una media di 633 operatori per Stato membro, cfr. Commissione europea, Relazione di valutazione della coerenza degli approcci adottati dagli Stati membri per l'identificazione degli operatori di servizi essenziali, 17). Regole diverse, peraltro, hanno un impatto negativo anche sulla concorrenza nel mercato interno quando si tratta di soggetti che operano a livello transfrontaliero, in differenti Stati membri;

– introduzione di misure di sicurezza tecnico-organizzative specifiche per la gestione del rischio, che devono essere necessariamente adottate dai soggetti interessati, tra cui i controlli sulla sicurezza informatica dei propri fornitori, la gestione degli incidenti, la business continuity, l'impiego della crittografia e della cifratura – cfr. art. 18 Proposal COM(2020) 823 final – 2020/0359 (COD);

– regolamentazione dell'obbligo di notifica entro 24 ore degli eventi con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi (c.d. «incidenti»), dunque con un impatto rilevante rispettivamente sulla continuità del servizio essenziale o sulla fornitura del servizio digitale. Tale notifica deve essere poi seguita da una relazione finale entro e non oltre un mese (considerando 55 e art. 20, paragrafo 4, Proposal COM(2020) 823 final – 2020/0359 (COD)). Come noto ad oggi, invece, il d.lgs. n. 65/2018 di attuazione della Direttiva NIS non fissa un limite temporale per le notifiche; specifica solo che le stesse devono essere effettuate «senza ingiustificato ritardo»;

– inasprimento delle sanzioni per le violazioni degli obblighi imposti dalla Direttiva NIS fino ad un massimo di almeno 10 milioni di euro o fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente se superiore. Si tratta quindi di un aumento significativo se si considera il fatto che l'art. 21 del d.lgs. n. 65/2018 contempla per gli operatori di servizi essenziali sanzioni amministrative di un importo massimo di 150.000 euro – cfr. art. 31, paragrafo 4, Proposal COM(2020) 823 final – 2020/0359 (COD).

La consultazione ha seguito la pubblicazione della tabella di marcia della Commissione per la revisione della direttiva, avvenuta il 25 giugno 2020. Naturalmente il testo della proposta di direttiva NIS 2 ha subito diversi cambiamenti nel corso di un iter legislativo durato alcuni anni.

Il 14 dicembre 2022 è stata definitivamente approvata la dir. (UE) 2022/2555 «relativa a misure per un livello comune elevato di cybersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2)», entrata in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea (GUUE L 333/80 del 27 dicembre 2022). Si evidenzia che, in tale contesto, non è stato possibile ricorrere allo strumento del regolamento self- executing vincolante e direttamente applicabile (art. 288, comma 2, Trattato sul funzionamento dell'Unione europea), in luogo della direttiva, in quanto ai sensi dell'art. 4, comma 2, del Trattato sull'Unione Europea («TUE») «la sicurezza nazionale resta di esclusiva competenza di ciascuno Stato membro».

Ciò detto, compete agli Stati membri:

– adottare e pubblicare le misure necessarie per conformarsi alla direttiva NIS2 entro il 17 ottobre 2024;

– comunicare immediatamente alla Commissione il testo di tali disposizioni ed applicarle a decorrere dal 18 ottobre 2024. Con effetto a decorrere da tale ultima data, dunque, la Direttiva NIS viene abrogata;

– definire entro il 17 aprile 2025 un elenco di soggetti essenziali ed importanti, nonché di soggetti che forniscono servizi di registrazione dei nomi a dominio, da riesaminare successivamente e, se opportuno, integrare almeno ogni due anni (considerando 18 e art. 3, paragrafo 3, direttiva NIS 2).

