Nuova legge sulla cybersecurity

(L. 28 giugno 2024, n. 90, pubblicata in G.U. il 02 luglio 2024)

La nuova legge, intitolata “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, si inserisce all’interno di un quadro di previsioni di derivazione comunitaria volte ad assicurare nell’ordinamento i più elevati livelli di cybersecurity.

Sul piano nazionale, le direttive comunitarie in materia sono state recepite con una serie di atti normativi volti ad assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e informatici degli operatori pubblici e privati, da cui dipenda l’esercizio di una funzione essenziale per gli interessi dello Stato e dal cui malfunzionamento, interruzione o utilizzo improprio, possa derivare pregiudizio per la sicurezza nazionale.

Si tratta di:

1. Decreto NIS (D.lgs. 18 maggio 2018, n. 65)
2. Decreto Perimetro Cybersecurity (D.lgs. 21 settembre 2019, n. 105)
3. Decreto 14 giugno 2021, n. 82, che ha istituito l’Agenzia per la Cybersicurezza Nazionale (C.N.).

La nuova Legge sulla Cybersicurezza ha come obiettivo centrale quello di rafforzare la resilienza delle amministrazioni, attraverso l’adozione di misure che consentano una corretta gestione della crisi conseguente ad un attacco informatico e di prevenirlo, anticipando la minaccia cyber e mitigando, di conseguenza, il rischio di riuscita.

La disposizione introduce misure e obblighi ulteriori per le aziende pubbliche e private che forniscono servizi ritenuti essenziali, con l’obiettivo di fronteggiare in maniera efficace la digitalizzazione dei processi aziendali e la crescente minaccia di attacchi informatici.

I danni derivanti da questo tipo di attacchi, infatti, si riverberano in maniera pesante sia sulle pubbliche amministrazioni, nucleo centrale della nuova normativa, sia sulle aziende pubbliche e private.

La finalità della legge è quella di fornire una risposta efficace al crescente fenomeno del crimine informatico che, negli ultimi anni, ha fatto registrare un incremento degli incidenti di sicurezza, sia a livello nazionale, sia a livello globale.

Novità in ambito di protezione dei dati:

1. Obbligo di segnalazione e notifica degli incidenti informatici: nell’ottica di implementare la resilienza delle amministrazioni e, quindi, la capacità di ripristino e di riorganizzazione a seguito di una violazione informatica o di una perdita di dati, la nuova legge prevede l’obbligo di segnalare all’A.C.N. qualunque incidente informatico rilevante. Per gli enti locali, per le società di trasporto pubblico locale e per le aziende sanitarie locali, nonché per le rispettive società in house che forniscono servizi informativi, di trasporto, di raccolta, smaltimento o trattamento di acque reflue o di gestione rifiuti, che superino determinati requisiti dimensionali, è previsto l’obbligo di segnalare (24 h) e di effettuare la notifica completa (72 h) degli incidenti informatici, al fine di garantire lacontinuità operativa e la protezione dei dati e di adottare gli interventi risolutivi indicati dall’A.C.N. a seguito della segnalazione.
2. Nuovi obblighi di governance in ambito di cybersicurezza: la nuova legge impone nuovi obblighi volti a prevenire il verificarsi di incidenti informatici. A tal fine, è stata prevista l’istituzione di strutture interne alle amministrazioni, dedicate alla cybersicurezza, con nomina di un referente unico per l’A.C.N., che sviluppino politiche e procedure a sua tutela, adottino piani per la gestione del rischio informatico e monitorino tutte le possibili minacce e vulnerabilità.
3. Standard di sicurezza per i contratti pubblici di beni e servizi informatici: al fine di assicurare che le forniture informatiche per il settore pubblico siano conformi ad elevati standard di sicurezza, si prevede che tali contratti rispettino specifici requisiti, così da ridurre il rischio di vulnerabilità e garantire la protezione dei servizi critici.
4. Partecipazione della Direzione nazionale Antimafia e Antiterrorismo e della Banca D’Italia alle riunioni del Nucleo per Cybersecurity dell’ACN: l’inclusione mira a garantire una visione multidisciplinare nella gestione delle emergenze cibernetiche.

Novità in ambito penale:

1. Aumento delle pene per i reati informatici: la nuova legge ha aumentato la cornice edittale dei reati informatici di accesso abusivo a sistema informatico (art 615 ter co. 2 c.p.) e di intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617 quater co. 4 c.p.), nelle ipotesi aggravate, e del reato di danneggiamento di sistemi informatici o telematici (art. 635 quater c.p.).
2. La “Cyber Estorsione”: nuova ipotesi di reato prevista all’art. 629 comma 3 c.p. che sanziona ogni ipotesi di estorsione commessa mediante reati informatici.
3. La “Cyber Truffa”: nuova ipotesi di reato prevista dall’art. 640 comma 2-ter c.p., che disciplina l’ipotesi della truffa a distanza, commessa attraverso strumenti informatici o telematici idonei ad ostacolare la propria o l’altrui identificazione.