Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Decreto legge 105/2019: le novità della strategia italiana sulla cyber security

Ottobre è il mese Europeo della Sicurezza informatica ed ecco che è stato pubblicato il D.L. 105/2019, ultima novità in tema della Strategia Italiana di Cyber Security.

Il nuovo provvedimento, considerata la straordinaria necessità ed urgenza, sarà un decreto legge, quindi esecutivo da subito (e dovrà poi essere convertito in legge ordinaria entro sessanta giorni).

Entrando nel merito del decreto, Il D.L. 105/2019 recante Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica (vigente dal 22/09/2019), costituisce un ulteriore passo avanti all’interno della strategia internazionale e nazionale in tema di cyber security e sicurezza delle informazioni.

Una delle principali novità riguarda il ‘passaggio di poteri’ sul perimetro cibernetico dall’Agid (l’Agenzia per l’Italia Digitale) alla Presidenza del Consiglio: sarà quindi quest’ultima a occuparsi delle attività di ispezione e verifica del rispetto dell’adozione delle norme a tutela della sicurezza da parte dei soggetti pubbliciAl Ministero dello Sviluppo Economico resta la responsabilità per i soggetti privati

In particolare le più importanti novità riguardano:

  • estendendo l’applicazione del Framework per la Cybersecurity del CINI anche a quelle società private e a quegli enti pubblici e privati non ricompresi nell’applicazione della Direttiva NIS, ma comunque strategici per la sicurezza nazionale dell’Italia;
  • implementando attraverso il Centro di Valutazione e Certificazione Nazionale (CVCN) del MiSE un sistema di verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità di prodotti, apparati e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture ricomprese all’interno del Perimetro di Sicurezza Nazionale Cibernetica;
  • estendendo il Golden Power alla stipula di contratti o accordi per l’acquisto di beni o servizi relativi alla progettazione, realizzazione, manutenzione e gestione delle nuove reti di infrastrutture tecnologiche, compreso il 5G.
  •  prevedendo un regime sanzionatorio in caso di violazione (che oscilla mediamente dai €200.000 a €1.800.000)
  • prevedendo in caso di “rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e servizi” che al Presidente del Consiglio dei Ministri sia dato il potere di disattivare, in modo parziale o totale, uno o più apparati o prodotti impiegati nelle reti e nei sistemi colpiti.

l rispetto di queste prescrizioni e il buon andamento delle attività di ispezione e vigilanza della Presidenza del Consiglio dei Ministri e del Ministero dello Sviluppo Economico, sono presidiate da un incisivo sistema sanzionatorio di carattere amministrativo, nonché da un nuovo delitto previsto e punito dal comma 11, dell’art. 1, del Decreto legge.

La nuova fattispecie incriminatrice prevede due condotte alternative, una di tipo commissivo ed una di tipo omissivo, entrambe sorrette da un dolo specifico consistente nel fine di ostacolare o condizionare i procedimenti sopra descritti, ovvero le attività di ispezione e vigilanza citate.

Quanto alla prima condotta, è punito chiunque fornisca informazioni, dati o elementi di fatto non rispondenti al vero rilevanti:
1. per la predisposizione o l’aggiornamento degli elenchi di cui all’art. 1, comma 2, lett. b), del Decreto leggesono definiti i criteri in base ai quali  i  soggetti  di  cui alla precedente lettera a) predispongono  e aggiornano  con  cadenza almeno annuale un elenco delle reti, dei sistemi  informativi  e  dei servizi informatici di cui al  comma  1,  di  rispettiva  pertinenza, comprensivo   della   relativa   architettura   e    componentistica; all’elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, (…).”

2. per la predisposizione o l’aggiornamento dei comunicati di cui all’art. 1, comma 6, lett. a), del Decreto legge:fatti salvi i  casi  di  deroga  stabiliti   dal   medesimo regolamento con riguardo alle forniture di beni e di servizi ICT  cui sia indispensabile procedere in sede estera, i  soggetti  di  cui  al comma 2, lettera  a),  che  intendano  procedere  all’affidamento  di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei  servizi informatici di  cui  al  comma  2,  lettera  b),  diversi  da  quelli necessari  per  lo  svolgimento  delle  attivita’   di   prevenzione, accertamento e repressione  dei  reati,  ne  danno  comunicazione  al Centro di valutazione e certificazione  nazionale  (CVCN),  istituito presso il Ministero dello sviluppo economico, che, sulla base di  una valutazione del rischio, anche in relazione all’ambito di  impiego  e in un’ottica di  gradualita’,  puo’,  entro  trenta  giorni,  imporre condizioni e test di hardware e software; (…);  per  le  forniture  di  beni, sistemi e servizi ICT da impiegare su  reti,  sistemi  informativi  e servizi informatici del Ministero della difesa, individuati ai  sensi del comma 2, lettera b), il predetto Ministero  procede,  nell’ambito delle risorse umane e finanziarie disponibili a legislazione  vigente e senza nuovi o maggiori oneri a carico della  finanza  pubblica,  in coerenza con quanto previsto  dal  presente  decreto,  attraverso  un proprio Centro di valutazione  in  raccordo  con  la  Presidenza  del Consiglio dei ministri e il Ministero dello sviluppo economico per  i profili di rispettiva competenza; resta fermo che per lo  svolgimento delle attivita’ di prevenzione, accertamento  e  di  repressione  dei reati e nei casi in cui si deroga all’obbligo di  cui  alla  presente lettera,  sono  utilizzati  reti,  sistemi  informativi   e   servizi informatici conformi ai livelli di  sicurezza  di  cui  al  comma  3, lettera b), qualora non incompatibili con gli specifici impieghi  cui essi sono destinati”;

3. per lo svolgimento delle attività di ispezione e vigilanza della Presidenza del Consiglio dei Ministri e del Ministero dello Sviluppo Economico: “la Presidenza del Consiglio dei ministri,(…), e il Ministero dello sviluppo economico, (…), svolgono attivita’ di ispezione e verifica (…) senza che  cio’ comporti accesso  a  dati  o  metadati  personali  e  amministrativi, impartendo, se necessario, specifiche prescrizioni; per  le  reti,  i sistemi informativi e i  servizi  informatici  di  cui  al  comma  2, lettera b), connessi alla funzione di prevenzione e  repressione  dei reati, alla tutela dell’ordine e  della  sicurezza  pubblica  e  alla difesa e sicurezza militare dello Stato, le attivita’ di ispezione  e verifica sono svolte, nell’ambito delle risorse umane  e  finanziarie disponibili a legislazione vigente e senza nuovi o maggiori  oneri  a carico della finanza pubblica, dalle strutture specializzate in  tema di protezione di reti e sistemi, nonche’ in tema di prevenzione e  di contrasto del  crimine  informatico,  delle  amministrazioni  da  cui dipendono le Forze di polizia e le Forze armate,  che  ne  comunicano gli esiti alla Presidenza del Consiglio dei ministri per i profili di competenza.”

La condotta omissiva punisce, invece, chiunque ometta di comunicare tali informazioni, dati o elementi di fatto, entro il termine prescritto dal Decreto legge.

Con inedita tecnica legislativa, inoltre, il legislatore ha ritenuto di estendere, direttamente dal corpo di questa nuova fattispecie, la rilevanza del reato ai fini della responsabilità amministrativa degli enti ex D. Lgs. 231/2001. Il comma 11, dell’art. 1, del D.l. n. 105/2019, prevede infatti che «[…] all’ente responsabile ai sensi del decreto legislativo 8 giugno 2001, n. 231, si applica la sanzione pecuniaria fino a 400 quote»