La direttiva NIS 2 rivede gli obblighi di segnalazione, concedendo anche più tempo rispetto alle 24 ore inizialmente proposte dalla Commissione, al fine di evitare un aumento esponenziale di notifiche, nonché un onere eccessivo per i soggetti coinvolti (si veda quanto riportato a commento del successivo art. 9 del d.lgs. n. 65/2018). La direttiva NIS 2 introduce, altresì, una regola di «soglia di dimensione» per determinare quali organizzazioni soddisfano i criteri per qualificarsi come soggetti essenziali e altri soggetti importanti. Ciò significa che nel suo campo di applicazione rientrano anche le imprese di medie e grandi dimensioni (≧ 50 < 250 dipendenti con fatturato anno tra 10 e 50 milioni di euro nel primo caso; ≧ 250 dipendenti con fatturato annuo maggiore di 50 milioni di euro nel secondo caso, come da Raccomandazione della Commissione 2003/361/CE del 6 maggio 2003), che operano nei settori contemplati dalla direttiva o che forniscono servizi previsti dalla direttiva, sulla base di criteri di proporzionalità e di criticità chiari per la loro determinazione. La direttiva NIS 2 si applica, altresì, agli enti della pubblica amministrazione a livello centrale e regionale, dal momento sono spesso soggetti ad attacchi informatici (considerando 7, art. 2 e Allegati I e II della direttiva NIS 2).

Come richiesto dal Consiglio, la direttiva non si applica ai soggetti che svolgono attività in settori quali la difesa e la sicurezza nazionale, la pubblica sicurezza, le forze dell'ordine e la magistratura (art. 2, paragrafo 7, della direttiva NIS 2). Sono esclusi dal campo di applicazione anche i parlamenti e le banche centrali.

Le piccole e microimprese (rispettivamente < 50 dipendenti con fatturato annuo ≦ 10 milioni di euro oppure < 10 dipendenti e con fatturato annuo ≦ 2 milioni di euro) sono escluse dal campo di applicazione della nuova direttiva, ad eccezione di quelle che, a titolo esemplificativo ma non esaustivo, forniscono reti o servizi di comunicazione elettronica accessibili al pubblico, servizi fiduciari, registri dei nomi di dominio di primo livello («TLD») e servizi di sistema dei nomi di dominio («DNS») o rientrano tra i «soggetti critici» ai sensi della dir. (UE) 2022/2557, superando quanto disposto dall'art. 1, paragrafo 3, della Direttiva NIS. Inoltre, le piccole e microimprese considerate fondamentali per l'economia o la società di uno Stato membro dovrebbero rispettare gli stessi requisiti di sicurezza imposti alle organizzazioni di medie e grandi dimensioni (es. unico fornitore di un servizio specifico in un determinato Stato membro).

Con riferimento, invece, al caso di esclusione di cui all'art. 1, paragrafo 3, della Direttiva NIS, si ritiene opportuno evidenziare che la direttiva NIS 2 introduce un obbligo di notifica degli incidenti «significativi» anche per le persone fisiche o giuridiche che prestano uno o più servizi fiduciari; ciò con effetto a decorrere dal 18 ottobre 2024, data in cui viene soppresso l'art. 19 del reg. (UE) n. 910/2014 (cfr. art. 42 della direttiva NIS 2 e art. 9 del d.lgs. n. 65/2018).

Si precisa, tuttavia, che il passaggio alla direttiva NIS 2 richiede un aggiornamento del quadro regolatorio di tutti gli Stati membri dell'UE, chiamati a recepirla. A tal fine, in Italia è stata emanata la l. 21 febbraio 2024, n. 15 recante «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023» (G.U. Serie Generale n.46 del 24 febbraio 2024), per l‘adozione dei necessari decreti legislativi. La legge di delegazione europea è, infatti, congiuntamente alla legge europea, uno strumento di adeguamento all'ordinamento dell'UE, introdotto dalla l. 24 dicembre 2012, n. 234, titolata «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea», che ha effettuato una riforma organica delle norme disciplinanti la partecipazione dell'Italia all'attuazione della normativa e delle politiche dell'UE.

La legge di delegazione europea 2022-2023 si compone di tre Capi, 19 articoli e un allegato per consentire il recepimento di venti direttive e l'adeguamento dell'ordinamento nazionale a nove regolamenti europei. In sintesi, il Capo I (artt. 1 e 2) accoglie le disposizioni generali per il recepimento e l'attuazione degli atti dell'Unione Europea, secondo i termini, le procedure, i princìpi e criteri direttivi di cui agli artt. 31 e 32 della l. n. 234/2012.

Il Capo II (artt. 3-13, escluso l'art. 6), nonché gli artt. 16-18, contengono i princìpi e criteri direttivi specifici per il recepimento delle direttive, tra le quali, ai fini di ciò che qui rileva, la direttiva (UE) 2022/2555 («NIS 2»), la direttiva (UE) 2022/2556 relativa alla resilienza operativa digitale per il settore finanziario e la direttiva (UE) 2022/2557 («CER»).

Il Capo III (artt. 14-19) e gli artt. 6 e 10 contengono le disposizioni relative all'attuazione di diversi regolamenti europei, tra cui il regolamento (UE) 2022/2554, volto a conseguire un elevato livello di resilienza operativa digitale per le entità finanziarie regolamentate («DORA»).

L'ACN, dal canto suo, ha contribuito all'elaborazione della legge di delegazione europea 2022-2023, con particolare riferimento ai principi e criteri direttivi specifici dettati all'art. 3, che il Governo è tenuto ad osservare nell'esercizio della delega per il recepimento della direttiva NIS 2 (in aggiunta ai principi e criteri direttivi generali di cui all'art. 32 della l. n. 234/2012), tra i quali i seguenti:

- individuare i parametri sulla base dei quali un ente pubblico può essere considerato Pubblica Amministrazione ai fini dell'applicazione delle disposizioni della direttiva NIS 2;

- confermare la distinzione tra l'ACN, quale autorità nazionale competente e punto di contatto, e le autorità di settore (Ministero delle Imprese e del Made in Italy, Ministero delle Infrastrutture e dei Trasporti, Ministero dell'Economia e delle Finanze, Ministero della Salute, Ministero dell'Ambiente e della Sicurezza Energetica);

- confermare le disposizioni dell'art. 8 del D.Lgs. n. 65/2018 sull'istituzione del CSIRT Italia e, inoltre, ampliare la collaborazione tra le varie strutture pubbliche con funzioni di Computer Emergency Response Team («CERT»), coinvolte in caso di eventi malevoli per la sicurezza informatica;

- prevedere «termini congrui di adeguamento» per i soggetti già sottoposti alle disposizioni del D.Lgs. n. 65/2018;

- riesaminare il sistema sanzionatorio e quello di vigilanza ed esecuzione, prevedendo sanzioni effettive, proporzionate e dissuasive rispetto alla gravità della violazione degli obblighi derivanti dalla direttiva NIS 2.

 

In data 7 agosto 2024 il Consiglio dei ministri ha approvato definitivamente il decreto legislativo di recepimento della direttiva NIS2, che si compone di 44 articoli, suddivisi in sei capi e quattro allegati, avendo optato per una riorganizzazione dei contenuti al fine di garantire una maggiore sistematicità al testo del provvedimento, secondo i principi e i criteri della Legge di delegazione europea 2022-2023 e nel rispetto dell’attuale impianto della direttiva NIS, come recepito con il d.lgs. n. 65/2018: Capo I, recante disposizioni generali per un livello elevato di sicurezza cibernetica; Capo II, dedicato al quadro nazionale di sicurezza informatica; Capo III, relativo alla cooperazione a livello dell'Unione europea e internazionale; Capo IV, disciplinante gli obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente; Capo V incentrato sul sistema di supervisione (monitoraggio, verifica, ispezione, istruzione e diffida, irrogazione di sanzioni); Capo VI, contenente le disposizioni transitorie e finali.

Dal 1° gennaio al 28 febbraio 2025 e così via, per ogni anno successivo all’entrata in vigore del decreto legislativo, i soggetti essenziali o importanti sono chiamati ad auto-registrarsi sulla piattaforma digitale resa disponibile dall’ACN, quale Autorità nazionale competente NIS (cfr. artt. 7 e 42), ai fini dello svolgimento delle funzioni ad essa assegnate; è compito di tali soggetti indicare (o aggiornare, negli anni a seguire) oltre ai dati societari e di contatto, i settori e sottosettori ai quali sono riconducibili le proprie attività ed i propri servizi. Il termine è, invece, anticipato al 17 gennaio 2025 per i fornitori di servizi di sistema dei nomi di dominio, gestori di registri dei nomi di dominio di primo livello, fornitori di servizi di registrazione dei nomi di dominio, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network. Il decreto legislativo, inoltre, stabilisce termini massimi per il primo adeguamento dei soggetti essenziali o importanti, a partire dalla comunicazione di ACN di inserimento in elenco: 9 mesi per le notifiche di incidenti; 18 mesi per gli obblighi in materia di obblighi amministrativi, di misure di gestione dei rischi per la sicurezza informatica, di banca data dei nomi a dominio (cfr. Senato della Repubblica, Atto del Governo sottoposto a parere parlamentare n. 164, 58).

Nella medesima giornata del 7 agosto, infine, il Consiglio dei ministri ha approvato definitivamente anche il decreto legislativo di recepimento della direttiva CER.

 

Si segnala che le materie disciplinate dalla direttiva NIS 2 dovrebbero essere escluse dall'ambito di applicazione della direttiva CER, «fermo restando il particolare regime per i soggetti del settore delle infrastrutture digitali»; a tali ultimi soggetti «dovrebbero applicarsi le strategie, le valutazioni del rischio dello Stato membro e le misure di sostegno di cui al capo II» della direttiva CER medesima (cfr. considerando 9 e 20 della direttiva CER). Gli Stati membri assicurano che la direttiva CER e la direttiva NIS 2 siano attuate in modo coordinato (art. 1, paragrafo 2, e art. 8 della direttiva CER).

Analogamente, per quanto attiene gli operatori finanziari soggetti al reg. (UE) 2022/2554 del 14 dicembre 2022 «relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011» (Digital Operational Resilience Act o «regolamento DORA»), che rientrano tra i soggetti essenziali o importanti, è doveroso comprendere se trova applicazione la direttiva NIS 2. Con riferimento a ciò, si precisa che qualora gli obblighi di «adottare misure di gestione dei rischi di cybersicurezza o di notificare gli incidenti significativi» abbiano effetti «almeno equivalenti» a quelli della direttiva NIS 2, a tali entità finanziarie non si applicano le disposizioni della direttiva NIS 2 stessa, comprese le prescrizioni relative alla vigilanza ed all'esecuzione (art. 4 della direttiva NIS 2 e art. 1, paragrafo 2, del regolamento DORA). Si segnala, infine, che il regolamento DORA si applicherà a decorrere dal 17 gennaio 2025.

Si evidenzia che, nel frattempo, la Commissione europea ha avviato e concluso la fase di consultazione di una bozza di implementing act per determinate entità digitali (es. DNS, TLD, cloud), con cui vengono dettati i requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza (art. 21, paragrafo 2, della direttiva NIS2) e specificati ulteriormente i casi in cui un incidente è da considerarsi significativo, ai sensi dell’art. 23, paragrafo 3. La Commissione dovrà adottare l’atto di esecuzione entro il 17 ottobre 2024, termine ultimo per il recepimento della direttiva NIS2 da parte degli Stati membri.

Cybersecurity Act

Nel mese di settembre 2017, la Commissione Europea ha presentato «Proposal for REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on ENISA, the “EU Cybersecurity Agency”, and repealing Regulation (EU) 526/2013, and on Information and Communication Technology cybersecurity certification (‘‘Cybersecurity Act'')» (2017/0225(COD)), come parte della nuova strategia dell'UE in materia di sicurezza informatica. Si è trattato di un ulteriore tassello volto a promuovere la resilienza agli attacchi informatici, in un panorama di minacce in continua evoluzione, nonché a far sviluppare un mercato unico digitale sul fronte dei prodotti, servizi e processi di Information and Communication Technology («ICT»), rafforzando la fiducia dei consumatori nelle tecnologie digitali.

In data 12 marzo 2019, il Parlamento europeo, su proposta della Commissione europea, ha approvato la proposta di regolamento, che comprende, ai fini di ciò che qui rileva:

– un mandato permanente per l'ENISA (diversamente sarebbe scaduto nel 2020), maggiori risorse, compiti e responsabilità per supportare gli Stati membri nel prevenire e rispondere efficacemente agli attacchi informatici;

– una migliore condivisione delle informazioni, attraverso la creazione di centri di condivisione e analisi;

– un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali («ICT») a livello UE, così da ridurne le vulnerabilità.

A seguito di ratifica del Consiglio dell'Unione Europea, tale proposta è divenuta reg. (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 «relativo all'ENISA, l'Agenzia dell'Unione europea per la cybersicurezza, e alla certificazione della cybersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cybersicurezza»)», noto come Cybersecuriy Act.

Il reg. (UE) 2019/881, pubblicato in GUUE L 151/15 del 7 giugno 2019 ed immediatamente applicabile in tutti gli Stati membri (art. 288, comma 2, TFUE), è entrato in vigore il 27 giugno 2019 (l'applicazione di alcuni articoli, espressamente indicati, tuttavia, è stata rinviata al 28 giugno 2021).

Il Cybersecurity Act, affiancandosi alla Direttiva NIS, contribuisce così all'attuazione degli obblighi, ivi previsti, di segnalazione/reporting alle autorità nazionali, in caso di incidenti di sicurezza gravi (cfr. Commissione Europea, comunicato stampa del 19 settembre 2017).

Inoltre, il Cybersecurity Act ha creato un framework di certificazione della cybersicurezza di specifiche categorie di prodotti, processi e servizi ICT dell'UE (es. healthcare, automotive, cloud), per l'istituzione di schemi europei ad hoc validi e riconosciuti nei vari Stati membri, al fine di superare la frammentazione esistente, legata ai diversi schemi nazionali, scongiurare la scelta della certificazione più vantaggiosa in base ai diversi livelli di rigore nei vari Stati membri (considerando 70), favorire la sicurezza sin dalla fase di progettazione («security by design») e rafforzare la fiducia nella tecnologia digitale.

I modi in cui la standardizzazione può supportare in modo efficiente il processo di ideazione degli schemi di certificazione, nonché i ruoli e le responsabilità delle Standardization Developing Organizations europee o internazionali e la metodologia da utilizzare come linea guida per nuovi schemi di certificazione o standard sono stati descritti nello studio «Standardisation in support of the Cybersecurity Certification» dell'ENISA.

All'ENISA è riservato il ruolo chiave di assistere la Commissione europea nella preparazione dei predetti schemi di certificazione, interagendo sia con gli Stati membri dell'UE che con le altre parti interessate; spetta, poi, a quest'ultima (Commissione) adottare formalmente gli schemi mediante atti di esecuzione, ai sensi dell'art. 291 TFUE.

A seguito dell'adozione di uno schema europeo di certificazione, i soggetti interessati possono presentare domanda di certificazione dei propri prodotti, processi o servizi a specifici organismi accreditati, salvo sia ammessa un'autovalutazione della conformità con annessa assunzione di responsabilità (limitatamente ai prodotti e servizi a basso rischio, rispetto ai quali requisiti e funzionalità di sicurezza sono stati valutati «a un livello inteso a ridurre al minimo i rischi di base noti di incidenti e attacchi informatici» come previsto dall'art. 53 del Cybersecurity Act). Il rilascio di una dichiarazione di conformità è volontario, salvo diversamente specificato da specifiche norme di settore.

Nel mese di novembre 2019 l'ENISA ha:

1.istituito un gruppo di lavoro ad hoc per la preparazione di uno schema di certificazione della sicurezza informatica candidato, volto a sostituire l'accordo di mutuo riconoscimento del gruppo di alti funzionari competente in materia di sicurezza dei sistemi di informazione, il SOG-IS MRA (Senior Officials Group Information Systems Security Mutual Recognition Agreement of Information Security Evaluation Certificates) degli ultimi 20 anni circa, sviluppato conformemente alla Decisione del Consiglio del 31 marzo 1992 nel settore della sicurezza dei sistemi di informazione (92/242/CEE) e della Raccomandazione del Consiglio del 7 aprile 1995 su criteri comuni per la valutazione della sicurezza delle tecnologie dell'informazione (95/144/CE) – cfr. ENISA, 4;

2.messo a disposizione un tool per mappatura delle misure di sicurezza (c.d. «Mapping of Security Measures for OES Tool») rispetto agli standard internazionali utilizzati dagli operatori di servizi essenziali nei diversi settori di attività (es. energia, trasporti, banche), quale ulteriore tassello per contribuire a raggiungere un livello comune di sicurezza nelle reti e sistemi informativi (art. 3 della direttiva NIS).

In tal modo, da un lato gli operatori di servizi essenziali hanno potuto disporre di uno strumento per valutare le proprie pratiche di sicurezza delle informazioni rispetto ai requisiti adottati dal NIS Cooperation Group, dall'altro gli Stati membri e le corrispondenti autorità pubbliche di regolamentazione hanno potuto valutare le misure di sicurezza dei loro operatori nazionali e possibilmente identificare una mappatura delle corrispondenti misure di sicurezza nazionali di altri Stati membri.

Il predetto primo schema di certificazione, Common Criteria based European candidate cybersecurity certification scheme (c.d. «EUCC scheme»), candidato a sostituire l'accordo di mutuo riconoscimento dei certificati di sicurezza per prodotti e sistemi IT (hardware, firmware, software) tra i Paesi sottoscrittori (il SOG-IS MRA, per l'appunto) è stato sottoposto a consultazione pubblica, conclusasi a fine luglio 2020; sulla base dei riscontri ricevuti, il testo dello schema è stato modificato e pubblicato nel mese di maggio 2021 (cfr. ENISA, Cybersecurity Certification, 11).

Tale schema è stato successivamente trasmesso alla Commissione europea che lo ha poi adottato; è stato, tuttavia, previsto un periodo di transizione durante il quale le organizzazioni potranno ancora beneficiare delle certificazioni esistenti nell'ambito dei sistemi nazionali di Stati membri selezionati. I certificati emessi nell'ambito dell'EUCC saranno oggetto di pubblicazione dall'ENISA.

Con riferimento a ciò, nel gennaio 2024 è stato adottato dalla Commissione europea il Regolamento di esecuzione (UE) 2024/482 relativo all'adozione di uno schema di certificazione della cybersecurity (c.d. «Implementing Act»), con cui sono stati specificati i ruoli, le norme e gli obblighi, nonché la struttura del sistema di certificazione medesimo basato sui criteri comuni europei, in conformità al framework normativo di certificazione della cibersicurezza di cui al reg. UE) 2019/881.

L'EUCC scheme, che si applica su base volontaria, mira a migliorare la cybersecurity dei prodotti ICT nel mercato UE (es. sistemi biometrici, firewall, router, switch, software specializzati come il SIEM o IDS/IDP, archivi crittografati, banche dati, smart card) con una certificazione trasparente e rigorosa, che rispecchia gli obiettivi dei Common Criteria quali definiti nello standard ISO/IEC 15408-1:2022.

I Common Criteria sono da intendersi come una norma internazionale per la valutazione della sicurezza delle tecnologie dell'informazione da parte di terzi, che prevede sette livelli di garanzia della valutazione (Evaluation Assurance Level – EAL) ai quali si accompagna la metodologia comune di valutazione (Common Evaluation Methodology) quale definita nella norma ISO/IEC 18045: 2022.

L'implementing act è entrato in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea (GUUE L series del 7 febbraio 2024) e si applica a decorrere dal 27 febbraio 2025; seguirà la pubblicazione da parte della Commissione di un programma di lavoro progressivo dell'Unione europea per la certificazione europea della cybersecurity o Union Rolling Work Programme (c.d. «URWP»), ossia di un documento volto a definire una visione strategica e riflessioni sulle possibili aree per i futuri schemi europei di certificazione della sicurezza informatica legati agli sviluppi legislativi (es. Cyber Resilience Act, European Digital Identity Regulation) e di mercato. L'URWP, inoltre, delinea le priorità strategiche da considerare nella preparazione di qualsiasi schema europeo di certificazione della sicurezza informatica. I certificati avranno una validità massima di cinque anni, a meno che tale periodo non venga prolungato con l'autorizzazione di una National Cybersecurity Certification Authority o «NCCA» (in Italia l'ACN ai sensi del d.lgs. 3 agosto 2022, n. 123 recante norme di adeguamento della normativa nazionale alle disposizioni del Titolo III «Quadro di certificazione della cibersicurezza» del regolamento (UE) 2019/881 sulla cibersicurezza).

In seconda istanza, l'ENISA ha istituito un gruppo di lavoro ad hoc per la preparazione di un secondo schema di certificazione relativo ai servizi cloud, un tassello fondamentale per consentire il libero flusso di dati in tutta Europa. Ebbene. la consultazione pubblica su tale secondo schema – volto ad armonizzare la sicurezza dei servizi cloud con i regolamenti, gli standard internazionali, le migliori prassi e le certificazioni esistenti a livello UE (c.d. European Union Cybersecurity Certification Scheme on Cloud Services o «EUCS») – è stata condotta dal 22 dicembre 2020 al 7 febbraio 2021 (cfr. ENISA, EUCS – CLOUD SERVICES SCHEME). Ciò per consentire a tutte le parti interessate di fornire feedback, opinioni e suggerimenti che saranno elaborati e condivisi. Tale schema copre la certificazione dei prodotti ICT, utilizzando i Common Criteria, la Common Methodology for Information Technology Security Evaluation e corrispondenti standard, rispettivamente ISO/IEC 15408-1:2022 and ISO/IEC 18045:2022 (cfr. ENISA, Cybersecurity Certification EUCC).

Al termine di ogni consultazione, è compito dell'ENISA acquisire il parere non vincolante del Gruppo europeo per la certificazione della cybersicurezza (c.d. European Cybersecurity Certification Group o «ECCG», composto da rappresentanti delle autorità nazionali di certificazione della cybersicurezza o da rappresentanti di altre autorità nazionali competenti) sullo schema candidato, prima di trasmettere il testo alla Commissione europea, alla quale spetta il compito di adottarlo mediante atti di esecuzione; spetta all'ENISA rendere poi disponibile, sul proprio sito web, ogni informazione utile in merito – artt. 49, 50 e 62 reg. (UE) 2019/881. Si precisa che i certificati non garantiscono la sicurezza informatica di un prodotto o servizio, bensì attestano che esso è stato testato ed è conforme a determinati requisiti di sicurezza (lo schema di certificazione), che possono includere uno o più livelli di garanzia (di base, sostanziale o elevato).

Cyber Solidarity Act

La Commissione europea in data 18 aprile 2023 ha proposto il «Cyber Solidarity Act» («CSA»), quale regolamento per rafforzare la cooperazione a livello di Unione, al fine di contrastare i cyberattacchi, migliorare la consapevolezza, la preparazione, l'individuazione, la capacità di intervento e di risposta comune agli incidenti, titolato «Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cybersecurity threats and incidents», COM(2023) 209 final – 2023/0109(COD).

La proposta comprende un European Cybersecurity Shield, ossia uno scudo europeo di cibersicurezza, costituito da centri operativi per la sicurezza interconnessi in tutta l'UE, e un Cyber Emergency Mechanism per migliorare la preparazione agli incidenti di cybersicurezza ed il recupero (tramite, ad esempio, test su settori cruciali come finanza e sanità, o anche servizi di risposta agli incidenti forniti da trusted providers, che possono essere attivati su richiesta degli Stati membri o di istituzioni, nonché assistenza reciproca tra Stati).

Lo scudo informatico europeo sarà composto da centri operativi di sicurezza («SOC») in tutta l'UE, riuniti in diverse piattaforme multinazionali, costruite con il sostegno del programma Europa digitale («DEP») per integrare i finanziamenti nazionali. I SOC dovranno assicurare una risposta più tempestiva ed efficiente alle principali minacce. A tal fine, durante una prima fase, avviata nel novembre 2022, sono stati selezionati tre consorzi di centri operativi di sicurezza (SOC) transfrontalieri, che riuniscono enti pubblici di 17 Stati membri e dell'Islanda.

La proposta di regolamento CSA contempla anche l'istituzione di un Cybersecurity Incident Review Mechanism, ossia di un meccanismo di revisione degli incidenti di cybersicurezza (significativi, su vasta scala). Su richiesta della Commissione o delle autorità nazionali, l'ENISA è responsabile del loro riesame e della presentazione di una relazione comprendente gli insegnamenti tratti e le raccomandazioni per migliorare la risposta informatica dell'UE.

Parallelamente, è stata prevista ed istituita anche una Cybersecurity Skill Academy per aumentare la resilienza, rendendo disponibili corsi e certificazioni su un'unica piattaforma online, così da accrescerne la visibilità ed il numero di professionisti qualificati in materia nell'Unione europea.

La proposta prevede, infine, emendamenti al Cybersecurity Act, per dar vita a una certificazione europea per i servizi di cybersicurezza.

Cyber Resilience Act

I prodotti hardware e software, con il trascorrere degli anni sono sempre più soggetti ad attacchi informatici per un livello di cybersecurity non adeguato alle minacce ed una scarsa consapevolezza da parte degli utenti in tema di vulnerabilità e rischi connessi ai prodotti medesimi, con particolare riferimento a quelli contenenti elementi digitali (es. smartcard, token, Intrusion Detection/Prevention System per uso industriale, firewall, identity management system software, Security information and Event Management system).

Per accrescere l'attrattiva dei prodotti UE con «digital elements» ed il livello di fiducia degli utenti in un mercato unico aperto e competitivo, nel mese di settembre 2022 la Commissione europea ha presentato «Proposal for REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020», 2022/0272(COD).

Con tale proposta di regolamento, nota come «Cyber Resilience Act» («CRA»), successivamente emendata dal Parlamento Europeo, l'Unione europea intende garantire norme armonizzate per l'immissione sul mercato di prodotti o software con una componente digitale, nonché un quadro di requisiti di cybersecurity per disciplinare la pianificazione, la progettazione, lo sviluppo e la manutenzione di tali prodotti in ogni fase della catena del valore e, non da ultimo, un obbligo di diligenza per l'intero ciclo di vita di tali prodotti; si precisa che per digital elements si intende «qualunque tipologia di prodotto software o hardware e le relative soluzioni per l'elaborazione remota dei dati, compresi i componenti correlati a tali prodotti, che nel caso in cui debbano essere immessi sul mercato separatamente» (art. 3 del CRA).

Rientrano, dunque, nel campo di applicazione della proposta tutti i prodotti con una connessione dati logica o fisica diretta o indiretta a un dispositivo o una rete, salvo eccezioni, tra cui software o servizi open source disciplinati da altre norme (es. dispositivi medici o medico-diagnostici in vitro per uso umano, aviazione e veicoli a motore). Una volta che il CRA entrerà in vigore, il software ed i prodotti connessi a Internet avranno il marchio CE ad attestare la conformità ai nuovi standard, consentendo agli utenti ed alle aziende di effettuare scelte più informate e sicure in una dimensione transfrontaliera, potendo beneficiare di una migliore protezione dei diritti fondamentali, come la protezione dei dati e della vita privata.

La proposta di regolamento, annunciata nella strategia UE per la cybersicurezza del 2020, mira ad integrare il framework normativo esistente, in particolare il Cybersecurity Act e la direttiva NIS nonché NIS 2, lasciando impregiudicato il Reg. (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la dir. 95/46/CE (regolamento generale sulla protezione dei dati). Come si evince al considerando 17 del CRA, infatti, i predetti meccanismi di certificazione della cybersicurezza si innestano nel processo di protezione dei dati fin dalla progettazione e by-default del citato Reg. (UE) 2016/679; mentre la direttiva NIS2 richiede ai soggetti essenziali e importanti di proteggere le proprie reti e i propri sistemi, inclusa la catena di fornitura, per prevenire incidenti, la proposta di regolamento CRA mira a garantire che i prodotti hardware e software da essi utilizzati siano conformi agli appropriati controlli di sicurezza.

Sulla base dell'attuale formulazione della proposta, come emendata dal Parlamento europeo, il produttore dovrà inviare un preallarme all'ENISA, senza indebito ritardo e in ogni caso entro 24 ore da quando ne è venuto a conoscenza, inerente qualsiasi vulnerabilità di un prodotto con elementi digitali sfruttata attivamente, così come qualunque incidente avente un impatto sulla sicurezza di tale prodotto; compete, poi, a quest'ultima inoltrare la notifica al CSIRT designato ai fini della divulgazione coordinata delle vulnerabilità secondo quanto previsto dall'art. 12 NIS2 (c.d. early warning). Analoga informativa sull'incidente eventualmente occorso dovrà essere fornita dal produttore all'utente senza indebito ritardo e, ove necessario, dovrà essere comprensiva delle misure correttive che l'utente stesso potrà implementare per mitigarne l'impatto (art. 11 del CRA). All'early warning deve seguire, entro settantadue ore, una notifica che aggiorna ed integra le informazioni precedentemente fornite, nonché una relazione finale entro un mese da tale notifica (cfr. Draft European Parliament Legislative Resolution on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)).

La violazione di tali disposizioni sarà soggetta a sanzioni amministrative pecuniarie fino a 15 Mln/€ o, per le imprese, fino al 2,5% del fatturato mondiale totale annuo dell'esercizio precedente se superiore (art. 53, paragrafo 3, del CRA).

Affinché il regolamento possa assumere piena efficacia occorrerà, tuttavia, attendere la conclusione dell'iter degli emendamenti apportati al testo elaborato dalla Commissione. Una volta adottato il testo finale, il regolamento troverà applicazione diversi mesi dopo la sua entrata in vigore, fatta eccezione per gli obblighi di notifica e di informativa di cui all'art. 11 del CRA, che si dovranno mettere in atto anticipatamente, richiedendo minori adeguamenti organizzativi rispetto alle ulteriori prescrizioni – art. 57 del CRA).